logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
Le chantier majeur du RGPD*

xx Actualité sociale xx


NTIC

Le chantier majeur du RGPD*

Étape majeure dans la protection des données, le règlement général sur la protection des données (RGPD) du 27 avril 2016 entre en vigueur le 25 mai 2018. La plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître. En contrepartie, le RGPD renforce les pouvoirs de sanction des CNIL nationales. Nous faisons le point avec Guillaume Bordier.

15/03/2018 Semaine Sociale Lamy, n°1807

Semaine sociale Lamy : Quels sont les objectifs du RGPD ?

Guillaume Bordier :
Le droit européen de la protection des données personnelles reposait sur une directive de 1995, qui était destinée à assurer la protection des droits et des libertés fondamentaux des personnes en ce qui concerne leurs données personnelles, tout en assurant le libre flux des données au sein de l’Union européenne. Le règlement général sur la protection des données du 27 avril 2016, qui abroge cette directive, vise d’une part à tenir compte de l’évolution technologique et de l’intensification des flux de données personnelles depuis plus de 20 ans et, d’autre part, à supprimer les divergences dans les règles de protection des données personnelles qui ont été constatées entre les différents États membres. C‘est pour cette dernière raison que cette fois, la technique du règlement (d’application directe) a été choisie et non pas celle de la directive, qui aurait nécessité une transposition en droit interne au détriment de la volonté d’harmonisation. Des lois nationales pourront simplement adapter à la marge certaines dispositions pour compléter ou préciser certaines dispositions du règlement. Le RGPD a également pour but de donner un cadre unifié aux traitements de données transnationaux, qui sont de plus en plus fréquents, grâce à un mécanisme de coordination entre les autorités de contrôle qui n’existait pas jusqu’à présent.

Le RGPD implique une mise en conformité de notre système de protection des données personnelles. Il est censé entrer en vigueur le 25 mai 2018. Où en est-on à ce stade ?

G. B. : Nous arrivons au bout de la période transitoire de plus de deux ans accordée par le règlement au vu de l’importance du travail de préparation nécessaire. La date d’entrée en vigueur n’évoluera pas et il appartiendra donc à l’ensemble des acteurs économiques concernés de se mettre en conformité avec les nouvelles règles d’ici là, c’est-à-dire dans moins de trois mois. Au niveau national, un projet de loi opérant la refonte de la loi informatique et libertés de 1978 est en cours de discussion devant le Parlement, avec une entrée en vigueur également prévue le 25 mai 2018. Cette loi vise à aligner la loi française avec le RGPD (obligations des sous-traitants, suppression de la plupart des formalités préalables auprès de la CNIL, droits des personnes, recours...) et à adapter les missions de la CNIL (établissement de lignes directrices, de recommandations ou de référentiels, pouvoirs de contrôle et de sanction…).

Quel est son champ d’application territorial et matériel ?

G. B. : Le RGPD s’applique à tous les traitements de données effectués dans le cadre d’activités réalisées sur le territoire de l’Union européenne, mais également aux traitements de données relatifs à des personnes se trouvant dans l’Union européenne et à qui des biens et des services sont proposés (par exemple au travers d’un site internet ou bien concernant un salarié « isolé » d’une entreprise établie en dehors de l’UE). Ces entreprises devront désormais désigner un représentant au sein de l’UE. Plus important encore, le RGPD s’applique non seulement aux responsables de traitement, mais également à leurs sous-traitants, qui auront désormais une responsabilité pleine et entière. Pour autant, cela ne permet pas au donneur d’ordre de se défausser de toute responsabilité, bien au contraire puisqu’il devra s’assurer que son sous-traitant est parfaitement en règle.

Le régime déclaratif laisse place au « principe de responsabilité ». Qu’est-ce que cela implique ?

G. B. : C’est un changement profond de logique, puisque l’on passe d’un système relativement encadré, fondé sur des obligations déclaratives auprès de la CNIL, avec des dispenses ou des déclarations simplifiées dans un certain nombre de domaines (opérations de paie, gestion du personnel...), à un système d’autorégulation, dans lequel l’entreprise doit respecter un grand nombre de principes essentiels et être en mesure de démontrer à tout moment qu’elle les respecte. Le RGPD prévoit en outre des obligations précises, telles que l’obligation de se doter d’un registre des traitements de données, ou l’obligation de conclure un contrat avec les sous-traitants définissant ses obligations en matière de gestion des données personnelles. Cela implique de la part de l’ensemble des acteurs de l’entreprise une analyse approfondie et une plus grande rigueur, doublée d’un plus grand formalisme, et impose aux entreprises de se doter de nombreux outils permettant d’assurer la conformité de leurs pratiques et de la documenter : clauses contractuelles, chartes, documents d’information, procédures, formation du personnel, etc.
En contrepartie, la responsabilité est elle aussi accrue puisque l’entreprise pourra à tout moment être contrôlée par la CNIL et qu’en outre, des possibilités d’actions individuelles et collectives ont été créées pour permettre par exemple à des salariés ou à des organisations syndicales de faire sanctionner le non-respect du cadre légal.

Les entreprises doivent-elles s’attendre à être plus lourdement sanctionnées en cas de manquement ?

G. B. : Effectivement, c’est également l’un des objets de la réforme, qui vise à faire prendre conscience aux entreprises de l’importance du respect des droits et des libertés des personnes. Les sanctions sont particulièrement dissuasives puisqu’elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires mondial hors taxes ou 20 millions d’euros pour les manquements les plus graves (le montant le plus élevé étant retenu). Fort heureusement, les autorités de contrôle auront un pouvoir d’appréciation en fonction de certains critères (gravité du manquement, degré de coopération, récidive...) et la possibilité de mettre en œuvre des mesures alternatives et graduelles, allant du rappel à l’ordre, à la mise en demeure, l’injonction assortie d’astreinte, en passant par l’interruption du traitement litigieux. Pour autant, certaines décisions récentes de la CNIL ou de ses homologues européennes montrent que les sanctions pécuniaires prononcées sont de plus en plus significatives. À ce titre, le projet de loi relatif à la protection des données redéfinit les missions de la CNIL pour faciliter son pouvoir de contrôle, par exemple en permettant à ses agents d’utiliser une identité d’emprunt en cas de contrôle en ligne ou en prévoyant l’impossibilité de leur opposer le secret des affaires. Récemment, la CNIL a indiqué qu’elle entendait accompagner les entreprises dans la mise en œuvre des nouvelles obligations ou des nouveaux droits résultant du RGPD et qu’elle ne sanctionnerait pas en principe les entreprises de bonne foi engagées dans une démarche de conformité et faisant preuve de coopération avec ses services. En revanche, la CNIL entend se montrer intransigeante sur le respect des principes essentiels (loyauté du traitement, pertinence des données traitées, durées de conservation, sécurité des données…).

Le RGPD change-t-il la donne lorsque l’entreprise a recours à un sous-traitant pour collecter ou traiter des données à caractère personnel ?

G. B. : C’est en effet l’un des changements fondamentaux du RGPD. Jusqu’à présent, seul le responsable de traitement était visé par la loi informatique et libertés. Avec le RGPD, les sous-traitants acquièrent une responsabilité équivalente à celle de leurs clients, en s’exposant aux mêmes sanctions. Mais en parallèle, le donneur d’ordre est soumis à des obligations beaucoup plus strictes vis-à-vis de ses sous-traitants : concrètement, tous les contrats de prestation de services doivent être revus pour s’assurer qu’ils contiennent les clauses par lesquelles le sous-traitant garantit le respect de la réglementation en matière de protection des données personnelles. Le client doit également s’assurer que son prestataire a pris les mesures techniques et organisationnelles nécessaires pour garantir la sécurité et notamment la confidentialité des données auxquelles il aura accès. En d’autres termes, le respect du RGPD doit devenir l’un des critères de sélection des sous-traitants. Bien sûr, les exigences ne seront pas les mêmes envers tous les prestataires en fonction de la quantité et de la sensibilité des données traitées par le prestataire : cela peut aller d’une simple déclaration de principe jusqu’à la réalisation d’audits, en passant par des engagements sur la localisation des serveurs, le cryptage des données, etc. Dans le domaine RH, les entreprises ont souvent recours à des prestataires extérieurs (paie, formation, rémunération, conseil...), qui ont par définition accès à des données sensibles, comme le numéro de sécurité sociale, la rémunération, ou parfois les données bancaires des salariés. Les contrats avec ces prestataires doivent donc faire l’objet d’une attention particulière.

La CNIL ne sera donc plus destinataire des formalités préalables. Mais n’y aura-t-il pas des cas dans lesquels elle restera associée à la mise en place de dispositifs de collecte de données personnelles ?

G. B. : En complément de son rôle d’accompagnement des acteurs par la publication de lignes directrices, recommandations, référentiels ou règlements, et bien entendu de contrôle et de sanction, la CNIL gardera un rôle de consultation dans certains cas.
Le RGPD prévoit l’obligation pour l’entreprise de conduire une analyse d’impact lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment en cas de surveillance systématique des personnes, de collecte de données sensibles, de collecte d’information à grande échelle, ou auprès de personnes vulnérables. La CNIL considère par exemple qu’un dispositif de contrôle de l’activité des salariés répond à ces conditions. Les entreprises ayant déclaré auprès de la CNIL ces traitements avant le 25 mai 2018 seront dispensées d’une telle analyse pendant trois ans, à condition qu’ils restent inchangés. En cas de risque résiduel élevé, l’étude d’impact réalisée devra donner lieu à une consultation formelle de la CNIL (RGPD, art. 36).

Le délégué à la protection des données est au cœur du nouveau règlement. Qui est-il exactement et quelles sont ses missions ?

G. B. : Le délégué à la protection des données est conçu comme un personnage central. De façon générale, son rôle consiste à assurer la mise en conformité des pratiques de l’entreprise au regard du cadre légal et à être le garant de la mise en œuvre des obligations en la matière. Il est chargé de diffuser la culture de la protection des données dans l’entreprise, d’informer et de former l’ensemble des acteurs, de conseiller l’entreprise et de contrôler le respect effectif des obligations découlant du RGPD et du droit national en matière de protection des données. Enfin, il est l’interlocuteur des autorités de contrôle, sans pour autant encourir de responsabilité personnelle en cas de manquement de l’entreprise… Pour lire l'intégralité de l’INTERVIEW, souscrivez à une formule abonnement


Entretien avec Guillaume Bordier, Avocat associé, Capstan Avocats

* Cet entretien s’est déroulé suite à une matinée de formation organisée par l’Association des journalistes de l’information sociale (AJIS), le 23 janvier 2018.

Propos recueillis par Françoise Champeaux et Marjorie Caro

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »