Dans un contexte d’usage accru du numérique, l’utilisation des données personnelles des citoyens par les organismes publics et privés doit être encadrée. Elle doit se faire dans la transparence, le respect et la confiance. Afin de les protéger et de poser un cadre juridique européen unique, le Règlement Général sur la Protection des Données ou RGPD est entré en vigueur le 25 mai 2018. Il renforce, précise et encadre le traitement des informations relatives aux personnes physiques identifiées ou identifiables. Il est placé sous l’autorité de la Commission nationale de l’informatique et des libertés (CNIL). Fondée en 1978 par la loi Informatique et Libertés, celle-ci veille à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni aux libertés ni aux droits de l’homme ni à l’identité humaine.
Si la question de la conformité au RGPD est fondamentale pour toutes les entreprises, leurs services RH sont tout particulièrement concernés. Entre CV, contrats de travail, fiches de paie, etc., les données personnelles qui y sont traitées sont diverses et très nombreuses. Comment doivent-ils s’y prendre pour respecter la réglementation ? En 2022, soit quatre ans après l’entrée en application du RGPD, doit-on s’attendre à de nouvelles obligations ?
Rappel sur les applications du RGPD sur les Ressources Humaines
Les services des Ressources Humaines et Paie collectent et traitent des données à caractère personnel tout au long du cycle de vie de chaque salarié. Lors des candidatures, ils regroupent les CV, les lettres de motivation, les comptes-rendus d’entretiens, etc. Puis, lors des embauches viennent les contrats de travail et les RIB. En outre, les justificatifs médicaux d’absence, les données de vidéosurveillance, les bulletins de paie, les évaluations annuelles, mais aussi les lettres de licenciement sont également collectés.
Pour sécuriser l’ensemble de ces données et se mettre en conformité avec le RGPD, les RH doivent respecter certaines obligations.
RGPD : quelles obligations pour les RH ?
Tous les salariés doivent avoir accès à leurs données personnelles collectées par l’entreprise. Ils peuvent demander à ce qu’elles soient supprimées ou modifiées. Les RH savent où elles sont stockées et lesquelles le sont. Toutes sont consignées dans un registre de traitements.
Par ailleurs, certaines d’entre elles ne peuvent pas être conservées par le responsable du traitement passé un certain délai. Un bulletin de paie, par exemple, ne peut l’être au-delà de 5 ans après le départ du salarié.
Le respect du RGPD par l’entreprise favorise la confiance des équipes et évite tout contentieux pouvant aboutir à des dépôts de plainte auprès de la CNIL. À noter qu’en cas de non-respect du RGPD, l’entreprise peut se voir infliger une amende allant jusqu’à 4 % de son CA annuel mondial.
RGPD : où en est-on en 2023 ?
En quatre ans, la plupart des organismes privés et publics se sont mobilisés et peuvent désormais garantir une utilisation des données respectueuse de la vie privée des personnes concernées. Sur le sujet des cookies par exemple, 67 % ont intégré une CMP à leur site web à savoir une plateforme de gestion du consentement, rapporte le baromètre RGPD 2022, Data Legal Drive.
Afin de poursuivre son objectif, la CNIL va organiser ces deux prochaines années ses actions autour de trois nouveaux axes principaux :
1. Favoriser la maîtrise et le respect des droits des personnes sur le terrain.
2. Diffuser et évangéliser le sujet des données personnelles auprès du grand public.
Les citoyens doivent connaître leurs droits, ce qui n’est pas toujours chose facile face à la complexité et l’opacité grandissante de certains dispositifs numériques. La CNIL veille pour cela à accroître la diffusion des informations et les outils pour les comprendre et les exercer. Elle garde sa position de conseillère. Mais si elle ne sanctionnait jusqu'alors que très peu, elle intensifie désormais son action de contrôle et de répression. Par ailleurs, elle renforce son rôle européen et mise sur l’efficacité du collectif.
3. Promouvoir le RGPD comme un atout de confiance pour les responsables du traitement des données.
La CNIL veut renforcer l’accompagnement qu’elle propose aux responsables du traitement des datas. Pour y parvenir, elle les aide à mieux comprendre le cadre légal et multiplie les supports informationnels. Elle développe également des outils de certification afin que chacun puisse gérer sa conformité de manière adaptée à ses spécificités. La CNIL augmente aussi ses moyens de lutte contre la cybercriminalité qui met en danger les entreprises et les données des citoyens.
- Quelques priorités de la CNIL
Les outils numériques sont de plus en plus présents dans notre quotidien et les technologies utilisées reposent essentiellement sur les datas récoltées. Dans ce contexte et pour demeurer le régulateur de référence, la CNIL a retenu trois thématiques prioritaires de travail : - les caméras augmentées et le risque d’une surveillance des personnes à grande échelle ;
- les transferts de données dans le cloud et la question de leur sécurisation dans le cadre de pays situés en dehors de l’Union européenne ;
- la collecte des datas dans les applications des smartphones, la protection de la vie privée de leurs utilisateurs et leur sensibilisation au sujet.
Que conclure sur la RGPD en 2022 ?
Après de premières années durant lesquelles la CNIL a fait oeuvre de pédagogie sur les sujets du RGPD, l’heure est désormais venue de s’assurer que l’ensemble des acteurs s’en soit bien emparé et se soient mis en conformité. Les contrôles se renforcent donc au sein des organisations, tandis qu’en parallèle la CNIL explore de nouveaux chantiers pour continuer de garantir la sécurité des données personnelles sur le web.