Le règlement communautaire sur la protection des données personnelles, entré en vigueur le 25 mai 2018 et complété en droit français par loi n°2018-493 du 20 juin 2018, fixe de nouvelles normes quant au traitement des données personnelles des personnes physiques.

Quelles sont concrètement les incidences en droit du travail ?

1. Responsabilisation de l’employeur

Auparavant l’employeur devait, lors de la mise en place d’un traitement de données, adresser à la CNIL une déclaration préalable. Cette obligation est dorénavant supprimée (sauf pour certaines données sensibles).

L’employeur doit collecter loyalement des données dont le traitement est nécessaire au regard des principes de proportionnalité, de pertinence et d’exactitude édictés par le RGPD.

A ce titre, la loi du 20 juin 2018 rappelle que certaines données ne peuvent pas être collectées (les données portant sur l’origine radicale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques biométriques, de santé ou concernant la vie ou l’orientation sexuelle).

La collecte est autorisée sous condition par l’employeur concernant les données biométriques strictement nécessaires au contrôle de l’accès au lieu de travail ainsi qu’aux appareils utilisés dans le cadre des missions du salarié.

Enfin, l’employeur doit définir une durée de conservation des données (il est recommandé 1 mois pour les images de vidéosurveillance et 5 ans pour les informations liées à la paie et à la durée du travail). En pratique, il faudra tenir compte des recours judiciaires et permettre à l’employeur d’exercer ses droits de la défense au-delà de la cessation du contrat de travail.

En outre, l’employeur devra s’assurer de la conformité du traitement des données par ses sous-traitants (prestataire de paie).
L’employeur, en sa qualité de responsable de traitement est également tenu notamment de notifier les violations de données personnelles à la CNIL.

2. Tenue du registre du traitement

Ce registre, consultable par la CNIL en cas de contrôle, comporte les principes directeurs afférents à la collecte des données.

L’employeur devra mettre en œuvre une analyse d’impact relative à la protection des données pour mesurer, avant la collecte de données sensibles notamment à grande échelle, l’impact du traitement sur la vie privée des salariés (Ex : collecte de données biométriques pour accéder sur le lieu de travail).

3. Désignation d’un DPO

Le Délégué à la Protection des Données exerce de manière indépendante une mission de veille sur la conformité du traitement des données au regard de la réglementation.

Le DPO est obligatoire dans les entreprises qui traitent des données à grande échelle. (ex : entreprises qui compte plus de 250 salariés).

4. Information des salariés

Les salariés et les candidats à l’embauche doivent être informés des données collectées et de leur finalité (Ex : remise d’une lettre d’information).

Ils bénéficient d’un droit d’accès, de rectification et de suppression des données personnelles les concernant.

Si les données collectées sont strictement nécessaires aux finalités de la paie et des ressources humaines conformément à la loi et aux intérêts légitimes de l’employeur, le consentement exprès du salarié n’est pas nécessaire.

Enfin la mise en place ou la modification de traitement de données personnelles impliquera la consultation du comité d’entreprise (qui devra également veiller à la conformité es collectes des activités sociales et culturelles).

Enfin, en cas de non-conformité à la règlementation précitée, les sanctions édictées peuvent aller jusqu’à 20 000 000 euros ou 4% du chiffre d’affaires mondial.

Déborah Fallik Maymard, associée en droit social chez Redlink