Quelques jours après la publication d’un modèle de registre simplifié pour aider les employeurs à être conforme au Règlement Général sur la Protection des Données (dit RGPD), retour sur vos obligations en tant qu’employeur au regard de cette nouvelle réglementation. En effet, en plus de garantir la protection des données personnelles de vos salariés, votre responsabilité est mise en jeu.
Comment le RGPD impacte-t-il la responsabilité de l’employeur ?
Par nature les entreprises sont actrices de leur mise en conformité par le biais de procédure, charte ou code de conduite, elles régulent leur activité. La mise en place d’une gouvernance protectrice des données personnelles et l’obligation de rendre compte de cette conformité, renforcent le rôle des entreprises et les obligent à s’auto-responsabiliser.
Concrètement qu’est ce que cela implique pour l’employeur ?
L’employeur agit en tant que gouvernance protectrice des données. Cela implique qu’il doit protéger les données personnelles de ses salariés et s’engager à collecter le minimum de données nécessaires pour effectuer le traitement de l’information. Pendant un entretien d’embauche, l’employeur peut collecter les noms des ayants-droits du salarié à des fins d’actions sociale, mais il ne peut pas demander le numéro de sécurité sociale au candidat, cette information n’étant pas indispensable à la finalité du recrutement.
L’employeur doit également veiller aux délais de conservation de ces données selon les dispositions légales. Par exemple, les images collectées par vidéosurveillance doivent être conservées pendant un mois.
Afin d’assurer cette gouvernance, l’employeur doit recruter un délégué à la protection des données (ou Data Protection Officer) si son entreprise répond aux conditions de l’article 37 du Règlement. Les entreprises concernées sont celles dont l’activité de base est liée au traitement à grande échelle de données sensibles (données personnelles particulières nécessitant une protection supplémentaire). D’après le Règlement, les activités de base sont entendues comme étant des “activités pour lesquelles 50% du chiffre d’affaires annuel résultent de la vente de données ou de recettes provenant de ces données.” En-dessous de ce seuil, les activités sont considérées comme accessoires. La rémunération des salariés est une activité annexe de l’activité de production. Les entreprises pour lesquelles la gestion de la paie est internalisée ne doivent donc pas nécessairement désigner ce délégué.
L’employeur peut préciser le contour de ces obligations par voie d’accord collectif. La protection des données devient donc un véritable enjeu pour les parties prenantes.
L’employeur doit veiller à la démonstration de cette conformité. Désormais, l’entreprise est en charge des systèmes de sécurité, elle doit protéger le salarié et faire circuler les données. Les entreprises de plus de 250 salariés ou présentant un risque à l’égard des données personnelles des personnes concernées (clients, salariés, etc…) peuvent avoir recours au registre de l’article 30 du Règlement. Il permet de recenser pour chaque activité, les données traitées, les finalités ou encore les délais de conservation.
Par ailleurs, le RGPD impose à l’employeur de s’assurer du respect par ses partenaires des obligations de protection des données. Si une entreprise sous-traite la paie à une autre entreprise du groupe, elle doit pouvoir démontrer sa conformité au Règlement. Pour ce faire, des règles intra-groupes ou encore des certifications établies par des organismes tiers peuvent être établies. Les entreprises sont amenées à s’auto-réguler.
La protection des données des salariés est devenu un véritable enjeu pour l’employeur. Dorénavant en appliquant le RGPD, il doit s’assurer de la gestion des risques.
RGPD et mise en jeu de la responsabilité de l’employeur
L’employeur est considéré comme responsable des données de ses salariés. C’est parce qu’il est employeur qu’il est responsable. Le RGPD n’a pas modifié la définition de la notion de responsable de traitement mais il a harmonisé les droits nationaux en réaffirmant la possibilité d’une corresponsabilité conjointe.
Ce principe s’applique concernant les sociétés au sein d’un groupe. Une société mère peut assurer certains de ses traitements par d’autres sociétés du groupe (paie, comptabilité). Elle peut aussi être co-employeuse et devient de ce fait responsable de traitement.
En fonction des liens qui existent entre les sociétés du groupe, l’entreprise mère peut exercer des pouvoirs de direction, de sanction et de contrôle à l’égard des salariés. Dans ce cas, une personne qui travaille au profit de la société mère, qui n’est pas son employeur, mais qui exerce dans les faits des fonctions inhérentes à la société, peut faire valoir qu’elle a deux employeurs. La coresponsabilité peut s’appliquer puisque les deux sociétés sont responsables de traitement.
Le salarié victime d’une violation du Règlement par l’un des coresponsables pourra se retourner contre l’un d’eux et demander la totalité de la réparation du préjudice. La société pourra ensuite exercer une action contre le coresponsable afin d’obtenir le remboursement de la part de responsabilité qui était prévu dans l’éventuel contrat.
La mise en application du RGPD a simplifié l’action en justice. Désormais le salarié est notifié de la violation dont il est victime . Une fois informé, il peut intenter une action judiciaire et notamment une action de groupe.
Par ailleurs le Règlement a augmenté le montant des sanctions administratives encourues en cas de violation des dispositions du texte par le responsable de traitement. Initialement le montant des sanctions pouvait atteindre 150 000 euros maximum. Aujourd’hui il est question d’un maximum de 20 millions d’euros, ou 4% du chiffre d’affaires en cas de manquements relatifs aux droits des personnes.
Outre les sanctions administratives et les éventuels dommages et intérêts, l’employeur risque en cas de manquement à une obligation du RGPD des sanctions pénales.
Pour en savoir plus consultez nos dossiers sur le même sujet :
Une question ? Contactez-nous !