Le nouveau règlement européen sur la protection des données du 27 Avril 2016 va entrer en vigueur en Mai 2018. Un nouveau règlement qui n’est pas sans conséquence sur le traitement des données RH et oblige les entreprises à se mettre en conformité dès maintenant.
Sécurité des données à l’heure du Saas et du Cloud
Nombreuses sont les entreprises à se diriger vers des logiciels de type SIRH pour faciliter la gestion RH au quotidien et pouvoir se concentrer sur des missions plus stratégiques en matière de RH. Ces solutions facilitatrices sont destinées à stocker des données sensibles voire confidentielles (état civil, situation personnelle, rémunération, données sur la santé…) Elles doivent donc garantir une grande fiabilité et sécurité. Bien souvent les entreprises choisissent plusieurs solutions et peuvent créer des failles de sécurité en éclatant les données. S’assurer du choix des outils et de leur fiabilité est pourtant la première responsabilité de l’entreprise. Que ce soit pour l’hébergement ou l’accès aux données, la solution choisie doit garantir une parfaite sécurité aux salariés qui restent, quoiqu’il arrive, toujours propriétaires de leurs données personnelles.
Face à la montée en puissance de ces outils, la directive européenne 95/46/CE a été mise en place afin de protéger les données à caractère personnel et notamment les données RH. Ce texte demande un usage loyal des données qui doivent être collectées de façon justifiée et légitime. Elles doivent être régulièrement mises à jour avec l’accord de la personne qui peut exercer un droit de rectification, suppression ou limitation d’accès. Le cadre légal a ainsi imposé aux employeurs d’assumer la responsabilité des données collectées et de garantir le respect de l’individu.
En France, cela s’est notamment caractérisé par l’obligation pour chaque entreprise d’opter pour des solutions avec un certain niveau de sécurité mais aussi de faire une déclaration de traitement de données auprès de la CNIL. Néanmoins, cette dernière procédure va désormais être simplifiée avec la nouvelle réglementation à venir.
Plus d’information et de responsabilisation pour moins de déclaration
Le nouveau règlement voté en avril dernier, qui abrogera en 2018 la directive 95/46/CE, met en œuvre une triple logique : transparence, simplification et responsabilisation de tous les acteurs. Le texte induit ainsi un vrai changement de mentalité en exigeant la fin des déclarations et en optant plutôt pour la mise en œuvre d’une responsabilisation de chaque acteur de la chaîne du traitement de données.
Les entreprises devront ainsi intégrer la protection des données privées dès la construction du traitement des données. Elles devront proposer des outils adaptés en informant toutes les personnes concernées des règles de sécurité mises en œuvre dans le cadre du traitement des données. Chaque entreprise devra aussi désigner un délégué à la protection des données qui succède au Correspondant Informatique et Liberté, dont le rôle était jusqu’à maintenant facultatif. Leur rôle exact est actuellement en cours de définition. Le défi est de trouver la personne adaptée, transverse aux départements informatiques, RH, juridique et à la direction.
Outre ces obligations, l’information des salariés devra être particulièrement renforcée : durée d’utilisation des données, finalités, nature, possibilités de recours, les salariés devront avoir accès à toutes ces informations. Les contrôles a posteriori seront renforcés pour s’assurer de la conformité des entreprises à ces obligations. Certaines entreprises seront aussi incitées à mener des études d’impact sur la vie privée pour les données à risque relatives à des données sensibles. La liste des données concernées va être prochainement annoncée mais a priori peu d’entreprises seront concernées par cette obligation.
Grâce à ce nouveau règlement, l’ensemble des pays européens va enfin proposer un droit harmonisé qui facilitera l’application et limitera les disparités, même si, en matière de droit du travail, les dispositions spécifiques seront malgré tout décidées par chaque Etat, selon sa propre interprétation. A noter que pour les traitements de données transnationaux, quand une entreprise a installé un dispositif RH européen, un guichet unique sera mis en place pour l’entreprise : il n’y aura qu’un pays de référence et ce sera son règlement et les sanctions associées qui s’appliqueront à l’ensemble de l’entreprise.
Bien que plus simple à gérer, la disparition de la déclaration n’est pas nécessairement synonyme de moins de contrainte pour les entreprises. Celle-ci devront être particulièrement attentives et responsables dans leur gestion des données avec des bases de données qui se multiplient. Il sera de leur responsabilité de mettre en place des processus internes pour être en conformité avec les exigences de la loi. Car non seulement les contrôles vont être renforcés mais les sanctions aussi. Celles-ci pourront ainsi atteindre 2 à 4% du CA mondial et les sanctions porteront aussi sur la perte et le vol des données. Charge à chaque entreprise de veiller à limiter les failles de sécurité.
La sécurité informatique va ainsi devenir un enjeu majeur pour les entreprises. Et c’est maintenant qu’il leur faut anticiper les changements. A elles d’instaurer dès à présent les process internes garantissant le respect de cette nouvelle règlementation et de s’assurer que les outils choisis pour leur gestion RH leur permettent de garantir une sécurité renforcée des données personnelles.
https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:31995L0046
Crédit image : Conçu par Freepik
