RGPD : La protection des données personnelles en entreprise

On parle souvent du RGPD et de la protection de nos données personnelles par les entreprises dont nous sommes clients, des organisations avec lesquelles nous entrons en interaction au quotidien mais rarement des données personnelles collectées par notre entreprise. Pourtant, la collecte des données par l’employeur ne fait pas exception à l’obligation de se conformer au RGPD.

Les obligations des entreprises en termes de protection des données

Les exigences en matière de protection des données peuvent être résumées en évoquant les grands principes du RGPD, notamment l’article 5 du RGPD dans notre cas, auxquels doit se conformer toute entreprise qui souhaite collecter des données personnelles :

Les données personnelles doivent être traitées de manière licite, loyale et transparente :

• Un traitement de données doit correspondre à une base légale permettant de rendre légitime l’utilisation des données, ex. consentement, loi, contrat… (licéité)
• Le traitement des données doit être effectué selon ce qui a été décrit aux personnes concernées (loyauté)
• La personne concernée doit être informée sur le traitement de ses données (transparence)

Le traitement des données doit se faire dans un but précis (limitation des finalités)

Seules les données nécessaires pour atteindre cet objectif doivent être traitées (minimisation des données).

Les données ne peuvent en principe être conservées au-delà de la durée nécessaire pour atteindre la finalité (limitation de la conservation).

Les mesures nécessaires doivent être mises en place pour garantir la sécurité et la confidentialité des données et donc pour les protéger contre toute perte, traitement non autorisé ou illicite des données ou encore destruction (intégrité et confidentialité).

Les experts DLD ont rédigé un dossier sur les données personnelles pour en apprendre plus.

L’entreprise (employeur) est tenu(e) de documenter la conformité (Accountability) et de mettre en place des procédures adaptées pour assurer le respect de ces exigences, telles que le registre des traitements, le processus pour la gestion des exercices des droits des personnes…

L’employeur doit non seulement garantir que les données de ses salariés sont bien protégées, il doit également sensibiliser ces derniers aux règles de protection des données. Ceux-ci doivent en effet tenir compte dans le cadre de leurs missions de ces obligations et ne collecter que les données nécessaires à la finalité définie.

L’encadrement des droits de suppression ou de récupération de ses données

Le salarié a le droit de demander la suppression de ses données dans certains cas spécifiques prévus par le RGPD tels que lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités : si la personne concernée retire le consentement sur lequel est fondé le traitement, si la personne concernée s’oppose au traitement et qu’il n’existe pas de motif légitime impérieux pour le traitement, si les données à caractère personnel ont fait l’objet d’un traitement illicite… (article 17 du RGPD).

Le droit à la portabilité ne concerne que les données traitées de manière automatisée et lorsque la base du traitement est le consentement ou l’exécution du contrat (article 20 du RGPD).

Selon le RGPD, toute personne peut demander à un organisme d’accéder aux données la concernant (article 15 du RGPD). Ainsi, le salarié peut s’adresser au service concerné et demander d’accéder aux données de son dossier professionnel.

Les données personnelles qu’une entreprise a le droit de conserver

Les entreprises ont de le droit de conserver :

• Les données dont le traitement est légitime au regard de la finalité.
• Les données dont la conservation est justifiée au regard de la durée de conservation définie.

Un principe d’interdiction (article 9 du RGPD) : les données de santé font partie de la catégorie des données dites « sensibles », et dont le traitement est par nature interdit.

Exceptions :

Le RGPD donne une série de 10 exceptions permettant de traiter les données de santé : Par exemple, lorsque la personne a, par exemple, donné son consentement explicite ou bien pour la préservation des intérêts vitaux de la personne concernée ou d’une autre personne physique

Deux conditions principales doivent être réunies pour qu’un employeur puisse traiter des données de santé relatives à un candidat :

• application de l’une des exceptions de l’article 9 2) du RGPD
• respect du principe de minimisation des données

La donnée révélant le handicap d’un candidat afin d’évaluer sa capacité à occuper le poste proposé et de mesurer ses aptitudes professionnelles fait partie des exceptions fait, par exemple, partie de ces exceptions.

Les obligations des entreprises en cas de vol de données

Selon l’article 32, tout organisme doit mettre en place des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données. Ces mesures doivent notamment permettre de suivre les flux des données et de détecter les failles de sécurité. A titre d’exemple, les données les plus sensibles doivent être isolées, voire séparées des autres données afin d’empêcher l’accès en cas d’attaques. Dès la détection d’une fuite de données, l’entreprise doit prendre toutes les mesures nécessaires pour limiter les risques. Il lui revient également de rassembler les preuves sur cette fuite si elle souhaite porter plainte.

L’entreprise doit notifier la CNIL dans les meilleurs délais et si possible dans un délai de 72h, à moins que la violation ne soit pas susceptible d’engendrer un risque (article 33 du RGPD).

L’entreprise doit également notifier les personnes concernées dans le cas où le risque est élevé (article 34 du RGPD).

La violation des données doit être documentée en interne en indiquant les faits, les conséquences de la violation ainsi que les mesures prises pour limiter les risques.

Vérifier que vos données personnelles sont bien protégées par votre entreprise en tant que salarié

Il est possible, pour un salarié, de vérifier le respect des exigences sur les données personnelles par l’employeur :

• en consultant les mentions d’information décrivant les conditions dans lesquelles les données personnelles sont traitées : politique de confidentialité, PSSI de l’entreprise…
• en s’assurant que tel ou tel traitement est bien inscrit dans le registre des traitements
• ou encore en exerçant les droits conférés aux personnes concernées, c’est-à-dire en demandant à l’employeur (responsable de traitement) de justifier des mesures de sécurité prises en application notamment de l’article 32 du RGPD. C’est une des manifestations de l’importance qu’a pris le principe d’accountability dans la gestion des données au sein des entreprises.

Les services et directions qui peuvent avoir accès à vos données en tant que salarié

L’article 30 du RGPD prévoit que le registre des traitements mentionne « les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ». L’entreprise doit donc, pour chaque traitement, identifier les destinataires, et doit pour cela avoir une politique restrictive, conforme aux principes généraux du Règlement en matière de finalité et de sécurité. Ainsi, afin de pouvoir renseigner cette information dans le registre, le responsable de traitement doit s’interroger sur la pertinence des accès à chaque traitement. C’est un processus nouveau pour les entreprises, qui précédemment au RGPD accordaient beaucoup moins d’importance à cette limitation d’accès.

L’identification des services et directions pouvant accéder aux données se fait selon la finalité : un service ne peut accéder qu’aux données nécessaires à la finalité.

L’article 32 du RGPD impose la mise en place de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données.

Dans cette perspective, tout organisme doit mettre en place une politique de contrôle d’accès aux données à caractère personnel. De plus, au sein du service et de la direction, l’accès de chaque utilisateur doit être limité aux données strictement nécessaires au regard des missions qui lui sont confiées.

Cette politique doit être revue régulièrement afin de supprimer les comptes des personnes ayant quitté l’entreprise ou ayant changé de poste.

Ainsi, seules les personnes chargées de la gestion du personnel peuvent avoir accès aux informations des employés. Les supérieurs hiérarchiques peuvent uniquement accéder aux informations nécessaires à l’exercice de leurs fonctions.

L’obligation d’informer les salariés en cas de piratage des données

Le seul moyen qui permet de savoir si ses données ont été piratées est « l’obligation de notification aux personnes concernées ». Une fois informées, les personnes victimes de cette violation pourront porter plainte contre l’entreprise qui n’a pas respecté les exigences.

Le risque en cas de piratage des données personnelles d’une entreprise et de ses salariés

A la suite d’une violation des données, l’entreprise doit prendre les mesures nécessaires afin de limiter les risques. Elle doit également renforcer les mesures mises en place afin d’éviter la reproduction de telles fuites. La CNIL peut prononcer des mesures correctives contre l’employeur pouvant aller du simple avertissement jusqu’à l’ordre de mettre un terme au traitement (article 20 et la Loi Informatique et Libertés).

La CNIL peut également prononcer une amende administrative « pouvant s’élever jusqu’à 10 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » (article 83 §4). De plus, « le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » (article 83 §5).

Les manquements aux exigences sur les données personnelles sont également punissables pénalement. Les articles 226-16 et s. du Code Pénal prévoient des sanctions pouvant aller jusqu’à 5 ans de prison et 300 000 euros d’amende.

Les principaux risques pour les salariés :

• Vente des données
• Utilisation des données pour pirater d’autres comptes dans le cas où des mots de passe sont concernées par la fuite
• Chantage
• Croisement des données avec d’autres données et donc possibilité d’avoir encore plus d’informations sur la personne
• Usurpations d’identité
• Envoi de courriels frauduleux (hameçonnage)

L’obligation de la part de l’entreprise de communiquer à ses salariés son plan de protection informatique

La communication du plan de protection informatique est nécessaire dans la mesure où il permet de sensibiliser les salariés aux comportements devant être adoptés en matière de sécurité. Ainsi par exemple, il permet d’informer sur la politique de mots de passe.

L’encadrement de l’accès aux données personnelles des collaborateurs

Le traitement de toute donnée à caractère personnel doit se faire en conformité avec les exigences légales applicables en la matière. Il est obligatoire de protéger les données et ne permettre l’accès qu’aux personnes autorisées. Ainsi, publier ou révéler des données relatives à une personne physique est strictement prohibé, à moins qu’il y ait une raison légitime.

Le droit de refus de la transmission des données personnelles (hors celles obligatoires par contrat) à son employeur en tant que salarié

Pour garantir la licéité du traitement, il doit être fondé sur l’une des bases légales de l’article 6 du RGPD.

La possibilité de refuser ou pas la transmission d’une donnée dépend de la base légale du traitement concerné.

Un certain nombre de traitements effectués par l’employeur ont pour base légale « l’exécution du contrat » ou encore « le respect d’une obligation légale ».

La fourniture des données est dans ces cas obligatoire et sans ces données, l’employeur ne peut s’engager, ni se conformer aux obligations qui lui incombent en vertu d’un tel contrat.

En revanche, lorsque le traitement des données a pour base légale le consentement, le salarié ne peut être forcé à donner son accord à ce traitement et donc à transmettre les données concernées.

Il faudrait dès lors bien veiller au choix de la base légale qui correspond au traitement en question.

L’obligation de nommer un DPO (Data Protection Officer) au sein d’une entreprise

La désignation d’un DPO est obligatoire dans les cas suivants (article 37 §1 du RGPD) :

• Si le traitement est effectué par une autorité publique ou un organisme public (exception : juridictions agissant dans l’exercice de leur fonction juridictionnelle).
• Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.
• Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions

Or, en pratique, il n’est pas toujours facile de savoir si la désignation d’un DPO est obligatoire concernant les traitements en question.

En cas de doute, il est recommandé de désigner un DPO. En effet, le DPO joue un rôle clé dans la mise en conformité RGPD en ce qu’il permet notamment de faciliter la conformité des traitements.

Le référentiel de la CNIL :

Un référentiel qui s’adresse aux employeurs a été adopté par la CNIL (avril 2020). Il concerne les traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines. Des précisions sont intégrées concernant notamment les bases légales des traitements et les durées de conservation.

Exemples de durées de conservation présentées :

• Bulletin de salaire :
  • En base active : 1 mois
  • Archivage intermédiaire : 5 ans (et 50 ans en version dématérialisée).
• Registre unique du personnel :
  • En base active : La durée pendant laquelle le salarié fait partie des effectifs
  • Archivage intermédiaire : 5 ans à compter du départ du salarié de l’organisme

La consultation de la CNIL :

Projet de guide de recrutement

La CNIL lance une consultation publique sur un projet de guide sur le recrutement. La consultation est ouverte jusqu’au 19 novembre 2021. La publication du guide définitif est prévue pour février 2022.

Cas possibles :

1^er cas : Un ancien salarié qui demande la suppression définitive des données relatives à la paie alors que ces données doivent être archivées pour des questions de preuve.

Cette demande ne peut être acceptée, l’employeur ayant l’obligation de conserver ces données.

Le droit à l’effacement n’est en effet pas absolu. Il ne s’applique pas lorsque le traitement en question est nécessaire dans le cadre d’une obligation légale (article 17 3) b RGPD). C’est le cas du bulletin de salaire qui doit être conservé 1 mois en base active et en base intermédiaire : 5 ans si version papier (Article L3243-4 Code du travail) et 50 ans si version dématérialisée (Article D3243-8 Code du travail).

2^ème cas : un salarié qui retire son consentement concernant l’utilisation de sa photo et qui exerce par la suite son droit de suppression.

D’une part, l’employeur ne peut utiliser l’image du salarié sans son accord. D’autre part, le droit à l’effacement s’applique dans le cas où la personne concernée retire son consentement et il n’existe pas un autre fondement juridique au traitement en question (article 17 1) b RGPD). Ainsi, si un salarié retire son consentement concernant l’utilisation de sa photo et qu’il fait par la suite une demande de suppression, celle-ci doit être acceptée du moment où le traitement de la photo ne peut être justifié par une autre base légale.

Des exemples de sanctions de la CNIL appliquées à des entreprises concernant les données personnelles des salariés

• Délibération n° SAN-2019-006 du 13 juin 2019 :

La CNIL a sanctionné l’entreprise Uniontrad Company pour avoir mis en place des caméras plaçant les salariés sous surveillance permanente et constante. Elle considère ainsi que « l’utilisation d’un dispositif de vidéosurveillance conduisant à placer des salariés sous une surveillance permanente n’apparaît pas justifiée et doit être considérée comme manifestement disproportionnée et excessive au regard de la finalité déclarée ». (amende administrative de 20 000 euros).

• Délibération n°SAN-2020-003 du 28 juillet 2020 :

La CNIL a sanctionné l’entreprise Spartoo en raison notamment du manquement au principe de minimisation des données. L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés a été considéré comme étant excessif au regard de la finalité qu’est l’évaluation de ceux-ci par la société (amende administrative de 250 000 euros).

• Délibération SAN-2018-009 du 6 septembre 2018 :

La CNIL a sanctionné le recours à un dispositif biométrique pour contrôler les horaires des salariés (amende de 10 000 euros). Elle considère en effet que la société a procédé à une collecte de données excessives au regard des finalités pour lesquelles elles étaient collectées, aucune circonstance exceptionnelle ne pouvant justifier le recours à la biométrie pour la gestion des horaires des salariés.

• Délibération SAN-2021-008 du 14 juin 2021

La CNIL a sanctionné la société Brico Privé (amende de 500 000 euros) pour, entre autres, manquement à l’obligation de sécurité (article 32 RGPD). Elle a relevé que le niveau de sécurité est faible et ne répond pas aux exigences de complexité des mots de passe, tant pour les salariés que pour les utilisateurs des sites.

En Allemagne, l’équivalent de la CNIL, le Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, a sanctionné l’entreprise H&M (35 millions d’euros) pour surveillance illégale de ses salariés.