Le règlement général sur la protection des données (RGPD) de l’Union européenne (UE) est entré en vigueur le 25 mai 2018. Alors que de nombreuses personnes morales et des personnes physiques, dont les activités et prestations, cœur de métier relèvent du domaine de l’Informatique et des Technologies de l’Information et de la Communication cherchent à assurer le respect des données de leurs clients et fournisseurs, un domaine extrêmement sensible qui ne doit pas être négligé est l’application du RGPD aux employés et aux informations liées aux ressources humaines.
Vos employés jouent un double rôle à la fois comme personnes concernées et comme personnes
chargées du traitement des données à caractère personnel au sein de votre organisation afin
d’atteindre vos objectifs au titre de responsable du traitement des données.
Afin de vous éclairer sur la façon dont vous pouvez protéger les données à caractère personnel de
vos employés, nous avons décidé de publier une série d’articles qui vous guideront à travers les sujets suivants :
- Que signifie concrètement le RGPD ?
- Quelles sont les pratiques complexes de traitement des données d’employés ?
- Comment choisir la base légale la mieux adaptée pour traiter les données personnelles des
employés ? - Que faut-il faire pour traiter en toute légalité les données personnelles dites « sensibles » ?
- Quels principes et droits de protection des données des employés doivent être respectés ?
- Existe-t-il de actions simples pour assurer la conformité des activités de traitement des
données d’employés avec le RGPD ? - Peut-on discuter quelques bonnes pratiques des traitements RH controversées ?
Pour commencer, nous aimerions aujourd’hui vous expliquer simplement en quoi consiste le RGPD
- Applicabilité du RGPD
Alors que de nombreuses entreprises peuvent penser que le RGPD ne s’applique pas à elles parce qu’elles ne collectent pas de données personnelles de leurs clients/consommateurs, le RGPD
s’applique à toute entreprise qui a des employés dans l’UE, et plus particulièrement au traitement des données personnelles ou des personnes concernées se trouvant dans l’UE. En effet, il n’est pas
nécessaire qu’il s’agisse exclusivement de données personnelles de clients résidents dans l’UE, mais cela suffit si vous y avez des employés.
Que sont donc les « données des employés » ou les « données des ressources humaines » ? Ce sont simplement le dossier de candidature d’un employé, son dossier personnel, les informations relatives à sa paie, ses congés, ses certificats médicaux et toutes les informations que les employeurs ont sur leurs employés, que ce soit pour l’embauche/le licenciement, la rémunération, les avantages, etc. En d’autres termes, il s’agit de tout ce que vous, en tant qu’employeur, collectez contenant des informations sur un employé.
Les « données à caractère personnel » ou » données personnelles » ont un sens large selon le RGPD et comprennent toute information relative à une personne identifiée ou identifiable par croisement,
telles qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale,
économique, culturelle ou sociale de cette personne physique.
Quant au « traitement », ce terme est également large et comprend la collecte, le stockage, l’enregistrement, le rassemblement, l’organisation, la modification, l’altération, l’extraction,
l’utilisation, la divulgation ou toute autre forme de mise à disposition des données à caractère personnel d’un employé. Fondamentalement, si vous collectez les données à caractère personnel d’un employé, vous traitez des données à caractère personnel.
- Différenciation entre les données des employés et les
données des consommateurs ou des clients professionnels
Il existe un nombre important de règles spécifiques à la conformité au RGPD pour les données relatives aux employés par rapport aux obligations pour les données relatives aux clients ou aux
fournisseurs, c’est-à-dire les données d’entreprise à consommateur (B2C) ou d’entreprise à entreprise (B2B), ce qui rend la conformité au RGPD pour le traitement des données relatives aux employés extrêmement, difficile et sensible pour les employeurs. Nous examinerons les règles relatives au traitement des données des clients.Aujourd’hui, nous lançons notre série d’articles sur
les éléments qui requièrent une attention particulière lors du traitement des données relatives aux employés afin de comprendre ce qui est nécessaire pour se conformer au RGPD.
- Esprit du RGPD
Nous devons avant tout comprendre pourquoi le RGPD adopte une approche très large de la protection des données personnelles.
L’objectif du RGPD est d’adapter une approche unifiée de la législation sur la protection des données personnelles à l’utilisation moderne de celles-ci. Le RGPD ne vise pas à restreindre le traitement des données personnelles, mais plutôt à l’adapter au monde actuel et à garantir que le traitement est effectué de manière à protéger les droits des
personnes visées. Par exemple, de nombreuses organisations sous-traitent des services à des tiers (par exemple, des services de paie ou de formation), utilisent des services d’hébergement dans le
nuage (plutôt que des bases de données sur site) et s’engagent avec la personne concernée (par exemple, par le biais de formations/enquêtes) pour collecter et analyser les données
démographiques, les connaissances et l’expertise de leur personnel. Ces actions devront être revues (mais pas nécessairement limitées) à la lumière du RGPD dans le but d’améliorer la qualité des
activités.
Par conséquent, nous espérons que cela pourra vous confirmer que le RGPD n’est pas votre adversaire, mais votre allié qui vous protège lorsque vous vous conformez à ses règles. Consultez notre prochain article, car nous y aborderons des sujets brûlants qui rendent les règles du RGPD délicates dans la pratique, au moment où vous prévoyez de traiter les données personnelles des
employés
Cet article a été rédigé par Aquibou DOUCOURE adhérent CINOV et CEO de Blockproof RGPD