À compter du 25 mai 2018, les règles relatives à la protection des données personnelles sont modifiées en raison de la mise en œuvre effective d’un règlement européen du 27 avril 2016, dit « RGPD ».
Les employeurs sont largement impactés dans la mesure où ils recueillent des données personnelles de leurs salariés, et de nouvelles obligations s’imposent à eux.
Employeurs : Comment vous mettre en conformité avec la RGPD ?
Quelles sont les données concernées par le règlement ?
Les données concernées par le règlement européen sont tous les fichiers comportant des données personnelles, c’est-à-dire les noms, prénoms, photos ou vidéos de personnes, données biométriques, etc.
En pratique, les employeurs recueillent un grand nombre de données personnelles : curriculum vitae, lettre de motivation, numéro de sécurité sociale, bulletins de paie, registre unique du personnel, organigramme, décompte du temps de travail, système de vidéosurveillance, etc.
Que change le RGPD ?
Pour l’essentiel, les principes généraux entourant le traitement des données personnelles ne changent pas (justification du traitement et des données collectées, durée de conservation, sécurité et confidentialité des données, respect des droits des personnes).
Avant le RGPD, sauf dispense, l’ensemble des traitements de données personnelles devait être déclaré à la Cnil. À compter du 25 mai 2018, ces déclarations systématiques sont supprimées mais, en contrepartie, les employeurs doivent pouvoir démontrer qu’ils respectent les règles. À cet effet, ils doivent faire un audit de tous les traitements… Par ailleurs, un certain nombre d’actions deviennent nécessaires, notamment la mise à jour les informations délivrées aux salariés concernant le traitement de leurs données et la révision des contrats conclus avec les sous-traitants.
Renforcement des sanctions
La Cnil, titulaire d’un pouvoir d’enquête et de sanction, peut appliquer des sanctions pouvant aller d’un rappel à l’ordre à l’application d’une amende administrative de 20 millions d’euros ou de 4 % du chiffre d’affaire mondial de la société.
En outre, le non-respect des règles relatives à la protection des données personnelles est pénalement sanctionné de 5 ans de prison et de 300 000 € d’amende.