Traiter des données personnelles de manière conforme au RGPD représente l’un des plus gros challenges pour les services de Ressources Humaines. En effet, les Ressources Humaines sont considérées comme une fonction à hauts-risques puisqu’elles font souvent face aux plaintes des personnes concernées, aux mesures règlementaires des autorités de contrôle et/ou aux sanctions en cas de non-conformité.
D’un point de vue financier, le RGPD impose deux niveaux de sanctions administratives en cas de non-conformité, selon la gravité :
- Niveau 1 – amendes de près de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé.
- Niveau 2 – amendes de près de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé.
Les employés sont considérés “vulnérables” selon le RGPD
Alors quel le RGPD propose un cadre règlementaire uniforme dans toutes les juridictions européennes, les données gérées par les Ressources Humaines doivent bénéficier d’un traitement spécial, les différenciant de la plupart des données consommateurs et B2B (business-to-business).
Les données gérées par les Ressources Humaines peuvent contenir des informations sensibles sur les employés, telles que leur origine ethnique, des données médicales ou encore un passé criminel. Les employés doivent se conformer aux restrictions et protections particulières, présentées par le RGPD lors du traitement de données sensibles. De plus, l’Article 37 du RGPD indique que les employeurs doivent désigner un délégué à la protection des données (DPD) si les principales activités de leur entreprise impliquent un contrôle régulier des personnes concernées à grande échelle.
Les employeurs doivent également suivre les exigences de protection des données particulière à chaque pays
Selon l’article 88 du RGPD, les Etats Membres de l’UE peuvent mettre en place d’autres restrictions ou conditions spéciales dans le cadre du traitement de données RH. Le RGPD a déjà mis en place une norme minimale, mais les Etats Membres peuvent établir des normes plus élevées. L’Allemagne l’a déjà fait via sa nouvelle loi nationale de protection des données en accord avec le RGPD. Elle met ainsi en place des exigences plus strictes concernant le contrôle des employés et le traitement de leur données personnelles.
Les employeurs doivent également se conformer au code du travail de chaque pays
Chaque pays européen a son propre Code du travail, ainsi que leurs propres contrôles sur la manière dont les entreprises traitent et conservent les données de leurs employés. Les employeurs devront se plier au code du travail ainsi qu’aux lois de protection des données propres à leur pays et aux accords collectifs.
Pour de nombreux employeurs, remplir leurs obligations auprès du conseil du travail local passe avant la mise en place de programme RH de gestion des données conforme au RGPD. Cependant, les organisations syndicales et conseils d’entreprise pèseront sur les négociations et la formalisation de traitement des données RH conforme au RGPD. Par conséquent, ils défendront les droits des employés selon le RGPD.
Les entreprises doivent être prêtes à faire face aux réclamations d’anciens employés ou de salariés mécontents, plus particulièrement lorsqu’un traitement des données inadapté a causé une décision défavorable pour un employé.
Les employeurs ne peuvent pas utiliser le consentement des employés afin de traiter leurs données personnelles
L’article 29 du Working Party (WP29), organe consultatif comprenant des législateurs de chaque Etats Membres de l’UE, prend en compte le fait que les employés ne peuvent fournir leur consentement pour leur propre compte pour la collecte, le traitement et le transfert de données RH. Cette directive, différentes des instructions de consentement pour les consommateurs et clients, met en avant le déséquilibre de pouvoirs entre employés et employeurs. Une base légale doit être établie afin que les employeurs puissent collecter et traiter les données de leurs salariés, telle que :
- Le contrat de travail
- Les exigences légales
- L’intérêt légitime de l’employeur
Pour que l’intérêt légitime soit valide, un employeur doit mener une analyse d’impact sur la protection des données (DPIA) balançant ses intérêts contre les droits à la vie privée des employés et démontre que ses intérêts l’emportent face aux risques liés aux droits à la vie privée des employés. A partir de là, l’employeur doit préciser de manière explicite l’intérêt légitime utilisé dans la politique de confidentialité.
Formation RGPD
Notre formation certifiée d’introduction au RGPD vous permet d’apprendre tout ce que vous devez savoir sur le règlement. Dispensée par un professionnel expert dans le domaine de la protection des données, elle vous fournira les informations suivantes :
- Contexte et terminologie du RGPD ;
- Les 6 principes de protection des données ;
- Les rôles de responsables du traitement et de sous-traitant ;
- Les droits des personnes concernées ;
- Comment sécuriser les données personnelles ; et
- Comment signaler une violation de données.
Cette formation d’une journée est idéale pour les directeurs et managers souhaitant comprendre l’impact du RGPD sur leur entreprise, les employés responsables du projet de conformité et toute personne ayant des connaissances basiques dans le domaine te souhaitant faire évoluer sa carrière.
