Cet article a initialement été publié sur le site du syndicat CFDT
Le Parlement européen a récemment adopté un règlement européen sur la protection des données personnelles. Un texte qui entrera en vigueur en 2018, et qui impactera les entreprises dans les données qu’elles possèdent sur leurs salariés. En France, où nous sommes déjà très avancés sur ce thème, il faudra toutefois revoir certaines pratiques pour se conformer à ce nouveau cadre européen. Règlement (UE) 2016/679 du 27.04.16.
En France, la CNIL (commission nationale de l’informatique et des libertés) est l’autorité compétente en matière de protection des données personnelles. La loi « Informatique et Libertés » du 6 janvier1978, modifiée par celle du 6 août 2004, régit les principes à respecter sur le traitement des données personnelles. Le règlement européen de 2016 vient donc modifier l’application des règles issues de cette loi.
Ce règlement opère une réforme de la directive de 1995 sur la protection des données. Il harmonise au niveau européen le traitement des données personnelles des citoyens en instaurant un régime juridique unifié. S’il ne s’applique pas spécifiquement aux employeurs par rapport aux salariés, il s’applique dans ce cas aussi et renforce les obligations des entreprises en matière de traitement des données personnelles de leurs employés. Ce règlement européen doit être mis en œuvre dans tous les États membres de l’Union Européenne d’ici le 25 mai 2018.
En droit interne, le changement sera moindre que dans d’autres pays, car la France est déjà bien avancée sur ce sujet. En outre, le projet de loi pour une République numérique, qui doit passer devant une commission mixte paritaire en ce moment même, s’inscrit dans la direction du règlement(1).
Toutefois ce règlement européen accroît tout de même le droit à l’information, notamment des employés sur le traitement de leurs données.
-
Une accessibilité renforcée des employés sur le traitement de leurs données personnelles
D’une part, le consentement du salarié à l’utilisation de ses données personnelles par son employeur doit pouvoir être prouvé à tout moment. Ce consentement doit être documenté et tracé. Il appartiendra notamment au contrat de travail (ou tout autre document remis à l’occasion de la signature) d’expliciter la manière dont seront gérées ces données personnelles afin que le salarié y consente explicitement (et par écrit).
D’autre part, les employés seront davantage informés et d’une meilleure manière sur le traitement de leurs données personnelles par leur employeur. Le règlement européen leur permet d’obtenir plus de lisibilité et de transparence sur l‘utilisation qui est faite de leurs données, en obligeant les employeurs à la détailler par écrit. Ce dernier se devra de tenir un registre des traitements des données personnelles pratiqués au sein de son entreprise. De plus, il sera obligé de notifier son employé d’une violation de ses données.
Les employés ont la possibilité de faire un recours en justice sur la base du non-respect de ce règlement européen.
-
L’introduction du principe « d’accountability » (2)
Par l’application de ce règlement, l’employeur a désormais l’obligation de démontrer de manière effective le respect de la réglementation informatique et liberté. Auparavant il devait déclarer à la CNIL le traitement des données personnelles. Maintenant, il doit faire un enregistrement interne à son entreprise des traitements qu’il effectue. Ce qui est plus contraignant puisque le détail des procédures informatiques, de conservation des données et des mesures de sécurité prises par l’entreprise doivent alors être conservés pour prouver la conformité au règlement. L’employeur doit faire preuve d’une vigilance accrue dans cette matière.
-
La mise en place de nouveaux dispositifs de conformité à la protection des données personnelles
Le règlement européen impose des outils pour que les entreprises puissent le respecter plus efficacement.
Tout d’abord, l’employeur devra désormais désigner quasi obligatoirement un DPO (Data protection officer). Le DPO est un délégué à la protection des données qui remplace la fonction de CIL (correspondant informatique et libertés). La désignation du CIL en droit interne n’était que facultative et devient par le règlement, obligatoire dans certains cas :
– soit quand les activités de base du responsable de traitement des données personnelles sont des traitements qui exigent un suivi particulier et systématique des personnes concernées ;
– soit quand les activités de base du responsable de traitement sont effectuées à large échelle, ou sur des données dite « sensibles » ou relatives à des condamnations ou à des infractions pénales.
Un travail serait en cours au niveau européen pour définir plus précisément ces catégories de traitements d’après Délia Rahal-Löfskog, chef du service de la santé à la direction de la conformité de la CNIL. Ces deux hypothèses risquent de couvrir au final une grande partie des entreprises. Le règlement européen exige de la fonction de DPO une plus grande expertise que ne l’avait prévu la loi Informatique et Libertés. En effet, la loi du 6 janvier 1978 dispose que le CIL doit bénéficier des « qualifications requises pour exercer ses missions » (3) tandis que le règlement européen prévoit que le DPO est choisi sur la base « de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données » (4). Il doit alors être doté d’une certaine expertise en droit des données personnelles pour pouvoir remplir pleinement ses missions.
Le DPO contrôle le respect du règlement européen dans l’entreprise. Il informe et conseille l’employeur et les employés en matière de traitement des données. Il est aussi le médiateur avec l’autorité de contrôle : il coopère avec la CNIL de manière plus accrue. Le DPO doit en effet notifier à la CNIL des failles de sécurité des données mais aussi aux personnes concernées par ces failles ce que n’avait pas à faire le CIL.
Par ailleurs, l’employeur doit réaliser des études d’impact pour les traitements susceptibles d’engendrer des risques pour les droits et libertés des employés. Ce dernier outil limite le profilage qui peut être effectué pendant l’embauche. Ces études seront effectuées par le DPO.
-
Des sanctions plus lourdes
Enfin, les sanctions financières se trouvent renforcées. La CNIL peut aujourd’hui prononcer à l’égard du responsable de traitement fautif de données personnelles une sanction pécuniaire limitée à 150 000 € (300 000 € en cas de récidive). Avec le règlement européen, la CNIL pourra sanctionner à hauteur de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial de l’entreprise.
(1) La loi pour la République numérique a 3 objectifs : donner une liberté accrue pour la circulation des données et du savoir; établir une égalité de droits pour les usagers du net; créer une fraternité pour une société numérique ouverte à tous.
(2) Trad. Responsabilité.
(3) Art. 22 III loi n°78-17 du 06.01.78.
(4) Art. 35 du règlement 2016/679.