RDPG : quels impacts pour les entreprises et leurs salariés ?

On entend par donnée personnelle toute information permettant d’identifier directement (nom, prénom) ou indirectement (numéro client, numéro de téléphone etc.) une personne.

Par ailleurs, un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent également être protégés.

Comment se mettre en conformité avec le RGPD ?

Le règlement repose sur les principes suivants. Les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée
  • collectées pour des finalités déterminées, explicites et légitimes,
  • adéquates, pertinentes et limitées (minimisation des données),
  • exactes et tenues à jour ;
  • conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités ;
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle (intégrité et confidentialité).

Concrètement, les différentes actions à mener pour se conformer à ces principes sont les suivantes :

  1. Désigner un pilote : obligatoire que pour les organismes publics et les entreprises dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle.
  2. Recenser les fichiers : L’obligation de tenir un registre des traitements de données personnelles ne concerne que les entreprises d’au moins 250 salariés mais la Cnil en préconise la réalisation de manière plus large.

L’objectif est d’identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données (exemples en ce qui concerne la gestion des ressources humaines : le recrutement, la gestion de la paie, la formation, les déclarations sociales obligatoires etc.).

Il s’agit de répertorier pour chaque activité recensée : – le responsable du traitement ; – l’objectif poursuivi ; – les catégories de données utilisées (exemple pour la paie : nom, prénom, salaire, etc.) ; – qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ; – la durée de conservation de ces données, Le registre est placé sous la responsabilité du dirigeant de l’entreprise. La Cnil en propose un modèle sur son site Internet.

 

3. Repérer les traitements à risque :

Pour chaque traitement, il conviendra de vérifier :

– quelles ont été les circonstances de collecte des données : y-a-t-il eu consentement des personnes concernées ? Dans la négative la collecte répond-elle à des obligations particulières (collecte nécessaire au contrat, respect d’une obligation légale, par exemple le traitement de données relatives aux salariés pour les communiquer à la sécurité sociale ou l’administration fiscale…) ? ;

– quelle a été l’information délivrée aux personnes faisant l’objet de la collecte et du traitement : celles-ci ont-elles été informées de la finalité du traitement et de leurs droits ? ;

– la nature des données collectées au regard de la finalité du traitement : seules les données strictement nécessaires au traitement peuvent être collectées et traitées.

– que seules les personnes habilitées ont accès aux données dont elles ont besoin et que les données ne sont pas conservées au-delà de ce qui est né

 

4. Respecter le droit des personnes : Informer les salariés

Quel que soit le support de collecte utilisé (formulaire, questionnaire, etc.) celui-ci doit comporter les informations suivantes (RGPD art. 13 et 14) :

  • l’identité et les coordonnées du responsable du traitement
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement
  • les catégories de données à caractère personnel concernées
  • le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel (service interne à l’entreprise, prestataire…) ;
  • la durée de conservation des données ;
  • les modalités selon lesquelles les intéressés peuvent exercer leurs droits (via leur espace personnel sur le site internet de l’entreprise, par un message sur une adresse email dédiée, par un courrier postal à un service identifié…) ;
  • en cas de transfert de données hors de l’Union européenne, l’indication du pays concerné, l’existence ou l’absence d’une décision d’adéquation rendue par la Commission européenne ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

 

Ces informations doivent être données :

dès la collecte des données dans le cas où celle-ci sont recueillies directement auprès du salarié (lors de l’embauche, par exemple) ; à au maximum un mois après cette collecte si les données sont recueillies de façon indirecte, auprès d’une autre source.

Elles n’ont pas à être fournies si le salarié en dispose déjà.

A noter : s’agissant plus particulièrement des relations de l’entreprise avec ses salariés, la Cnil préconise d’informer ces derniers à chaque fois qu’il leur est demandé des informations (exemples : mises à jour de données administratives, demande de formation, formulaire d’entretien d’évaluation etc.) ou lors de la mise en place d’un dispositif de surveillance, selon des modalités à déterminer selon l’organisation de l’entreprise (note de service, avenant au contrat de travail, information sur l’Intranet, courrier joint au bulletin de paie etc.)

Garantir les droits des salariés sur leurs données

Les salariés ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement (droit à l’oubli), droit à la portabilité et à la limitation du traitement.

Les moyens d’exercer effectivement leurs droits doivent être mis à leur disposition : formulaire de contact sur un site web, numéro de téléphone ou adresse de messagerie.

De façon générale, le RGPD impose de procéder à la suppression des données dès lors qu’elles ne sont plus utiles au regard des finalités pour lesquelles elles ont été collectées. En ce qui concerne plus particulièrement le recrutement, les informations sur les candidats non retenus doivent être supprimées sauf s’ils acceptent de rester dans le « vivier » de l’entreprise (durée de conservation limitée à 2 ans).

Le droit à limitation d’un traitement s’entend de la faculté pour une personne de demander à ce que le responsable du traitement ne puisse se servir de certaines données collectées.

 

5. Sécuriser les données :

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données traitées et des risques qui pèsent sur les personnes en cas d’incident.

Différentes actions doivent être mises en place : mises à jour des antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement des données dans certaines situations.

L’entreprise victime d’une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou il a été constaté un accès non autorisé à des données) doit le signaler à la Cnil dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la Cnil.

Il faut aussi notifier à la ou les personnes concernées que leurs données ont été potentiellement mises en danger.

 

6. S’assurer, en cas de sous-traitance que le prestataire respecte le RGPD.

 

Cet article, à prédominance sociale, a vocation à s’appliquer à tous les domaines

Ce que vous devez savoir sur les jobs d’été

Zoom sur les principales règles à connaître avant d’employer des jeunes durant l’été.

Vous allez peut-être devoir recourir aux jobs d’été pour faire face à l’afflux de touristes, à une augmentation temporaire de votre activité ou tout simplement pour remplacer vos salariés partis en congés payés. Quoi qu’il en soit, il vous sera alors indispensables de bien maîtriser les règles qui s’appliqueront aux jeunes que vous accueillerez dans votre entreprise.

Un âge minimal à respecter

En principe, vous ne pouvez pas recruter un jeune âgé de moins de 16 ans. Toutefois, à condition d’obtenir l’accord de son représentant légal et l’autorisation préalable de l’inspection du travail, vous avez la possibilité d’employer un jeune de plus de 14 ans et de moins de 16 ans pour accomplir des travaux légers et adaptés à son âge pendant une partie de ses vacances scolaires. Mais attention, cette période de travail ne doit pas excéder la moitié de ses vacances, soit un mois de travail au plus pour 2 mois de vacances.

Un contrat en bonne et due forme

Quelle que soit la durée de son séjour dans votre entreprise, le jeune recruté dans le cadre d’un job d’été doit signer un contrat de travail à durée déterminée. Un contrat qui doit préciser, en particulier, le motif de sa signature (accroissement temporaire d’activité, remplacement d’un salarié absent…), son terme ou sa durée minimale ainsi que le poste de travail concerné.

Précision : la conclusion d’un contrat de travail avec un mineur suppose l’accord de son représentant légal.

Une rémunération basée sur le Smic

Votre jeune recrue a normalement droit à la même rémunération qui serait allouée à un salarié de qualification équivalente (diplôme, expérience…) embauché en contrat à durée indéterminée pour exercer la même fonction. Sachant que cette rémunération ne peut pas être inférieure au Smic ou au salaire minimal fixé par votre convention collective.

Une minoration du Smic est toutefois prévue pour les moins de 18 ans : de 20 % pour les jeunes de moins de 17 ans et de 10 % pour ceux âgés de 17 à 18 ans. Un abattement qui ne s’applique pas au jeune qui justifie de 6 mois de pratique dans votre branche professionnelle.

À savoir : les avantages accordés aux autres salariés de l’entreprise, comme les titres-restaurant, bénéficient également aux jeunes recrutés pour l’été.

Des conditions de travail aménagées

Les jeunes de moins de 18 ans ne peuvent pas travailler plus de 8 heures par jour (7 heures pour les moins de 16 ans), ni plus de 35 heures par semaine. Et vous devez leur accorder au moins 30 minutes de pause, dès lors que leur temps de travail quotidien excède 4 heures 30.

Quant au travail de nuit, c’est-à-dire celui effectué entre 22 heures et 6 heures (entre 20 heures et 6 heures pour les moins de 16 ans), il est, en principe, interdit aux mineurs.

Important : si vous recrutez un mineur, vous devez lui faire passer, avant sa prise de poste, une visite d’information et de prévention réalisée par un professionnel de santé.