RGPD : quel est l’impact sur la gestion du personnel ?

La nouvelle législation européenne sur la protection de la vie privée entre en vigueur le 25 mai 2018 et modifie le cadre légal en matière de protection des données. Cette législation est connue sous le nom RGPD, Règlement Général sur la Protection des Données. Une étude récente du SNI démontre que seulement 1/3 des indépendants, des micro-entreprises et des PME se sont informés sur le RGPD et savent en général ce que cette nouvelle règlementation implique. Pourtant cette nouvelle législation a un impact certain sur la gestion du personnel avec des sanctions importantes à la clé.

Publié 24-05-2018

rgpd-2

Le règlement général sur la protection des données (RGPD) deviendra effectivement applicable au sein de tous les Etats membres de l’Union européenne à partir du 25 mai 2018.

Le RGPD vient fondamentalement modifier le cadre législatif en matière de protection des données à caractère personnel en Europe. Ce règlement, qui remplacera en Belgique la loi du 8 décembre 1992 relative à la protection de la vie privée, aura des implications très concrètes sur la gestion quotidienne des ressources humaines et le recrutement.

Pour éviter d'éventuelles sanctions, vous devez être en mesure de répondre à différentes questions et de les appliquer concrètement sur le terrain :

  • Quand peut-on traiter des données à caractère personnel de travailleurs et de candidats ?
  • Quelle information communiquer aux travailleurs et candidats ?
  • Comment un employeur peut-il démontrer son respect du RGPD ?
  • Est-il obligatoire de désigner un délégué à la protection des données (privacy officer) ?
  • Les contrats avec les fournisseurs de services liés à la gestion du personnel doivent-ils comporter des clauses particulières ?
  • Que faire en cas de fuite de données ?
  • L’employeur a-t-il des obligations particulières si les données de son personnel sont transmises à l’étranger ?

Ces diverses implications sont analysées de manière pratique dans l'ouvrage "RGPD : quel impact sur la gestion du personnel ?" paru dans la collection "Entreprise et droit social".

Cet ouvrage est l'oeuvre de Julien Hick (associé au sein du cabinet Laga et avocat au barreau de Bruxelles depuis 2004) et Robert Invijajev (avocat au sein du département de droit social du cabinet Laga, et membre du barreau de Bruxelles depuis 2016) que nous avons rencontré à ce sujet :

Pourriez-vous vous présenter en quelques lignes ?

Julien Hick 
: je suis associé au sein du cabinet d’avocats Laga et avocat au barreau de Bruxelles depuis maintenant 14 ans. Je pratique le droit du travail dans ses différents aspects, avec un focus sur les réorganisations d’entreprises.
Je m’occupe également depuis presque 10 ans (soit bien avant qu’il soit question du RGPD) de protection des données à caractère personnel, notamment dans le cadre des relations de travail.

Robert Invijajev : pour ma part, je suis devenu avocat au Barreau de Bruxelles en 2016, après avoir achevé mes études de droit à l’Université Libre de Bruxelles. Je pratique également le droit du travail et le droit de la protection des données au sein du cabinet Laga.

Pourquoi avoir choisi de rédiger un ouvrage sur le RGPD ?

Julien Hick : Le RGPD est sans doute la législation européenne qui suscite actuellement le plus d’intérêt, aussi bien dans le monde des affaires qu’auprès du grand public. Et pour cause, même si certains aspects ont été un peu exagérés, il est clair (notamment au vu des sanctions possibles) que toute entreprise devra maintenant sérieusement se préoccuper de protection des données à caractère personnel.

Robert Invijajev : Avec ce livre, nous avons souhaité avant tout apporter notre contribution pour démystifier et ancrer dans le concret les quelques 88 pages que compte le RGPD (sans compter les nombreux commentaires et recommandations de la Commission de la protection de la vie privée ou du Groupe de travail « Article 29 »).
Le livre se concentre plus particulièrement sur la gestion du personnel, qui constitue un des domaines principaux dans lesquels le RGPD est amené à s’appliquer.

Quel est l’objectif de cet ouvrage ?

Julien Hick : Le RGPD couvre un éventail de réalités extrêmement vaste. Il s’applique ainsi aux traitements de données du personnel d’une entreprise, mais également à des activités qui n’ont aucun lien avec la gestion du personnel (marketing, services financiers, économie digitale, etc.). Compte tenu de ces réalités très diverses, le RGPD ne pouvait qu’être constitué de règles abstraites et de concepts définis de manière large (et parfois peu tangible).
Avec cet ouvrage, notre objectif est d’illustrer ces règles et concepts avec des exemples concrets tirés de la pratique de la gestion du personnel.
Nous avons voulu ainsi apporter des précisions sur les implications qu’aura l’application du RGPD au jour le jour et la manière suivant laquelle il faut mettre en œuvre les diverses exigences prévues par le RGPD.

Robert Invijajev : Le livre n’a pas la prétention de couvrir toutes les questions soulevées par la protection des données à caractère personnel, mais constitue plutôt un guide pratique du RGPD dans le cadre de la gestion des ressources humaines et du recrutement.

LE RGPD entre en vigueur le 25 mai 2018. Quelles sont les principales modifications législatives apportées en matière de protection des données à caractère personnel ? Quel impact aura-t-il sur la gestion des ressources humaines ?

Robert Invijajev : Le RGPD reprend dans les grandes lignes les principes sur lesquels se basaient les précédentes législations en matière de protection des données à caractère personnel.
Il introduit toutefois toute une série d’obligations nouvelles à charge des responsables du traitement. On peut citer par exemple : 

  • la tenue d’un registre des activités de traitement ;
  • la désignation, dans certains cas, d’un délégué à la protection des données ;
  • la réalisation d’analyses d’impact dans des cas bien précis ;
  • l’obligation de conclure des contrats plus détaillés avec les sous-traitants qui sont amenés à traiter des données pour le compte du responsable du traitement (p.ex. secrétariats sociaux, fournisseurs de services de stockage de données, etc.).

Le RGPD étoffe aussi les droits des personnes concernées par le traitement de leurs données, en introduisant entre autre le droit à l’oubli, le droit à la portabilité des données ou encore en précisant les modalités pour donner un consentement valable au traitement.
La réelle nouveauté du RGPD réside cependant dans le renforcement des pouvoirs des autorités de contrôle au niveau de chaque Etat membre, chargées d’assurer l’application effective de cette législation. En Belgique, l’Autorité de protection des données viendra remplacer la Commission de la protection de la vie privée. Contrairement à cette dernière, l’Autorité de protection des données disposera désormais de réels pouvoirs d’investigation et de sanction, au même titre que la FSMA pour les institutions financières ou l’Autorité de la concurrence en matière de droit de la concurrence. Les sanctions en cas de manquement au RGPD sont sévères et peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial du responsable du traitement. 

Julien Hick : En plus de cet enjeu financier, le respect de la législation en matière de protection des données devient également un enjeu de réputation pour les entreprises. Un certain nombre de scandales impliquant des fuites de données à caractère personnel ont fait l’objet d’une importante médiatisation. Le public devient conscient de l’importance de la protection des données, et cette réalité se vérifie également au sein des entreprises.
Enfin, le respect du RGPD est également un enjeu de preuve compte tenu du fait que les preuves collectées en violation des règles en matière de protection des données sont en principe illicites, ce qui peut mener à leur écartement des débats dans le cadre de procédures judiciaires.
En ce qui concerne l’impact sur la gestion du personnel, il ne fait guère de doute qu’à côté des géants du web et des autorités publiques, les départements des ressources humaines sont parmi les grands « brasseurs » de données à caractère personnel. Ils sont donc directement concernés par les exigences du RGPD. Il suffit de penser à la gestion des salaires ou des prestations des travailleurs pour se rendre compte du volume important de données à caractère personnel traitées.
La matière des ressources humaines peut également impliquer des activités de traitement plus sensibles liées par exemple à l’état de santé des travailleurs, à la surveillance sur le lieu de travail ou encore la vérification des antécédents judiciaires des candidats.
Le RGPD est donc certainement d’importance pour qui est impliqué dans la gestion des ressources humaines.

A qui s’adresse votre ouvrage ?

Julien Hick : Notre ouvrage s’adresse en premier lieu aux juristes d’entreprises, aux responsables des ressources humaines et toute personne active dans la gestion du personnel et qui seront inévitablement amenés à appliquer le RGPD au quotidien.
Le livre s’adresse également à tous autres praticiens du droit (avocats, juges, magistrats, etc.) qui y trouveront, en plus des aspects pratiques, nos commentaires sur les dispositions du RGPD ainsi que les références aux différents avis et recommandations de la Commission de la protection de la vie privée et du Groupe de travail « Article 29 ».

Pour en savoir plus sur le Règlement général sur la protection des données voyez notre site internet.

  606