Actualités

Protéger la vie privée des salariés

Depuis le 25 mai dernier, toutes les entreprises doivent être en conformité avec le Règlement Général sur la Protection des Données (RGPD). Il renforce les droits des individus à l’accès, à la rectification et à l’oubli des informations personnelles, qu’elles soient physiques ou numériques. Plasti Ouest informe et accompagne ses adhérents : les explications de Christelle Chosse, juriste en doit social.

Le RGPD est-il une révolution ?

En réalité, la France était très en avance en matière de protection des données, avec la loi Informatique et liberté de 1978, dont le RGPD s’inspire largement. Le nouveau règlement vise à harmoniser la législation au niveau européen et, bien entendu, à prendre en compte les évolutions numériques dans un environnement mondialisé.

S’il y a révolution, c’est dans la façon d’appréhender les informations. Un nombre considérable de données est généré au quotidien à travers les processus de l’entreprise mais également par ses collaborateurs et tous les acteurs qui gravitent autour d’elle : clients, prospects, prestataires, partenaires, etc. Parmi les informations diffusées, certaines, relatives à la vie privée, peuvent se révéler sensibles. Le RGPD renforce la protection des personnes. Il a pour but de sensibiliser les entreprises à l’impact des données, de les responsabiliser et de les inciter à acquérir de nouveaux réflexes en matière de collecte et de traitement des informations.

Que doivent faire les entreprises pour être en conformité avec le RGPD ?

L’entreprise est tenue de définir les données personnelles qui sont réellement utiles et pertinentes, ainsi que les modalités de stockage, d’accès et de sécurité. Elle doit réaliser un état des lieux de l’existant, effectuer un tri dans ses archives papier et numériques selon les critères qu’elle a arrêtés, définir des axes d’amélioration et les prioriser ou encore, désigner un délégué à la protection des données. Il lui faut adapter ses outils informatiques pour qu’ils prennent en compte les nouveaux critères. Attention : l’entreprise est également responsable des données diffusées par ses prestataires et doit s’assurer de leur conformité.

Faire une déclaration ou une demande d’autorisation auprès de la Commission Nationale de l'Informatique et des Libertés n’est plus nécessaire : c’est désormais à l’entreprise de justifier de ses choix et de démontrer sa conformité en cas de contrôle par la CNIL. C’est pourquoi toutes les procédures, leur mise en place et leur suivi doivent être consignés dans un registre de traitement. Les pénalités en cas de non-respect sont lourdes : 2 à 4 % du chiffre d'affaires. Toutefois, pour les PME, la CNIL va avant tout vérifier que la démarche a été enclenchée et peut adapter la sanction en fonction des circonstances.

Quel rôle la Direction des Ressources Humaines est-elle amenée à jouer ?

Le service Ressources Humaines est dans l’entreprise l’un des plus concernés par la question de la protection des données personnelles : recrutement, entretiens annuels et professionnels, parcours de formation, gestion administrative, etc. sont autant d’occasion de collecter des informations. La DRH a pour rôle de sensibiliser, non seulement les membres de son équipe, mais également l’ensemble des collaborateurs à la finalité et aux exigences du RGPD et de les accompagner. Les salariés doivent être informés des données personnelles collectées, du fondement juridique de leur traitement, de leur durée de conservation, de leur droit de rétractation, etc. La DRH, qui s’assure de la protection des collaborateurs au présent et pour l’avenir, fait systématiquement signer un document stipulant ces informations, que ce soit aux candidats, aux salariés en poste, à ceux qui quittent l’entreprise au moment de la retraite ou à l’occasion de tout autre mode de rupture de la relation de travail.

Le salarié a le droit de refuser qu’une information personnelle soit conservée et, s’il manifeste son accord, ce doit être de façon explicite. Il peut à tout moment retirer son consentement.

Comment accompagnez-vous les entreprises ?

Nous diffusons les guides pratiques édités par la CNIL. Nous transmettons également des modèles d’information des candidats, des salariés et anciens salariés, ainsi que des modèles de convention à établir avec les prestataires. Bien sûr, nous répondons à toutes les questions des entreprises adhérentes dans le cadre de notre service SVP.

 

LES PREMIERS REFLEXES POUR EVITER LA FUITE DES DONNEES

  • Mettre à jour les anti-virus et logiciels.
  • Sécuriser les mots de passe et les changer régulièrement : ils doivent être complexes, détenus par une seule personne référente, ne pas être affichés par écrit.
  • Conserver les données les plus sensibles dans des endroits accessibles seulement aux responsables de l’entreprise.
  • Ne pas faire circuler de clés USB.
  • Masquer l’écran de son ordinateur lors d’une utilisation dans des lieux publics.
  • Etre vigilant aux données transférées par mail qui concernent un tiers, rendre anonymes les informations.
  • « Chiffrer » les données dans certaines situations.
  • Intégrer aux logiciels des systèmes de purges automatiques…

En cas de perte de données, la CNIL doit être informée dans les 72 heures.