Qu'est ce que le Règlement Général sur la Protection des Données (RGPD) va changer pour les salariés ? (1/2)

Qu'est-ce que le RGPD ?

Depuis quelques temps, tout le monde s'affole. Pourquoi ? Parce que le 25 mai 2018, entrera en vigueur le Règlement Général sur la Protection des Données ou RGPD (parfois nommé GDP pour General Data Protection Regulation). Mais le GDPR, qu'est-ce que c'est ? 

La Commission Européenne travaille sur ce projet depuis 2012, avec pour objectif d'harmoniser au sein de l'Europe la protection et la circulation des données personnelles (à défaut de pouvoir harmoniser la circulation des richesses ou du travail diront certains). Promulgué le 14 avril 2016, le texte, qui remplace défintivement la directive 95/46/CE sur la protection des données personnelles datant de 1995, entrera en vigueur en France à compter du 25 mai 2018.

Qu'est-ce qu'une donnée personnelle ?

L'article 4 du RGPD offre une nouvelle définition de ce qu'est une donnée personnelle, nettement plus englobante puisque toutes les données personnelles seront concernées : les données personnelles directes comme les données personnelles indirectes.

Ainsi, la donnée personnelle est définie "comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.".

Concrètement, intégrer dans une base de donnée le fait que M.X est médecin rue de la Poupée qui Tousse sera une donnée personnelle si M.X est le seul médecin rue de la Poupée qui Tousse (sa profession seule suffit à l'identifier, il s'agit d'une donnée personnelle indirecte). En revanche, s'il y a deux médecins dans la rue, il ne s'agit ni plus ni moins que d'une donnée comme une autre.

Quel impact aura l'entrée en vigueur du RGPD dans les entreprises ? 

D'un strict point de vue opérationnel, rien ne va changer entre le 25 mai 2018 et le 26 mai 2018. Les services marketing, recrutement, formation ou paie continueront de fonctionner exactement comme avant. Contrairement à ce qu'on peut lire ici ou là, le Règlement Général pour la Protection des Données n'interdit absolument pas d'utiliser les données personnelles de tiers. il s'agit seulement de préciser ce qu'est une donnée personnelle et de poser les principes relatif au traitement de ces données (conditions d'exécution, contrôle, ...).

En outre, dans le cas des traitements RH ou paie, la plupart des informations couvertes par le RGPD entrent dans le cadre des obligations contractuelles, des obligations légales pour la gestion RH ou de l'intérêt légitime (article 6b, c et f). C'est le cas par exemple de l'adresse du salarié, de sa situation familiale, de ses coordonnées bancaires, ...

Opérationnellement donc, on pourrait croire que le RGPD ne va pas vraiment impacter les salariés. Et pourtant... Tous les changements ne seront pas transparents loin de là.