Menu
Vous êtes ici : Accueil > Actualités > Actualités juridiques > Qu'est ce que le Règlement Général sur la Protection des Données (RGPD) va changer pour les salariés ? (2/2)

Qu'est ce que le Règlement Général sur la Protection des Données (RGPD) va changer pour les salariés ? (2/2)

Qu'est ce que le Règlement Général sur la Protection des Données (RGPD) va changer pour les salariés ? (2/2)
Le 22 mai 2018
Le 25 mai 2018 le Règlement Général sur la Protection des Données entrera en vigueur. Quel impact sur les salariés ? Petit tour d'horizon des bénéfices que l'on pourrait attendre de la mise en place de ces nouveaux droits...

Le 25 mai 2018, le Règlement Général sur la Protection des Données, ou RGPD, entrera en vigueur en France. Si concrètement la plupart des informations récoltées par les services paie, RH, recrutement, recouvrement et marketing entrent dans le cadre de l'article 6 du RGPD et sont récoltées dans le cadre d'un intérêt légitime et que l'on pourrait donc croire qu'opérationnellement, pas de changement... les modifications emportées par l'entrée en vigueur du RGPD sont nombreuses pour les salariés.

On pourrait déterminer 3 catégories d'impacts : ceux d'abord qui seront transparents pour la plupart des salariés, ceux ensuite qui permettront plus de transparence tout en permettant aux salariés d'être des acteurs passifs, ceux, enfin, dont le salariés pourrait avoir un bénéfice à condition d'être actif.

Quels seront les changements transparents de la mise en place du RGPD ?

Encore une fois, la mise en place du RGPD ne signifie pas que les entreprises ne pourront plus collecter de données personnelles, qu'elles soient directes ou indirectes. Cela signifie simplement que toute collecte ou toute utilisation de donnée devra être justifiée.

C'est le premier objectif du Règlement Général sur la Protection des Données -et l'on ne peut que s'en réjouir : améliorer la sécurité de nos données personnelles. Nul besoin de faire quoi que ce soit. Les entreprises, mais aussi toute la chaîne de sous-traitance devront renforcer la sécurité de la collecte, du traitement et de la conservation des données personnelles dont ils auront la garde. En outre, et même si elles ne sont pas obligatoires pour tous les traitements, les études d'impacts dont le but est l'évaluation du risque de traitement pour les personnes et non pas pour les entreprises devraient également permettre d'améliorer la sécurité du traitement et de la gestion des données personnelles puisqu'en cas de risques elles doivent systématiquement être suivies par des mesures de protection additionnelles.

Le second objectif du Règlement Général sur la Protection des Données est de limiter les informations pouvant être collectées et conservées. Ce principe de minimisation impactera nécessairement le volume et le type de données collectées et stockées par les entreprises. Ce qui devrait permettre par voie de conséquence de limiter les risques de mauvaise utilisation de ces données (par exemple un fichage relevant de la discrimination), et, en tout cas, de limiter les conséquences négatives en cas de fuite (on se souvient par exemple des données de paie qui avaient été adressées par erreur à l'ensemble du personnel dans une grande entreprise française, ou des récents scandales liés au fichage des stagiaires dans une station radio...).

La directive européenne de 95 imposait déjà une limitation de la durée de conservation des données personnelles. Cette fois, le RGPD assorti cette obligation de pénalités lourdes, ce qui ne manquera pas d'impacter la sécurisation des données. 

En quoi la mise en place du RGPD va permettre des traitements de données plus transparents sans que les salariés n'aient besoin d'être actifs ? 

En définissant de manière plus globale ce qu'est une donnée personnelle, mais aussi en définissant les éléments d'information à fournir pour chaque traitement, la législation va permettre plus de transparence dans les entreprises, sans que les salariés n'aient besoin de faire quoi que ce soit pour faire valoir leurs droits.

En effet, jusqu'à présent, les entreprises (services RH, paie, comptabilité, recrutement, ...) demandaient des informations d'une manière jugée par certains comme particulièrement intrusive. Pourquoi solliciter la copie du permis de conduire à un salarié qui ne dispose ni d'un véhicule de fonction, ni d'un véhicule de service ? Pourquoi se renseigner sur la situation familiale de ses salariés ? 

Or, avec l'entrée en vigueur du Règlement Général de Protection des Données, l'entreprise qui sollicitera des données sera dans l'obligation d'indiquer la finalité de la collecte. Chaque salarié sera donc bien mieux informé sur ce qui est fait des informations qu'il a communiqué plus ou moins volontairement. C'est d'autant plus vrai qu'avec l'emballement médiatique au sujet de la mise en place du RGPD, les salariés sont particulièrement informés de leurs droits et devraient être attentifs à ce qu'ils soient respectés. 

Quels sont les changements dont les salariés pourraient tirer bénéfice à condition d'être actifs ? 

Les derniers changements susceptibles d'impacter les salariés après la mise en vigueur de la législation relative au RGPD sont des changements dits "actionnables", c'est-à-dire qu'ils supposent une action de la part des salariés.

Ces droits existaient pour la plupart dès 1995 (à l'exception du droit à la portabilité), mais encore une fois, l'emballement médiatique autour de la mise en place du RGPD a permis de les faire connaître à un public plus vaste. Il s'agit bien entendu des droits d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et d'opposition. Mais également de l'existence du délégué à la protection des données puisqu'il peut être saisi par le salarié (le délégué à la protection des données ne doit pas être confondu avec le data protection officer, ou DPO, chargé pour sa part de veiller à la mise en oeuvre du RGPD).

Pour ce qui concerne le droit à la portabilité, seule réelle innovation, il a pour objectif de permettre à chacun de pouvoir partir avec ses données lors d'un changement d'entreprise. Il reste cependant limité puisqu'il ne s'applique pas à tous les traitements (sont exclus les traitements autres que nécessaires à un contrat ou basé sur le consentement), et seulement aux données fournies par le salarié à l'entreprise. Ainsi par exemple, le droit à la portabilité des données personnelles ne s'applique pas aux données qui auront pu être générées par le service RH lors du déroulé de carrière du collaborateur, ni aux traitements fondés sur l'intérêt légitime. 

A court terme donc, la mise en place du RGPD ne devrait pas avoir d'impact important pour les salariés puisque la grande majorité des données collectées le sont sur une base d'un contrat, d'un intérêt légitime ou d'une obligation légale. Reste que, dans un avenir plus ou moins proche selon la rapidité avec laquelle les nouveaux traitements se mettront en place (big data, machine learning, ...), la collecte sur la base du consentement sera la seule option. C'est à ce moment-là que les procédures mises en place via le RGPD pourront donner leur pleine efficacité : quand les salariés devront fournir de plus en plus d'informations, qu'ils pourront retirer leur consentement ou obtenir l'effacement de ces données à n'importe quel moment, il n'est pas vain de croire que les salariés pourraient alors se voir invités au travers des Instances de Représentation du Personnel  (IRP) ou du Comité Social Economique (CSE) à participer à la définition et à la mise en place de ces traitements.