Selon la taille de votre entreprise ou votre secteur d’activité le sujet peut prendre des dimensions stratégiques importantes. C’est pourquoi, en préalable, pour vous préparer nous vous conseillons de vous référer aux recommandations et outils proposés par la CNIL.
Ce lien vous donne les 6 grandes étapes à respecter pour construire votre politique de protection des données personnelles : https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
Le sujet commun à toutes les entreprises : que faire avec le fichier des salariés ?
Au cabinet D nous avons souvent la question de la conséquence du règlement sur le traitement des données de paie des salariés.
Les PME utilisent souvent des fichiers Excel pour référencer des candidats, elles récupèrent des données avec des formulaires sur leurs sites, éditent des fiches de paie et disposent d’informations sur les salariés, souvent elles n’ont pas conscience que tout cela relève de la protection des données personnelles.
Sachez qu’à partir du 25 mai, vous devrez informer vos salariés de l'existence d’un fichier des salariés en indiquant les données qu'il contient et leur traitement. Vous pouvez donner cette information dans le règlement intérieur, le contrat de travail, via l’intranet de l’entreprise ou l’envoyer par email ou courrier.
Attention, ne pas respecter cette obligation est risqué puisque l'amende peut aller jusqu'à 4 % du chiffre d'affaires de l'entreprise.
Vous devrez aussi indiquer à vos salariés sur quel fondement légal vous traitez leurs données. Pour le fichier des salariés, la base adéquate pourrait être l'exécution d'un contrat de travail et le respect d'une obligation légale (par exemple la transmission de ces informations aux caisses de retraite, d'assurance maladie, etc.).
Avec le RGPD le salarié dispose d’un droit d'accès à ses données. En théorie, il peut exiger donc que vous lui adressiez une copie intégrale de ses données avec les explications de leur traitement (nature des données, finalité du traitement, la durée de conservation des données, leur localisation, etc.)
Le salarié peut utiliser son droit de rectification et d'opposition à la prospection et au profilage (article 21 du RGPD). Si par exemple vous traitez ses données pour des objectifs qui dépassent la gestion de son contrat de travail, il peut s'y opposer.
Qu’en est-il du droit à l’oubli ? Le droit à l’oubli inscrit dans le RGPD doit être ici nuancé : un salarié ne peut pas exiger de son ancien employeur qu'il efface ses données immédiatement après son départ. Ce n'est qu'au bout de 5 ans qu'il doit les avoir purgées pour les traitements de la paie ou le contrôle des horaires.
Les données liées à l'orientation sexuelle des salariés, l'origine raciale, les convictions religieuses philosophiques ne peuvent faire l'objet d'aucun traitement, sauf consentement « explicite » des personnes concernées.
Veillez enfin à la durée de conservation des données. La règle est simple : ne pas les conserver plus longtemps que cela est nécessaire à l’exécution du contrat de travail et aux obligations légales. Par exemple les dossiers de candidats doivent être détruits 2 ans après le dernier contact. Celles liées à la paie, au bout de 5 ans.
Que faut-il retenir du règlement pour se préparer ?
- En matière de data : visez le minimum. C’est le principe de minimisation, l’idée est de collecter le minimum de données et de se limiter aux données strictement utiles.
- Demander le consentement de l’intéressé. Ne pas le demander globalement mais en étant le plus précis possible sur l’usage que vous faites des données.
- Faciliter les droits d'accès, de rectification, d'opposition à certains types de traitements et le droit à la portabilité des données. (avec des formulaires par exemple)
- S’organiser pour garantir le respect de l’utilisation des données personnelles. Cela signifie par exemple de tenir un registre qui explique comment sont traitées les données. (type, durée … )
- S’organiser pour sécuriser les données. (le chiffrement, pseudonymisation, failles de réseau …)
Vous voulez en savoir plus sur vos engagements et vos responsabilités de dirigeant, vous souhaitez être accompagné dans vos déclarations et dans le suivi de vos échéances les experts du cabinet D expertise comptable peuvent vous renseigner. Le cabinet D expertise comptable est présent à Paris, à Versailles et dans sa région.