Rgpd depuis le 25 mai 2018 quelles obligations pour les entreprises

1. RGPD, depuis le 25 mai 2018, quelles obligations pour les entreprises ?
Le règlement général relatif à la protection des données (RGPD) n°2016/679 du 27 avril 2016 est
applicable dans tous les Etats de l’Union Européenne, depuis le 25 mai 2018, par application directe.
Ce règlement a pour objectif de supprimer les formalités déclaratives préalablement imposées, en
substituant une logique de mise en conformité sous contrôle de la CNIL.
Il convient désormais de :
 Informer le comité d’entreprise (article L.2323-47, ancien) ou le comité social et économique
(article L.2312-38, nouveau) préalablement à leur introduction, sur les traitements automatisés
de gestion du personnel et leur modification.
 Informer et consulter le CE ou le CSE préalablement à la mise en œuvre de moyens et/ou
techniques permettant un contrôle de l’activité des salariés.
 Respecter les principes de l’article 5.1. du RGPD s’agissant du traitement des données à
caractère personnel : licéité, loyauté, transparence ; finalités déterminées, explicites et
légitimes ; données adéquates, pertinentes, limitées, exactes, tenues à jour, conservées
pendant une durée limitée ; traitées de façon sécurisée.
 Désigner un pilote : la CNIL recommande la désignation d’un responsable du traitement des
données personnelles dans chaque entité, même si l’obligation s’impose aux seuls
organismes publics et entreprises dont l’activité vise à réaliser un suivi régulier et
systématique des personnes.
 Recenser les fichiers comportant des données à caractère personnel : les entreprises d’au
moins 250 salariés doivent tenir un registre des traitements de données personnelles (pour
les autres entités, la CNIL recommande tout de même la tenue de ce registre).
 Identifier les traitements de données à risque : pour tout traitement de données à caractère
particulier (article 9 du RGPD), une analyse d’impact doit être conduite. En cas de résultat
indiquant que le traitement présenterait un risque élevé en l’absence de mesures atténuant
celui-ci, le responsable de traitement doit préalablement consulter la CNIL.
 Informer les salariés (articles 13 et 14 du RGPD). La CNIL recommande également d’informer
les salariés dès lors qu’une information leur est demandée ou qu’un dispositif de surveillance
est mis en place.
 Respecter le droit des personnes : les salariés disposent d’un droit d’accès, de rectification,
d’opposition, d’effacement (droit à l’oubli), d’un droit à limitation d’un traitement (demander à
ce que le responsable ne puisse se servir de certaines données), d’un droit à la portabilité
(droit d’obtenir ou réutiliser les données concernant le salarié pour ses besoins personnels).
 Sécuriser les données : mise à jour des antivirus et logiciels, changement de mots de passe
régulièrement, signalement à la CNIL dans les 72 heures en cas de violation de données et si
cette violation est susceptible de présenter un risque pour les droits et libertés des personnes
concernées.
 S’assurer du bon respect en cas de recours à un prestataire, des règles issues du RGPD.
S’agissant des impacts en cas de sanction disciplinaire en l’absence de recensement d’une donnée
dans le registre, en l’absence d’information des salariés ou en l’absence de traitement d’une donnée
sensible comme telle, il est fort probable que la jurisprudence antérieure continuera à s’appliquer
(illicéité des preuves et licenciement sans cause réelle et sérieuse).
S’agissant du contrôle de la mise en place de ce nouveau dispositif, la CNIL endossera en premier
lieu un rôle de conseil dans la mise en place du RGPD (accompagnement des entreprises à la bonne
compréhension et à condition que les entreprises démontrent de leur bonne foi dans l’engagement
dans la démarche de mise en conformité). Elle sera ensuite chargée de contrôler et appliquer les
sanctions éventuelles : avertissements, mises en demeure, injonction de cesser le traitement,
suspension des flux de données, amendes (entre 10 et 20 millions d’euros pour les personnes
physiques et entre 2 et 4% du chiffre d’affaires annuel mondial pour les personnes morales).