Chargée de veiller à la protection des données personnelles des Français, la Commission nationale de l’informatique et des libertés (Cnil) accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles. En 2016, elle a répondu à 167 000 appels, enregistré 7 700 plaintes et rendu 3 000 décisions.

L’Elan des Talents : Pourquoi l’Union européenne s’est-elle dotée de ce Règlement général sur la protection des données ?

Jusqu’à présent, la France s’appuyait sur les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, complétés par la directive européenne de 1995. Avec la forte évolution des technologies et de la société, nous sommes arrivés à une situation réglementaire insatisfaisante avec des textes nécessitant une mise à jour.

Un constat partagé par un grand nombre de nos pays voisins. L’Union européenne s’est donc saisie de ce sujet sensible. Après des années de travail et de réflexion, elle a souhaité renforcer les droits des individus et unifier la législation dans chacun de ses États membres afin d’offrir un cadre juridique homogène. Une réelle plus-value pour les entreprises internationales qui devaient jusque-là composer avec une mosaïque de textes nationaux.

À partir du 25 mai 2018, les entreprises n’auront plus qu’un seul texte réglementaire de référence : le RGPD.

Ce règlement s’inscrit dans la continuité de la directive de 1995 et reprend les principes fondateurs du droit en matière de protection des données personnelles.

L’Elan des Talents : Les entreprises, quelle que soit leur taille, doivent s’adapter. Que risquent-elles si elles traitent les données de leurs collaborateurs ou des consommateurs sans respecter la loi ?

Au vu de la date d’entrée en vigueur du RGPD, il est temps pour les professionnels RH de se familiariser avec ce texte, de cartographier les traitements de gestion du personnel effectués par l’entreprise afin de s’assurer que ceux-ci sont en conformité avec les textes applicables et de documenter ces derniers (registre, notices d’information, procédures internes de sécurité des données…) afin d’être en mesure de prouver cette mise en conformité aux agents de la Cnil en cas de contrôle.

Les amendes pourront atteindre 20 millions d’euros ou 4 % du chiffre d’affaires, ce qui est assez dissuasif. Dans ce cas, la Cnil continuera sur sa lancée. Mais en ce qui concerne les obligations nouvelles, par exemple sur la portabilité ou sur la notification des violations de données, nous sommes conscients de la nécessité d’apprentissage.

En somme, la Cnil ne va pas tirer à boulets rouges sur les entreprises dans les premiers mois, sauf en cas de manquements manifestes et graves. De plus, le droit du travail s’appliquant également à ces traitements, il convient de s’assurer que les instances du personnel sont informées et consultées préalablement.

Nous sommes réalistes et savons que tout le monde ne sera pas forcément conforme le 25 mai 2018. L’essentiel est d’avoir pris conscience et de s’engager dans cette démarche de conformité. Il y a des obligations qui existent depuis 40 ans et qui ne changent pas avec le RGPD.

Thomas Dautieu

Directeur adjoint de la conformité , CNIL - Commission nationale de l'informatique et des libertés

L’Elan des Talents : Quels sont les principaux changements induits par le RGDP auxquels les RH doivent prêter attention ?

La protection de la vie privée est un droit fondamental des personnes physiques, fermement défendu par l’ensemble des pays de l’Union européenne. Le RGPD permet de garantir la confiance dans le monde numérique en précisant davantage les modalités d’information à délivrer auprès des personnes, de sorte que les traitements soient réalisés en toute transparence, et qu’elles aient conscience de l’étendue de leurs droits.

Ainsi, un DRH n’aura plus qu’un mois pour répondre à une demande de modification ou de vérification de données faite par un salarié. Celui-ci dispose d’ailleurs de nouveaux droits, tels que le droit à la limitation de la conservation des données dans le temps, à l’oubli ou encore le droit à la portabilité. Ce dernier, qui permet aux personnes de récupérer dans un format lisible et structuré toutes les données personnelles qu’elles ont confiées, est particulièrement important car il suppose d’avoir recours à des formats de traitement interopérables.

L’Elan des Talents : Concrètement, qu’est-ce que le RGPD change dans le quotidien des entreprises ?

Pionnière de la protection des données personnelles, la France avait déjà intégré nombre de points clés du RGPD dans sa propre législation. Par exemple, la loi de 1978 oblige déjà une entreprise à obtenir le consentement de la personne dont elle voudrait pouvoir collecter les données. C’est un élément central du texte européen. Sur le fond, le RGPD impose donc peu d’éléments nouveaux.

Regardez ce qu’il se passe avec le scandale autour de la diffusion de données personnelles d’usagers de Facebook… Dans un environnement business, la transparence et la confiance sont érigées au rang de valeurs maîtresses.

Thomas Dautieu

Directeur adjoint de la conformité, CNIL - Commission nationale de l'informatique et des libertés

En pratique, la plupart des formalités préalables actuelles enregistrées auprès de la Cnil, comme les déclarations et les autorisations, vont disparaître au profit du principe dit d’ « accountability », qui suppose que chaque entreprise devra documenter sa conformité au RGPD et être en mesure de la prouver à tout moment.

En ce sens, la réglementation prône la responsabilisation des acteurs du traitement qui doivent conserver une trace de l’ensemble des opérations réalisées, via la tenue d’un registre des traitements RH.

C’est pourquoi, il est important que chaque entreprise désigne un Délégué à la protection des données ou un Data Protection Officer (DPO), sorte de commissaire aux comptes de la donnée attaché au service RH. Il est le point de contact au sein des entreprises avec les autorités de contrôle, ainsi que les personnes concernées. Ce chef d’orchestre de la conformité peut être mutualisé à plusieurs entreprises, surtout si elles sont de petite taille.

Autre changement : le RGPD propose un guichet unique aux entreprises internationales. Plutôt que d’aller voir les différentes autorités de contrôle des pays où elles opèrent, comme la Cnil en France,  elles auront un seul interlocuteur de référence. Quand le responsable posera une question à son régulateur, ce dernier devra se coordonner avec ses homologues européens afin de délivrer une réponse unique.

Qu’est-ce qu’une donnée à caractère personnelle ou DCP ? 

Le RGPD définit une donnée à caractère personnelle comme toute information identifiant directement ou indirectement une personne physique, par exemple son nom, son numéro de téléphone, une photographie, un e-mail ou encore une adresse IP. De même, les données comportementales collectées sur internet, notamment recueillies dans le cadre d’actions marketing, si elles sont corrélées à une identité, deviennent des données à caractère personnel.

Par son activité, le DRH est en première ligne dans la gestion et le traitement de données. Depuis le recrutement d’un salarié jusqu’à son départ de l’entreprise, il accumule un grand nombre d’informations par salarié : paie mensuelle, entretien d’évaluation du collaborateur, parcours de formation et la gestion administrative…

L’Elan des Talents : Au-delà de l’aspect de conformité avec la loi, qu’est-ce que le RGPD peut apporter aux entreprises ?

Sur le plan commercial, les entreprises jouent donc leur image de marque et la confiance vis-à-vis des consommateurs. Des labels de conformité au RGPD pourront être délivrés. Ils favoriseront forcément les entreprises certifiées par rapport à leurs concurrents qui n’apporteraient pas le même niveau de garantie.

Le règlement constitue une opportunité de rassurer le consommateur sur l’usage fait de ses données.

Autre point essentiel : faire évoluer certaines pratiques au sein de votre entreprise. Conserver sur son disque dur le CV d’un candidat ou le compte rendu d’entretien d’un collaborateur par exemple sont des pratiques à bannir désormais. Il faut prendre le temps de comprendre les impacts du RGDP sur les pratiques RH internes et faire évoluer les manières de travailler de vos managers. La remise à plat de certains processus et pratiques, ainsi que des ateliers de formation de vos managers, ont toute leur utilité.

Thomas Dautieu a rejoint la CNIL en janvier 2017 après trois années passées au sein du Conseil supérieur de l’audiovisuel (CSA).

Il accompagne les entreprises à se mettre en ordre de marche en vue de l’entrée en vigueur du Règlement général sur la protection des données (RGPD), le 25 mai 2018.