HR Path
Tour Montparnasse, étage 41
33 avenue du Maine
75015 PARIS
FRANCE

+33 (0) 153 622 214

Search here:

RGPD : où en sommes-nous ?

Guillaume Chavy, associé HR Path et responsable de la conformité RGPD au sein du groupe, fait le point sur la mise en place des nouvelles réglementations quelques mois après leur mise en application.

RGPD : où en sommes-nous ?

Pour rappel, le RGPD (Règlement Général sur la Protection des Donnée) est un texte de loi européen qui a été adopté en 2016 et est désormais applicable depuis le 25 mai 2018.

Son objectif principal est le renforcement de la protection des données des citoyens européens. Il protège tous les citoyens européens où qu’ils soient, et même s’ils ne sont pas en Europe. Il s’applique à tout traitement de données pouvant se rattacher à une personne physique. Sont donc exclus de la RGPD la protection des données pour une personne morale telle qu’une entreprise ou une ONG.

La notion de traitement de données personnelles est très large, puisqu’elle englobe par exemple la collecte de données (lors de la création d’un compte de service en ligne), le stockage des données (vous stockez peut-être des photos sur le Cloud), ou encore l’analyse des données (des croisements de données sont exécutés par votre société d’assurance pour déterminer votre profil …et le prix auquel vous allez payer votre assurance). Le RGPD réaffirme aussi les besoins de protection par rapport à des violations de données, c’est-à-dire lorsque vos données sont volées voire plus simplement utilisées dans un but différent de celui pour lequel vous les aviez confiées.

Le RGPD a pour objectif de réaffirmer voire dans certains cas renforcer les droits que nous avons en tant que citoyen européen vis-à-vis du traitement de données personnelles fait par les entreprises. Les droits principaux sont ceux du recueil de consentement éclairé, des droits d’information, d’accès, de modification et d’oubli des données confiées.

 

Dans quelle mesure pensez-vous que ce texte a impacté les entreprises de l’UE ?

Ce texte de loi impacte profondément les entreprises pour une raison majeure : il transfère la responsabilité de protection des données précédemment gérées par les états membres – via les déclarations de traitements à posteriori aux autorités de contrôle nationales comme la CNIL pour la France  –  vers les entreprises, qui doivent désormais implémenter des bonnes pratiques de gouvernance des données personnelles, que cela soit pendant la mise en place  du traitement (notion de « Privacy by Design ») mais aussi de façon récurrente pendant la durée des traitements (notion de « Privacy by Default »).

C’est désormais aux entreprises de garantir le respect des droits des citoyens décrit dans le RGPD, comme de s’assurer de la sécurité autour de ces traitements de données personnelles. Désormais, les entreprises se retrouvent en première ligne pour défendre les droits des citoyens européens !

Le rôle du Responsable de la Protection des Données (DPO) a été défini, et est désormais obligatoire au sein de la majorité des entreprises. C’est la version 2.0 du Correspondant Informatique et Liberté (CIL).

 

Quelles sont les dispositions pouvant être prises à l’encontre des entreprises en non-conformité du règlement ?

La loi a frappé très fort : la sanction maximale est de 4% du chiffre d’affaires mondial du groupe ou 20 millions d’euros. Les plafonds de pénalité ont explosé, dans le but de faire réagir l’écosystème. Pour rappel, Google avait été condamné en 2014 par la CNIL à une amende maximale autorisée par la loi de…150 000€ ! Désormais la donne a changé.

De plus, le RGPD détaille certaines obligations autour de la transparence sur les traitements. Ainsi, les registres de traitements doivent être maintenus, la participation aux audits à l’initiative de la CNIL est obligatoire, toute violation de données doit être déclarée dans les 72 heures.

Enfin, la notion de sous-traitants a été clarifiée, et il faut les considérer plus comme co-traitant vis à vis de la protection des données personnelles que vous leur confiez.

 

Trois mois après la mise en application du règlement quel constat pouvons-nous faire ? Quelles sont les limites du RGPD ?

Le premier constat est qu’il n’y a pas un avant et un après RGPD. La situation est toutefois contrastée en fonction des cas. En effet, de par son activité, le Groupe HR Path intervient sur l’ensemble des sujets lié à la RGPD : nous gérons les données de nos salariés et sommes donc responsable du traitement, nous externalisations la paie de nos clients et sommes à ce titre sous-traitants, enfin nous éditons nos propres solutions PoweRH pour lesquels nous devons fournir des outils RGPD Compliant. Cela nous donne une vision exhaustive sur l’évolution du marché.

Concernant la conformité vis-à-vis des données de leurs propres employés, nos clients n’ont pas tous finalisés voire lancés leur mise en conformité RGPD. Il y a clairement le monde des grandes entreprises d’une part, qui via leurs structures d’audit internes ont pris à bras le corps ce dossier, et il y les petites et moyennes entreprises qui ont très souvent considéré ce sujet comme non prioritaire. A ce jour, j’estime que seulement 50% de nos clients ont suffisamment avancé sur le sujet pour se déclarer en conformité.

Concernant la gestion de la sous-traitance, les démarches sont beaucoup plus avancées, et les démarches de mise à jour contractuelles comme d’audit sécurité intègrent globalement systématiquement la notion de sécurité des données personnelles.

Enfin, le marché des éditeurs s’est clairement segmenté entre ceux qui annoncent une conformité totale (la majorité des éditeurs Saas), ceux qui ont livré des mises à jour pour se mettre à niveau, et ceux qui sont toujours en train d’y réfléchir.

Les limites de cette norme sont tout d’abord la perception d’un travail trop compliqué pour de nombreuses entreprises. La CNIL a fait beaucoup d’efforts, elle a fait de nombreux guides très utiles. Nous accompagnons aussi nos clients pour leur permettre d’être en conformité avec cette nouvelle loi, mais l’écosystème bouge lentement.

Dans le cas particulier des ressources humaines, il existe des contradictions entre les besoins du RGPD et ceux des pratiques métiers. Prenons l’exemple de la suppression des données. Le RGPD précise qu’elles doivent être supprimées dès la finalité de la collecte n’est plus là, ce qui laisse entendre qu’il faut supprimer les données de paie des employés ayant quitté l’entreprise. Toutefois, en cas d’externalisation, il faut conserver les données pour justifier auprès de l’Urssaf le calcul des cotisations. Le RGPD nécessite donc souvent un ajustement du curseur entre les droits des citoyens d’une part, et les engagements légaux, contractuels voire simplement légitimes des entreprises. Le recrutement est un autre exemple ou les entreprises conservent les données des candidats pour avoir un vivier suffisant, alors même que ce processus collecte de nombreuses données personnelles de personnes qui par nature ne sont pas salariées de ces entreprises. C’est d’ailleurs un des 3 axes de contrôles de la CNIL en 2018, il convient d’être vigilant.