Village de la Justice www.village-justice.com

RGPD : Le bilan deux ans après. Par Florence Monteille, Avocate.
Parution : jeudi 28 mai 2020
Adresse de l'article original :
https://www.village-justice.com/articles/rgpd-bilan-deux-ans-apres,35516.html
Reproduction interdite sans autorisation de l'auteur.

Le Règlement Général sur la Protection des Données, plus connu sous le nom de RGPD fête le deuxième anniversaire de son entrée en vigueur.

Au démarrage, cette réglementation aux allures fastidieuses et inutilement contraignantes est devenue un incontournable de toutes les entreprises, quelque soit leur taille et leur objet social. Au-delà de l’obligation légale qui contraint chaque structure à mettre en place son RGPD dès lors qu’elle traite des données personnelles, cette réglementation est également un fort argument commercial et un outil de pilotage dans le secteur des ressources humaines.

Ce deuxième anniversaire se révèle être l’occasion d’examiner avec davantage de recul ce dispositif qui s’inscrit dans la continuité de la loi française informatique et libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Pour qui ?

L’obligation de tenir un registre des traitements concerne toute organisation publique et privée qui traite des données personnelles pour son compte ou non dès lors :
- Qu’elle est établie sur le territoire de l’U.E ;
- Ou que son activité cible directement des résidents européens. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Toute structure, quel que soit sa forme, est contrainte de solliciter le RGPD des prestataires avant de lui confier le traitement de données personnelles qu’elle aurait collectées. Il en va ainsi des prestataires informatiques, des experts-comptables, des avocats, des prestataires de paie, des sous-traitants etc…

Que sont les données personnelles ?

Le terme de « données personnelles » est une notion volontairement large : constitue une donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée : directement (exemple : nom, prénom) ou indirectement (exemple : par un identifiant (n°client), un numéro de téléphone, une donnée biométrique etc).

Comment réaliser son RGPD ?

Des modèles sont fournis par la CNIL, sur son site internet. Cependant, il est important d’être conseillé par un professionnel formé pour réaliser ce document pour les raisons suivantes :
- Le temps consacré a la réalisation de ce document est conséquent afin d’identifier précisément quels types d’activités sont générés par la structure, quels types de données sont collectés par activité et quelles mesures de sécurité sont mises en place ou doivent être améliorées ;
- La réalisation de son RGPD suppose une maitrise parfaite des notions de « données personnelles », d’« activité », et de « finalité » afin d’être un document jugé recevable en cas de contrôle de la CNIL ;
- L’élaboration du RGPD doit s’accompagner, pour le responsable des données qui est désigné, d’une formation à l’utilisation de ce nouvel outil afin d’en tirer tous les avantages au niveau commercial, stratégique et social ;
- La mise en place du RGPD entraîne souvent l’identification de données sensibles et une réflexion autour du traitement de celles-ci.

Le RGPD en période de Covid-19 ?

A l’heure de la reprise de leurs activités, post Covid-19, de nombreux employeurs se demandent quelles sont les données personnelles, notamment de santé, qu’ils peuvent recueillir auprès de leurs salariés afin d’assurer leur sécurité en limitant la propagation de l’épidémie au sein de leurs locaux et permettre le télétravail.

Sur les données sensibles de santé :

S’il appartient à tout employeur, conformément au Code du Travail, de mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et des réunions ou encore le respect des mesures d’hygiène ainsi que des gestes barrières, l’employeur ne saurait prendre des mesures susceptibles de porter une atteinte disproportionnée à la vie privée de ses salariés, en collectant des données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public.

Les données relatives à l’état de santé d’une personne revêtent un caractère sensible et font l’objet d’une protection particulière : la CNIL rappelle à cet égard, qu’elles sont en principe interdites de traitement. Ainsi, pour pouvoir être traitées, leur utilisation doit s’inscrire nécessairement dans l’une des exceptions prévues par le RGPD et qui relèvent globalement soit :
- De la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
- De la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation sanitaire de la capacité de travail du travailleur.

C’est donc pour ces raisons que les employeurs qui souhaiteraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs salariés doivent s’appuyer sur les services de santé au travail dont c’est la compétence, et mettre à jour leur RGPD.

Quid de la prise de température des salariés ?

Il est interdit aux employeurs de constituer des fichiers conservant des données de températures de leurs salariés. Il leur est également interdit de mettre en place des outils de captation automatique de température telles que des caméras thermiques. Toutefois, les prises manuelles de température à l’entrée d’un site et sans constitution d’un fichier ni remontée d’information ne sont soumises à la règlementation sur la protection des données personnelles.

Quid des résultats des tests médicaux, sérologiques ou de dépistage de la Covid-19 ?

Les résultats des tests médicaux, sérologiques ou de dépistage de la Covid-19 dont les résultats sont soumis au secret médical, l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé, sans autre précision relative à l’état de santé du salarié et ce, d’une façon analogue au traitement des arrêts maladie qui n’indiquent pas la pathologie dont l’employé est atteint.

La prudence doit donc être de mise sur les données personnelles des salariés collectées en particulier s’agissant des données relatives à leur état de santé.

Le RGPD et le télétravail ?

Si le télétravail a vocation à se poursuivre depuis le 11 mai dernier, une mise à jour du RGPD s’avère indispensable dès lors que le traitement des données s’en trouve nécessairement modifié, certaines d’entre elles étant « délocalisées » chez le salarié.

Il appartient donc à l’employeur de former ses salariés en les sensibilisant sur la manière de traiter les données personnelles dont il est fait usage dans le cadre de l’exécution des fonctions au domicile, notamment en adressant le RGPD aux télétravailleurs.

Le Bilan après deux ans ?

Les entreprises qui ont réalisé de leur RGPD ont acquis le réflexe de se poser systématiquement la question de l’intérêt de la collecte des données personnelles, ainsi que leur finalité.

Cet exercice, fastidieux au premier abord, a eu plusieurs avantages :
- Une modification des habitudes en écartant toutes les informations conservées qui s’avèrent finalement inutiles, ce qui allège le quotidien des entreprises sur la partie administrative ;
- L’amélioration des systèmes d’archivage donc un gain de temps,
- Une reconnaissance pour les prospects, clients et salariés du respect de leur vie privée, donc un gain de confiance ;
- Une crédibilité augmentée vis-à-vis des partenaires.

Florence MONTEILLE LM AVOCATS