Obligations de l’employeur face aux données des salariés
Avant l’arrivée du Règlement Général pour la Protection des Données – (RGPD) en 2018, l’employeur était obligé de procéder par déclaration auprès de la Cnil qui pouvait le cas échéant l’accompagner dans les prérogatives du traitement des données. La déclaration préalable auprès de la Cnil permettait un certain garde-fou en matière de responsabilité de l’employeur.
RGPD et nouvelles obligations pour l’employeur
Depuis, l’entrée en vigueur du RGPD, l’employeur devient de facto responsable des données de ses collaborateurs ou utilisateurs/clients. La Cnil, qui reste l’autorité de contrôle nationale en la matière ne procédera à des contrôle qu’a posteriori et ne sera plus contrainte d’accompagner en théorie, le dirigeant dans le cadre de la déclaration préalable.
Cette dernière pourra directement contrôler l’entreprise en violation du RGPD et la mettre en demeure de se conformer aux règles applicables.
Afin de ne pas être tenu pour responsable, l’employeur doit s’assurer du respect de plusieurs règles :
- informer les représentants du personnel et l’ensemble des salariés qui font l’objet de collectent de données ;
- le cas échéant créer un registre des activités des données traitées ;
- le cas échéant, s’il s’agit de données sensibles, réaliser une analyse d’impact ;
- uniquement lorsque cela est nécessaire par la nature de la structure ou son activité, nommer un délégué à la protection des données – (DPO).
Les différentes sanctions des manquements au RGPD
L’éventail des sanctions est très large et va du simple rappel à la loi à une amande équivalente à 4% du CA annuel mondial total de l’exercice précédent sans pouvoir excéder 20 millions d’euros. A noter que le le montant le plus élevé étant retenu entre les deux – ( art.83 du RGPD).
D’autres sanctions peuvent être moins graves et moins sévères : l’ amende peut s’élever jusqu’à 10 000 000 d’euros ou, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu également. Dans ces hypothèses, les violations sont moins importantes, il s’agit notamment des violations :
- incombant au responsable du traitement et au sous-traitant lorsqu’il y en a un ;
- les obligations incombant à l’organisme de certification ;
- les obligations incombant à l’organisme chargé du suivi des codes de conduite.
Enfin, la Cnil peut décider de rendre public la sanction délivrée et ainsi porter atteinte à la réputation de l’entreprise visée.
Bon à savoir : Chaque sanction doit être dans chaque cas, effective, proportionnée et dissuasive et doit prendre en compte toute une série de facteurs tels que : la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ; le fait que la violation a été commise délibérément ou par négligence ; les mesures mises en place pour atténuer le manquement….
Les principes du RGPD appliqués à l’employeur
Le RGPD impose à l’employeur plusieurs obligations mais qui reposent in fine sur 3 interrogations :
- Peut-il récolter ces données ?
- Le traitement de ces dernières est-il adapté, sécurisé ?
- Les personnes concernées ont-elles accès à leurs données ?
- Les démarches et procédure juridiques ont-elles été respectées ?
Bon à savoir : L’ article 25 du RGPD pose deux principes, qui sont la protection des données dès la conception et protection des données par défaut, limitant ainsi le champ des excuses possible pour l’employeur. On déduit de cet article que la vie privée doit être consacrée dès le début de l’activité de l’entreprise.
Fascicule mis à jour le 29 juin 2020.
Tous droits réservés.
ATTENTION ! Cet article est un extrait.
Abonnez-vous pour accéder à l'intégralité du contenu.