Tous les articles
RGPD

RGPD : cet acronyme dont tout le monde parle signifie règlement sur la protection des données personnelle en français. Ce nouveau règlement que vous retrouverez également sous les termes GDPR ou Directive Européenne 2016/679 renforce, depuis le 25 mai 2018, les droits envers leur données personnelles de vos collaborateurs. Comment informer les collaborateurs sur la RGPD et la protection de leurs données personnelles  ? 

Nos autres articles :
La suppression des données personnelles en entreprise
RGPD : et si on protégeait vos données ?

La nouvelle réglementation du RGPD implique de nouvelles pratiques et obligations en regard des données personnelles, notamment celles de vos collaborateurs. Ces derniers doivent désormais, selon le RGPD, toujours avoir la main sur leurs données personnelles et connaître les traitements qu’elles subissent. Au nom du droit à l’information (et du RGPD), il est donc nécessaire que vos collaborateurs soient informés et sensibilisés sur ces questions. 

Le droit d’accès

Voici les différents droits accordés aux personnes quant à leurs données personnelles par le RGPD. 

Rien de plus simple à comprendre, les personnes concernées en sus du droit à l’information, ont le droit d’avoir accès à leurs données et aux informations descriptives des traitements mis en œuvre sur celles-ci.

Le droit à la rectification

Toute personne concernée a le droit, dans le cas où celles-ci sont erronées, de demander la modification de ses données personnelles. Il appartient au responsable de traitement de vérifier la véracité de l’information et de l’identité de la personne demandant cette modification.

De la même manière que, nous le verrons plus bas, il ne faut pas confondre droit à la suppression et limitation de conservation, il faut faire une distinction entre le principe d’exactitude des données et le droit à la rectification. Le droit à la rectification est ce que nous avons décrit ci-dessus alors que le principe d’exactitude renvoie à l’obligation du responsable de traitement de s’assurer dans la mesure du possible qu’il traite des données exactes et ce sans que la personne concernée n’en face la demande.

Le droit à l’oubli ou droit à l’effacement

Il ne faut pas confondre l’obligation lié à la conservation des données et le droit à l’oubli. En effet, il s’agit de deux notions légèrement différentes. Le droit à l’oubli permet à une personne dans des conditions données de demander à un responsable de traitement de supprimer ses données. Par exemple si vous avez un fichier prospect, une personne peut vous demandez de ne plus en faire partie. Le principe de limitation de la conservation oblige quant à lui à supprimer ou anonymiser les données lorsque vous n’en avez plus la nécessité et/ ou qu’une loi ne vous oblige pas à la conserver. Si l’on conserve notre exemple, la loi impose de ne pas conserver un contact prospect plus de 3 ans après le dernier contact. Ainsi même si le prospect ne vous a pas explicitement demandé de supprimer son contact au bout de 3 ans, le principe de limitation de la conservation vous y contraint.

Cette distinction, vous oblige donc à prévoir deux possibilités, celle de la suppression quasi automatique au bout d’un certain délais et celle de la suppression à la demande.

Droit à la portabilité

Le droit à la portabilité est une nouveauté. Ce droit permet à une personne de récupérer sous un format lisible et facile à utiliser l’intégralité des données qu’elle vous a fourni. Si l’on prend l’exemple des données d’état civil que vous avez recueillis auprès d’un nouvel embauché pour établir son contrat de travail, il pourra si un jour il quitte la société demander à récupérer ses données afin de les fournir à son employeur suivant ? L’idéal pour respecter l’obligation de lisibilité et facilité d’utilisation, est pouvoir faire un export Excel de votre base de données RH.

Droit d’opposition et à la limitation du traitement

La limitation du traitement de données signifie qu’en dehors de l’obligation légale de conservation les données ne feront l’objet d’aucun traitement. Elles seront comme gelées. Vous devez donc disposez d’un moyen d’empêcher qu’une donnée ne soit consultée, modifiée, téléchargée…

Quant au droit d’opposition, il s’applique lorsqu’une personne souhaite qu’un traitement basé sur l’intérêt légitime du responsable de traitement ne soit plus mis en œuvre sur ses données personnelles. A ce moment-là, vous devrez stopper tout traitement et appliquer le droit à la limitation le temps de trancher sur la faisabilité de l’opposition au traitement.

Droit à ne pas faire l’objet d’une décision individuelle automatisée

Le RGPD spécifie également qu’une personne physique a le droit de ne pas faire l’objet d’une décision individuelle fondée uniquement sur un traitement automatisé notamment si celle si peut avoir des effets néfaste ou impliqué une décision juridique. Par exemple, dans le cadre d’un recrutement, il faut qu’une personne prennent la décision finale, en effet un premier tri réalisé de manière entièrement automatisé implique l’effet néfaste de se voir refuser un poste.

Droit à décider du sort de ses données après sa mort : loi informatique et liberté

Ce droit n’est pas introduit par le RGPD mais pas la loi pour une république numérique. Il vous permet de décider ce qu’il adviendra de vos données personnelles après votre mort. Vous pourrez donc définir, les modalités de conservations, d’effacement et d’accès à vos données.

Après ce petit tour d’horizons sur les droits des personnes physiques, il est temps d’aborder le sujet du droit à l’information. Il s’agit certainement du droit le plus important et le plus complexe à mettre en œuvre.

Comment communiquer de manière transparente sans que cette communication ne soit trop longue ou complexe pour être vraiment lu par les personnes concernées ? Comment faire passer l’information et la rendre disponible à chaque étape de la carrière d’un collaborateur ? Quelles informations communiquer et à quel moment ?

Beaucoup de questions se posent quant à l’information des personnes, et la plupart des réponses sont bien souvent théoriques. La CNIL propose des exemples de mentions, mais pas forcément celles dont vous avez besoin pour l’information durant la carrière.

Nous vous proposons donc un livre blanc gratuit reprenant des exemples de mentions d’information que vous pouvez utilisez tout au long de la carrière d’un collaborateur. Ces mentions ne sont que des propositions, elles doivent bien entendu être adaptées à votre contexte spécifique.

Par ailleurs, PeopleSpheres et son Socle RH apportent une solution intelligente pour assurer la protection des données. Grâce à son module coffre-fort électronique vous pourrez protéger vos données selon la réglementation en vigueur et ainsi stocker vos informations sans risque !