Avec l’entrée en vigueur du prélèvement à la source, les entreprises vont avoir accès à de nouvelles données concernant leurs salariés (taux de prélèvement, taux de prélèvement du conjoint…). Parallèlement, la réglementation RGPD (Règlement Général sur la Protection des Données) impose de nouvelles contraintes. Comment s’adapter au nouveau contexte des données personnelles ?
Etape 1 : Faire l’inventaire des traitements des données à caractère personnel
Avant toute chose, l’entreprise doit avoir une vision claire des données personnelles qu’elle a en sa possession et surtout des traitements qui utilisent ces données.
Rémunération, situation familiale, numéro de sécurité sociale, type de permis détenu, coordonnées de personnes à prévenir en cas d’urgence, informations concernant les ayants-droits, adresse, relevé d’identité bancaire : on a parfois tendance à sous-estimer la masse d’informations nécessaire à la gestion des collaborateurs et des clients. Les changements successifs de modes d’archivage ou de logiciels peuvent par ailleurs favoriser l’accumulation de données inutiles voire obsolètes, ainsi que les doublons.
La première étape consiste donc à réaliser un faire l’inventaire des traitements et des informations indispensables à leur bonne réalisation pour déterminer la nature des informations personnelles détenues par la société.
Etape 2 : Trier et éviter les informations sensibles
La deuxième étape consiste pour l’entreprise à ne collecter que les données personnelles dont elle a réellement besoin. Chaque traitement a une finalité et pour respecter cette finalité, il ne faut collecter que les données nécessaires à ce traitement. C’est un principe du RGPD : la limitation des données. Plus que la taille ou le nombre d’employés d’une entreprise, c’est le volume ou la sensibilité des données traitées qui a son importance. Les informations sur des mineurs, le n° de sécurité sociale sont des informations sensibles mais elles ne sont pas interdites, une entreprise a besoin d’en disposer pour permettre les échanges avec la mutuelle d’entreprise, les avantages liés au CE…
Si la gestion administrative du personnel nécessite de connaître les salariés, le règlement interdit la collecte de certaines informations telles que l’activité syndicale, les opinions politiques, l’appartenance religieuse ou encore la santé, sauf cas exceptionnel : les données de santé peuvent être collectées pour certaines activités par exemple. Mais cela doit toujours être justifié.
De plus, seules les personnes habilitées doivent avoir accès aux données dont elles ont besoin.
Etape 3 : Sensibiliser et former les salariés
La troisième étape, a pour objet de sensibiliser et d’informer les salariés :
- • Les salariés doivent être informés à chaque fois que l’entreprise collecte des données personnelles. Ils doivent également être en capacité de demander une copie des informations enregistrées à tout moment (données administratives, demandes de formation, comptes rendus d’entretiens d’évaluation…), y compris lorsqu’ils ont quitté la société. L’entreprise doit également informer le candidat à l’embauche sur la destination des données qu’il lui communique, finalité du traitement, ses droits (droits d’accès, droit à l’oubli), les coordonnées du DPO…
- • Les salariés doivent aussi être sensibilisés sur les règles élémentaires de sécurité (renouvellement des mots de passe, verrouillage du poste de travail…). Les employés eux-mêmes ont parfois tendance à stocker un grand nombre d’informations personnelles (copies de fiches de paie, avis d’imposition, carte d’identité…) sur leur poste de travail.
La mise en place du RGPD, qui s’accompagne de formations dédiées et de la diffusion de la charte informatique de l’entreprise, peut s’avérer un moment opportun pour initier cette sensibilisation.