BFM Business
Vie de bureau

Règles européennes sur les données personnelles: les entreprises françaises en retard

-

- - L'entreprise doit justifier du besoin et de la pertinence des informations au regard de l'objectif poursuivi, s'assurer d'une durée de conservation adaptée et de leur sécurité

Qu'il s'agisse d'alimenter les fichiers de gestion du personnel ou mettre en place un dispositif de vidéosurveillance, les employeurs doivent informer leurs salariés des données qu'elles collectent. Mais beaucoup sont à la traîne pour se mettre en conformité avec les règles européennes.

Les entreprises doivent "vite" se mettre en conformité avec les règles de protection des données personnelles, notamment vis-à-vis de leurs salariés, explique Wafae El Boujemaoui, responsable des questions sociales et RH à la Commission nationale de l'informatique et des libertés (Cnil). Le point sur la situation en trois questions.

Quelles informations une entreprise a-t-elle le droit de collecter sur un salarié?

Wafae El Boujemaoui: La finalité d'un traitement de données, quel qu'il soit, doit être légitime et déterminée dès le départ. L'entreprise doit justifier du besoin et de la pertinence des informations au regard de l'objectif poursuivi, s'assurer d'une durée de conservation adaptée et de leur sécurité. Elle est également tenue d'informer le salarié de son droit d'opposition, de rectification et d'accès. Ces principes de la loi Informatique et libertés sont aussi valables pour les données des clients.

Dans de nombreux cas, une déclaration suffit (fichiers de gestion du personnel, dispositifs de géolocalisation, vidéosurveillance, etc.). Parfois, l'autorisation préalable de la Cnil est nécessaire (dispositifs biométriques, données sur des infractions commises par des salariés). La collecte de données sensibles (santé, convictions religieuses ou politiques, appartenance syndicale...) est en principe interdite, sauf exceptions et précautions renforcées.

En mai 2018, les formalités disparaîtront en partie avec le nouveau règlement européen de protection des données, au profit d'une logique de responsabilisation permanente des acteurs. Certains traitements devront faire l'objet d'une étude d'impact.

Les règles sont-elles connues et respectées des entreprises?

Tout dépend. Des petites sociétés n'en ont pas connaissance. Beaucoup ont à tort le réflexe de vouloir collecter un maximum d'informations en se disant que ça pourrait leur servir un jour. Les outils classiques de gestion du personnel ne posent généralement pas de difficulté. On est surtout amenés à intervenir sur ceux permettant un contrôle de l'activité des salariés. Défaut d'information et difficultés d'accès sont des cas fréquents de plaintes de salariés et syndicats.

Les entreprises commencent à se préparer au règlement européen mais pas suffisamment. Il faut vraiment qu'elles réagissent très vite pour intégrer les règles de protection des données personnelles dès la conception des traitements. Cela veut dire aussi des processus pour gérer les plaintes et des mesures de sécurité mises à jour régulièrement.

Nous estimons que 80.000 organismes, publics et privés, devront avoir nommé un délégué à la protection des données (DPO) en 2018 pour conseiller et contrôler en interne le respect des règles. Actuellement, un peu plus de 4700 correspondants "informatique et libertés" aident 17.725 acteurs.

Quelles sanctions encourent-elles?

Avec le règlement européen, le plafond des sanctions va être considérablement renforcé: l'amende pourra aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial. Le règlement reconnaît aussi la responsabilité des sous-traitants qui fournissent des solutions clé en main aux entreprises. Ils auront des obligations similaires aux responsables de traitements et pourront être sanctionnés comme eux.

Nous travaillons en ce moment avec des éditeurs pour publier des règles et bonnes pratiques en matière de big data RH car certains outils ne respectent pas les droits des personnes, par exemple en aspirant directement des données personnelles sur internet. Sur les réseaux sociaux professionnels, il peut apparaître légitime pour un recruteur de consulter des informations, compte tenu de leur finalité. La question se pose différemment lorsqu'il s'agit de réseaux sociaux personnels. La réflexion est en cours. En tout état de cause, en vertu du code du travail, les seules informations pertinentes qu'un recruteur a le droit de collecter sont celles permettant d'apprécier les compétences d'un candidat.

C.C. avec AFP