Vous pensez que l'activité de votre entreprise n'est pas concernée par le RGPD car vous ne traitez pas les données de consommateurs? Mais qu'en est-il des données personnelles de vos salariés? Sarah Delon-Bouquet et Emmanuelle Mercier, du cabinet Bryan Cave, analysent l'impact du RGPD sur ce point.

Certaines entités se sentent peu concernées par le RGPD, notamment car elles opèrent principalement avec des professionnels, et non des consommateurs (B to B). Cependant, toute entité juridique ayant des salariés en France traite de fait les données personnelles des personnes qu'elle emploie et a donc la qualité de responsable de traitement à cet égard. Ainsi, elle se doit de se mettre en conformité avec le Règlement général sur la protection des données 2016/679 (RGPD). Cet article recense les principales actions à mettre en oeuvre pour assurer la protection des données de ses salariés.

Identifier les finalités de traitement des données des salariés

En cas de contrôle, toute entité doit être en mesure de justifier la finalité du traitement des données de ses salariés. Outre la finalité principale de gestion du personnel, il convient également de déterminer les finalités annexes: par exemple, la gestion de la paie, du remboursement des frais professionnels, des accès aux outils et au réseau informatiques, l'administration du personnel (évaluations, formation professionnelle,...), la gestion des contentieux salariés.

Identifier les fondements juridiques du traitement des données des salariés

La collecte et le traitement de données personnelles ne sont licites que si un des fondements juridiques prévus par le Règlement justifie le traitement. En ce qui concerne les données de salariés, les employeurs pourront se baser sur:

• l'exécution d'un contrat (en l'espèce, le contrat de travail);
• le respect d'une obligation légale (obligations sociales et fiscales de l'employeur);
• les intérêts légitimes poursuivis par l'employeur (par exemple, sécuriser la gestion des ressources humaines, de la paie et du réseau informatique), sous réserve de ne pas contrevenir aux intérêts, libertés et droits fondamentaux des salariés.

Déterminer la durée de conservation des données des salariés

L'employeur doit fournir un certain nombre d'informations aux salariés sur le traitement de leurs données, dont la durée de conservation des données personnelles. Il s'agit d'une nouveauté. Le RGPD impose que la durée de conservation des données soit limitée au minimum nécessaire à la finalité du traitement des données, durée pouvant être rallongée si cela est nécessaire à l'exercice ou à la défense de droits en justice. Ainsi, il est conseillé à l'employeur de prévoir une durée de conservation des données des salariés de cinq ans après la fin de leur contrat de travail (sauf en cas de contentieux initié durant cette période), afin de couvrir les différentes périodes de prescription relatives aux contentieux salariés.

>> Destinataires des données, analyses d'impact, droit à l'oubli... Découvrez la suite en page 2.