Le règlement général sur la protection des données (« RGPD ») est entré en vigueur le 25 mai 2018. Il modifie la législation antérieure sur le traitement des données personnelles en supprimant notamment le principe de déclaration préalable à la CNIL. Cette déclaration est remplacée par une obligation pour l’entreprise de démontrer la conformité de ses systèmes de traitement des données, notamment par la nomination d’un délégué à la protection des données et l’obligation de notifier les violations de données. Les sanctions liées au non-respect de cette réglementation ont de quoi faire frémir les directions juridiques puisque les amendes que peut prononcer la CNIL peuvent aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires de l’entreprise concernée.

En matière de gestion du personnel, les flux de données sont nombreux, et le RGPD va concerner toutes les informations nominatives liées aux recrutements (donc aux candidats), à l’exécution du contrat de travail, mais également toute information nominative en lien avec la formation, la sécurité au travail, la médecine du travail, le Trésor Public etc.

L’employeur doit donc être en mesure de démontrer qu’il a informé les salariés, objet de ces données, des diverses caractéristiques du traitement des données telles que la base juridique du traitement, la source des données, leur durée de conservation, le droit d’accès. L’employeur doit également former les salariés qui traitent ces données, et, potentiellement, prévoir que le non-respect de la règlementation du traitement des données peut donner lieu à sanction.

Il conviendra donc d’informer et consulter le comité d’entreprise, le cas échéant, sur toutes nouvelles polices ou règles de gouvernance mises en œuvre afin de s’assurer que les salariés ont des instructions précises sur la façon dont ils doivent gérer les données. Ces polices et règles internes, dont le non-respect peut donner lieu à sanction, devront également être intégrées dans le règlement intérieur de l’entreprise (ou en annexe). En effet, en cas de contentieux portant par exemple sur une sanction ou un licenciement d’un salarié qui n’aurait pas respecté ces polices et contreviendrait au RGPD, les juridictions sociales vont s’assurer que ces formalités ont bien été respectées par l’employeur. A défaut, les juges pourraient considérer que la sanction prononcée (y compris le licenciement) n’est pas justifié.

Enfin, on peut s’interroger sur l’ouverture d’un nouveau champ de contestation pour les salariés ou leur représentants devant les juridictions sociales sur le thème par exemple du niveau d’information donné ou de la finalité du traitement qui pourrait créer un préjudice particulier aux salariés.

Il est donc important tant au regard de la CNIL que des salariés et de leurs représentants de s’assurer que tout a été effectué dans les règles.