AIPD, RGPD et RH – changements en vue au 25 mai

Feature Image

Après une phase de pédagogie réalisée par la CNIL, une période de tolérance, le RGPD sera intégralement applicable à compter du 25 mai prochain.

Les avocats du cabinet brl avocats décryptent pour vous les incidences notamment au regard de l’obligation de réaliser une Analyse d’Impact sur la Protection des Données (AIPD).

 

Q1 : Qu’est ce qui change au 25 mai prochain ?  

L’AIPD est obligatoire pour tout responsable de traitement depuis l’entrée en vigueur du RGPD.

La CNIL avait accordé une dispense d’obligation de réaliser une AIPD pendant une période de 3 ans à compter du 25 mai 2018 pendant laquelle une étude d’impact n’était pas exigée pour :

  1. les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 (sous réserve qu’ils ne fassent pas l’objet d’une modification substantielle à compter de cette date) ;
  2. les traitements qui ont été consignés au registre d’un correspondant informatique et libertés.

Cette dispense prend fin le 25 mai 2021, date à compter de laquelle la réalisation d’une AIPD deviendra obligatoire.

 

Q2 : Quels impacts pour les services des ressources humaines ?

Une AIPD est nécessaire dès lors que le traitement de données personnelles est susceptible de présenter un risque élevé pour les droits et les libertés des salariés.

Or, les services ressources humaines collectent des données sensibles. Le référentiel adopté par la CNIL le 21 novembre 2019 précise explicitement qu’une AIPD est requise dans les situations suivantes :

  1. Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines (exemple : utilisation d’un algorithme dans le cadre des recrutements et des propositions de formation) ;
  2. Traitements ayant pour finalité de surveiller de manière constante l’activité des salariés concernés (exemple: fonction de chronotachygraphe des véhicules de transport routier) ;
  3. Lorsqu’au moins deux des neuf critères établis par le Comité européen de la protection des données sont remplis (e.: évaluation ou notation d’une personne ; prise de décision automatisée ; surveillance systématique ; traitement de données sensibles ou à caractère hautement personnel ; traitement à grande échelle ; croisement ou combinaison d’ensembles de données ; données concernant des personnes vulnérables ; utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ; traitements qui empêchent les personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat).

Il y a donc un risque non négligeable pour que la plupart des services ressources humaines doivent élaborer une AIPD.

 

Q3 : Il en est de même pour les entreprises publiques ?

 Les entreprises publiques, administrations, collectivités, associations ou autres organismes publics n’échappent pas à l’obligation de se soumettre au RGPD.

Le règlement s’applique en effet de la même manière à tous les traitements de données à caractère personnel et ce, peu important la nature des responsables de ces traitements ou de leurs sous-traitants.

Aussi, l’obligation de mener une AIPD incombe aux organismes publics de la même manière qu’aux entreprises privées, dès lors qu’ils sont responsables d’un traitement de données présentant un risque élevé pour les droits et libertés des personnes, notamment s’agissant des RH.

 

Q4 : Quelles sanctions à défaut d’AIPD ?

La nécessité de réaliser une AIPD ne doit pas être prise à la légère par les entreprises concernées. En effet, une amende administrative est prévue en cas de manquement. Celle-ci peut s’élever jusqu’à 10 millions d’euros, ou jusqu’à 2 % du chiffre d’affaires de l’entreprise concernée, le plus élevé des deux montants étant retenu (article 83-4 du RGPD).

Le montant de l’amende sera fonction de la nature et de la gravité du manquement constaté.

Par ailleurs, tout manquement à la législation en matière de protection des données personnelles peut faire l’objet d’une action individuelle en réparation du préjudice subi à l’encontre du responsable de traitement et/ou du sous-traitant.

Enfin, rappelons que les atteintes aux droits de la personne résultant de fichiers ou des traitements informatiques constituent un délit pénal passible d’une peine d’emprisonnement de 5 ans et d’une amende de 300 000 euros (articles 226-16 à 226-24 du code pénal), multipliée par cinq pour les personnes morales.