Se conformer au règlement général sur la protection des données (RGPD)
Droit du travail Hôtels, cafés, restaurantsRéférence : WHC.04.5.150

Se conformer au règlement général sur la protection des données (RGPD)

Le règlement général européen sur la protection des données (RGPD) n° 2016/679, du 27 avril 2016, entré en vigueur le 25 mai 2018, a modifié les mécanismes de traitement de données à caractère personnel, notamment dans les entreprises. L'objectif est de mieux sécuriser les données personnelles face aux nouveaux enjeux du numérique et à l'augmentation des attaques informatiques, tout en uniformisant les procédures sur le plan européen.

Les principes sur lesquels est basée la protection des données personnelles restent les mêmes que ceux définis par la loi informatique et libertés. Seules les modalités de cette protection sont modifiées, puisque les formalités préalables auprès de la CNIL sont remplacées par une obligation de conformité au RGPD, mais aussi dans certains cas par des analyses d'impact et la tenue d'un registre.

Par ailleurs, le droit de regard des salariés sur les données les concernant est renforcé.

Toutes les entreprises utilisant des données personnelles, c'est-à-dire des données qui permettent d'identifier une personne de manière directe ou indirecte (n° de Sécurité sociale, coordonnées bancaires, etc.) sont concernées, notamment dans le domaine de la gestion des ressources humaines.

Quelles sont ces nouvelles modalités ? Comment les mettre en place ?

Dans cette page

La bonne méthode

Etape  1 -  Recenser vos traitements de données personnelles et effectuer les correctifs nécessaires

Il revient au responsable de traitements de données personnelles (l'employeur ou le représentant légal d'une société) :

  • de veiller à la conformité de ces traitements aux dispositions du règlement européen (RGPD) ;
  • d'être en mesure de justifier à tout moment de cette conformité.

Pour cela, vous devez dresser un état des lieux de vos opérations de traitement.

Au moins deux sortes de données personnelles sont généralement collectées :

  • celles relatives au personnel salarié pour le traitement de la paie et la gestion des ressources humaines ;
  • celles relatives aux fichiers clients, fournisseurs et/ou prestataires.

Il peut s'agir également de la gestion des dispositifs de badgeuse, de vidéosurveillance, de géolocalisation des véhicules, d'enregistrement des conversations téléphoniques de travail, etc.

Vous devez vérifier que vos traitements en place sont justifiés et que vous êtes à jour des obligations les concernant.

Par exemple, tel traitement a-t-il été déclaré à la CNIL quand il devait l'être ? Les représentants du personnel ont-ils été consultés ? Tel traitement contient-il des mesures suffisantes pour garantir la sécurité des données ?

Si ces vérifications font apparaître que des obligations n'ont pas été remplies, vous devez mettre en place des mesures correctives techniques et/ou organisationnelles. En effet, vous devez désormais être en mesure de justifier à tout moment de la conformité de vos traitements aux principes suivants :

  • traiter les données à caractère personnel de façon licite, loyale et transparente ;
  • collecter et traiter ces données exclusivement pour des finalités légitimes et explicites, et de façon proportionnelle et adaptée à ces finalités ;
  • vérifier l'exactitude des données et les mettre à jour ;
  • conserver les données pendant la durée strictement nécessaire et sous une forme permettant d'identifier les personnes ;
  • garantir une sécurité de traitement appropriée, notamment par l'authentification sécurisée des utilisateurs (mot de passe, etc.), la mise à jour des correctifs de sécurité, copies de sauvegardes régulières, etc. Il s'agit là d'une obligation de moyens et non de résultat.

N'hésitez pas à rédiger, si ce n'est déjà fait, une charte informatique qui sera annexée au règlement intérieur s'il existe. Elle doit indiquer la définition des données à caractère personnel et des traitements, et présenter les principes du RGPD (transparence, confidentialité, sécurité, limitation des finalités et des durées de conservation des données).

Convention collective "Hôtels, cafés, restaurants"(n° de brochure 3292)

Pas de dispositions particulières

Etape  2 -  Appliquer les droits des salariés en matière de données personnelles

Le RGPD renforce les droits des personnes dont les données sont collectées.

Sont principalement concernés vos salariés, mais il peut également s'agir d'autres personnes (candidat pour un emploi, consultant extérieur, client, etc.).

Ainsi, vous devez dans certains cas recueillir leur accord explicite et formel pour saisir, stocker et détenir leurs données personnelles en vue de finalités déterminées.

Hors consentement, le traitement reste toutefois licite s'il est nécessaire :

  • au respect d'une obligation légale à laquelle vous êtes soumis ;
  • ou à l'exécution d'un contrat auquel la personne concernée est partie ;
  • ou à la sauvegarde des intérêts vitaux de la personne.

Par exemple, en matière de gestion de la paie, les données collectées sont requises légalement, et vous n'avez donc pas à recueillir le consentement des salariés, mais seulement à les informer.

Vous devez par ailleurs les informer de leur droit à la portabilité de ces données, ce qui leur permettra de les récupérer sous une forme facilement réutilisable.

Sont également prévus à l'égard des salariés des droits :

  • à l'information : vous devez informer les personnes concernées par la collecte de données personnelles de la raison pour laquelle elles sont collectées et de la durée de conservation prévue ;
  • d'accès : les personnes peuvent demander à tout moment à consulter leurs données personnelles ;
  • de rectification : les personnes peuvent demander à tout moment la rectification des données les concernant si elles constatent qu'elles sont inexactes ou incomplètes ;
  • à l'oubli et à la limitation.
Notez-le

Vous devrez répondre à la personne au plus tard dans le délai d'un mois à compter de la réception de sa demande.

L'ensemble de ces droits est à rappeler dans une clause spécifique des contrats de travail.

Convention collective "Hôtels, cafés, restaurants"(n° de brochure 3292)

Pas de dispositions particulières

Etape  3 -  Vérifier si vous êtes concerné par certaines obligations en vigueur

Devez-vous procéder à des analyses d'impact ?

Si un traitement présente un risque élevé pour les droits et libertés des personnes concernées, une analyse d'impact doit être effectuée avant sa mise en place.

Le RGPD liste trois situations pour lesquelles une telle analyse est obligatoire :

  • surveillance à grande échelle d'une zone accessible au public ;
  • traitement à grande échelle de données sensibles (origine raciale ou ethnique, opinions politiques ou religieuses, appartenance syndicale, données concernant la santé ou l'orientation sexuelle, données génétiques ou biométriques, données pénales) ;
  • évaluation systématique et approfondie d'aspects personnels donnant lieu à des décisions ayant des effets juridiques sur la personne.

Selon le RGDP, le risque élevé apparaît en effet lorsque les opérations d'un traitement :

  • empêchent les personnes concernées d'exercer un droit ou de bénéficier d'un service ou contrat ;
  • ou sont systématiques et à grande échelle.

Sont également mentionnés « à risque » les cas de transfert de données hors de l'Union européenne et de données concernant des personnes vulnérables (mineurs, personnes âgées, demandeurs d'asile, etc.).

Attention

Si l'analyse d'impact confirme un risque élevé, vous devez communiquer à la CNIL les finalités et les moyens du traitement envisagé, les garanties prévues, l'analyse d'impact et le nom du délégué à la protection des données (DPD) si vous en avez un.

Si elle considère que vous n'avez pas suffisamment réduit ou identifié le risque, la CNIL rend un avis écrit par lequel elle peut ordonner une mise en conformité, interdire le traitement, imposer une limitation, ou encore prononcer une amende.

L'obligation éventuelle d'analyse d'impact doit être engagée sans délai pour tout nouveau traitement, ainsi que pour ceux mis en place avant le 25 mai 2018, mais :

  • n'ayant pas été déclarés à la CNIL ;
  • ou substantiellement modifiés depuis leur déclaration à la CNIL.

Devez-vous désigner un « DPD » (ou « DPO ») ?

La désignation dans l'entreprise d'un « délégué à la protection des données » – DPD (ou « data protection officer » – DPO), est obligatoire lorsque les activités de base du responsable du traitement :

  • nécessitent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • ou consistent à traiter à grande échelle des données sensibles ;
  • ou relèvent du secteur public ou d'une autorité publique.

L'aspect « grande échelle » s'apprécie à partir du nombre de personnes concernées, du volume des données, de la durée du traitement et de son étendue géographique. L'effectif de l'entreprise n'est pas un critère.

Attention

Compte tenu des données sensibles qui sont systématiquement manipulées dans le seul traitement de la gestion des ressources humaines (n° de Sécurité sociale, situation matrimoniale pour la mutuelle d'entreprise, handicap, gestion des arrêts maladie, etc.), nous ne pouvons que vous conseiller, y compris si vous estimez ne pas être concerné à titre obligatoire, d'en désigner un malgré tout. Vous disposerez ainsi d'une personne qui pourra coopérer avec la CNIL, conseiller les responsables de traitement et contrôler le respect de la réglementation, et aurez la garantie d'avoir rempli vos obligations sur ce point.

Néanmoins, vous ne vous libérez pas pour autant de votre responsabilité en désignant un DPD, et ce dernier n'endosse pas le statut de responsable de traitement à votre place. Sans avoir le statut de salarié protégé, il ne peut d'ailleurs pas être sanctionné au titre de l'exercice de sa fonction de DPD.

Il est chargé des missions suivantes :

  • informer et conseiller les salariés qui procèdent au traitement de données, sur leurs obligations ;
  • contrôler le respect de ces obligations, y compris en ce qui concerne la sensibilisation et la formation du personnel concerné ;
  • être le point de contact de la CNIL sur les questions relatives au traitement, et mener des consultations, le cas échéant, sur tout autre sujet.

Vous devez lui fournir les moyens nécessaires à ses missions (accès aux données, association aux questions de protection des données, formation) et le laisser exercer sa fonction en totale indépendance. Il peut être interrogé par toute personne dont les données à caractère personnel font l'objet d'un traitement, sur la nature du traitement effectué et sur ses droits en découlant (droit de consultation, de rectification, etc.).

Pour éviter un conflit d'intérêt, le DPD ne doit pas être désigné parmi les salariés exerçant des fonctions d'encadrement supérieur (directeur adjoint, responsable informatique, DRH, etc.) et ne peut pas décider de la constitution d'un traitement.

Notez-le

Il peut être désigné sur un formulaire en ligne sur le site CNIL.fr.

Il peut y avoir plusieurs DPD dans une même entreprise (chacun d'eux ayant alors son domaine d'action propre). Il peut être interne à l'entreprise ou externe (sous contrat de service). Enfin, il peut être commun à plusieurs entreprises. Vous devez informer la CNIL et les salariés de sa désignation.

La CNIL a publié un guide (disponible sur le site cnil.fr, rubrique « les outils »), qui a pour objectif d'accompagner :

  • les organismes, dans la désignation du DPD ;
  • et les DPD, dans l'exercice de leurs fonctions.

Devez-vous tenir un registre des traitements ?

La tenue d'un registre des traitements est obligatoire dans les cas suivants :

  • votre effectif est supérieur à 250 salariés ;
  • ou, quel que soit votre effectif, un traitement, fréquent ou portant sur des données sensibles, présente un risque pour les droits des personnes concernées.

La tenue du registre incombe au responsable, mais elle peut être déléguée par écrit au DPD.

Là encore, nous vous conseillons de tenir ce registre, y compris dans le cas où vous n'y êtes pas obligé.

Pour un modèle de registre, reportez-vous à la rubrique « À télécharger ».

Convention collective "Hôtels, cafés, restaurants"(n° de brochure 3292)

Pas de dispositions particulières

Evitez les erreurs

Le rôle des RP

Les sanctions possibles

Notre conseil

Questions réponses

Vous êtes sur une version de démonstration

Révolutionnez votre quotidien avec l’offre Droit du travail Hôtels, cafés, restaurants.
Découvrez la solution tout-en-un, dédiée aux Hôtels, cafés, restaurants, pour une gestion du personnel efficace.

Je découvre l'offre

Modèles à télécharger

Textes officiels

  • C. pén., art. 226-16 à 226-24 (sanctions pour non-conformité au règlement)
  • Règlement européen n° 2016/679 du 27 avril 2016 (protection des personnes à l'égard du traitement et de la circulation des données à caractère personnel)
  • Délibération CNIL, n° 2019-001, du 10 janvier 2019 (règlement type relatif à la mise en oeuvre de dispositifs biométrique)

Convention collective