Notre site web utilise des cookies et d’autres technologies afin d’améliorer votre expérience utilisateur et de mesurer la performance du site web et de nos mesures publicitaires. Vous trouverez plus d’informations et d’options dans notre déclaration de confidentialité.
OK

Le RGPD: La protection des données et les RH

Le droit de la protection des données (le RGPD) et les évolutions actuelles dans ce domaine ont des effets variés, c’est bien connu, sur le domaine des ressources humaines; ainsi, par exemple, sur l’Outsourcing ou dans le cas d’Active Sourcing. Il est grand temps, pour les entreprises et les départements RH, de se consacrer à ce thème.

20/08/2019 De: Monika Rohrer, Michael Widmer
Le RGPD

RGPD de l’UE

Dans l’UE, le RGPD régit le traitement des données personnelles des personnes physiques. Le RGPD est déjà entré en vigueur le 24 mai 2016 avec un délai transitoire allant jusqu’au 25 mai 2018. Les entreprises devraient donc être prêtes à l’heure actuelle – car quiconque sera en infraction avec les dispositions se verra menacé de lourdes amendes: selon les cas, celles-ci pourront atteindre jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires annuel. Sans parler des risques de réputation. Les départements RH sont donc fortement sollicités dans ce domaine, car une grande partie de ces données personnelles relève de leur domaine de responsabilité.

Quelles sont les données concernées?

Mais de quelles données s’agit-il? On parle de «données liées aux personnes» ou, pour abréger, des «données personnelles» dès qu’il s’agit d’informations relatives à une personne physique qui est identifiable directement ou indirectement. On comprend par exemple, parmi celles-ci, les adresses de courrier électronique, les données des systèmes de gestion du personnel ainsi que les données personnelles ou les évaluations de performance, les entretiens téléphoniques enregistrés où des noms sont cités, mais aussi des informations à partir des systèmes électroniques de candidature (Pre-Screenings) ou celles qui relèvent de Talent Pools lorsque la personne concernée peut être identifiée afin de ne citer que quelques exemples. Même l’expression de «traitement» doit être rapidement explicitée, car il ne s’agit pas seulement ici de collecte, d’utilisation et de suppression, mais aussi, par exemple, du simple enregistrement de données personnelles de ce genre. Au vu de la quantité inqualifiable de données électroniques que les entreprises traitent chaque jour (la plupart du temps sous forme automatique, plus rarement de manière consciente et contrôlée manuellement), cela permet de deviner l’étendue de la complexité à laquelle les entreprises sont confrontées.

    Problématique d’Outsourcing

    Mais, en quoi les entreprises suisses sont-elles concernées? A un large niveau. L’impact sur les entreprises suisses disposant de succursales en Europe est évident: ici, le point de concentration porte surtout sur les données personnelles qui soit sont traitées dans des domaines externalisés (Outsourcing), par exemple en termes de stockage des données dans le Cloud, mais aussi le traitement de données personnelles par une entreprise suisse en tant que mandataire d’une entreprise de l’UE (le RGPD sera applicable). A l’heure actuelle, il existe déjà, dans le domaine de l’Outsourcing depuis la Suisse vers l’étranger, une situation légale qui oblige à prendre certaines mesures. Tout d’abord, il faut clarifier dans ce contexte si le pays concerné offre un «niveau approprié de protection » en termes de droit de la protection des données». Les régimes d’exportation de données en dehors de l’UE sont fondamentalement similaires sur la base de le RGPD.

    Données personnelles en dehors de l’UE

    Mais cela ne suffit pas: le RGPD va au-delà de ce que l’on appelle le «principe de lieu du marché». Autrement dit, le RGPD peut également être applicable lorsque les données de personnes qui se trouvent dans l’UE sont éditées en Suisse dans la mesure où des conditions supplémentaires sont applicables. Cela peut être le cas lors d’un traitement de données en relation avec une offre de marchandises ou de prestations de services à des personnes concernées dans l’UE ou encore lors de traitements de données en relation avec l’observation de comportements des personnes concernées dans la mesure où cela survient dans l’UE (par exemple Webtracking). On peut certes prétendre que ces conditions ne sont généralement pas satisfaites dans le domaine des RH.

      Nouvelle LPD suisse

      En outre, la loi suisse sur la protection des données (LPD) est aussi en cours de révision en Suisse, quand bien même le traitement du projet au parlement a été partiellement rejeté par la commission des institutions politiques du Conseil national (y compris de nombreuses dispositions concernant les départements RH). Mais les nouveaux règlements doivent être escomptés plutôt que prévu. Cela surtout parce que la Suisse n’a aucun intérêt à être classifiée sur la «liste noire» de l’UE (comme les États-Unis par exemple). Ainsi, la LPD révisée devrait être similaire au RGPD afin de garantir un «niveau approprié de protection» au sens de cette dernière pour que les transferts de données entre l’UE et la Suisse continuent à rester aussi peu problématiques que maintenant.

      Ces articles pourraient également vous intéresser:

      Newsletter S'abonner à W+