Le blog des gestionnaires de paie et des experts des RH

Actualité paie

GDPR : ce qui change pour les entreprises en 2018?

1 janvier 1970 par Frédéric Malot - Lecture 5 min.

Le quotidien des entreprises sera impacté l’année prochaine par les mesures incluses dans la réforme du droit du travail ou le bulletin de paye simplifié, mais également par le nouveau règlement général sur la protection des données (RGPD). Il entrera en vigueur dans l’ensemble de l’Union Européenne à partir du 25 mai 2018. Communément appelé GDPR (de l’anglais General Data Protection Regulation), ce texte renforce et unifie la protection des données à caractère personnel pour tous. Tour d’horizon de ce qu’il implique pour les entreprises et notamment pour la fonction paie-RH.

GDPR

QU’EST-CE QUE LE RGPD / GDPR ?

Véritable tournant dans le traitement des données personnelles, le règlement n° 2016/679 dit Règlement Général de Protection des Données (RGPD ou GDPR en anglais) entrera en vigueur à compter du 25 mai 2018. Il s’agit d’une cinquantaine d’articles remplaçant la réglementation actuelle (la directive sur la protection des données personnelles adoptée en 1995) et définissant les règles d’utilisation et de stockage des données personnelles à l’échelle européenne.

Son objectif principal : redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée au sein de l’UE. En d’autres termes, il protège le droit de tout citoyen européen de décider si, quand, comment et à qui ses informations personnelles peuvent être divulguées, et comment elles peuvent être utilisées.

QUI EST CONCERNÉ ?

Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel. Tous les acteurs économiques, voire sociaux, sont ainsi concernés : les entreprises bien-sûr, mais également les associations, administrations, collectivités locales et syndicats d’entreprises.

La nouvelle législation étend les obligations et la potentielle responsabilité envers les données personnelles des salariés au-delà de contrôleurs de données («data controllers » – c’est-à-dire les employeurs), aux processeurs de données (« data processors » – des sous-traitants en lien contractuel avec ces entreprises).

De plus, on parle d’une application extraterritoriale du GDPR : il aura des implications majeures pour toutes les entreprises ayant des salariés résidant dans l’Espace Économique Européen, et ce même s’ils ne sont pas citoyens européens. Les sociétés non-européennes seront également soumises au règlement si elles ciblent les résidents de l’UE par leur prospection ou proposent des biens et services à des résidents européens.

QUE CHANGE AVEC LE NOUVEAU RÈGLEMENT ?

L’ « accountability » est le principe fondamental du GDPR. Il se propose ainsi une responsabilisation plus forte des entreprises qui doivent être en mesure de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.

Au-delà d’une portée plus large, parmi les nouveautés mises en place par cette législation on compte notamment :

  • Plus de données visées: au sens du GDPR, les données personnelles incluent toutes les informations qui permettent d’identifier, de manière directe ou indirecte, la personne à laquelle elles se rapportent (y compris identifiants de connexion, cookies et adresses IP) ;
  • Notifications en cas de fuite de données: les entreprises seront tenues de notifier dès que possible l’autorité nationale de protection – la Commission nationale de l’informatique et des libertés (Cnil) en France – sous 72 heures maximum, ainsi que les employés touchés en cas de violations graves de données ;
  • Plus de droits pour les salariés : transparence sur le type et le but de la collecte de données, droit d’accès et de rectification des données, droit à l’effacement des données (version allégée du droit à l’oubli), droit à la portabilité des données personnelles etc. ;
  • Nomination d’un délégué à la protection des données : certains types d’employeurs (entreprises d’au moins 250 salariés) auront l’obligation de nommer un délégué à la protection des données (DPO – Data Protection Officer), une nouvelle exigence dans tous les états membre de l’UE sauf pour l’Allemagne qui l’applique déjà.

QUELLES SANCTIONS ?

Les entreprises non conformes devront faire face à des pénalités non négligeables. Les amendes pourront aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires global annuel de la société (le montant le plus élevé étant retenu).

De plus, en cas de non-respect de la confidentialité de leurs données, les salariés pourront intenter des poursuites directes, y compris en justice, directement contre leur employeur.

QUELS IMPACTS POUR LA FONCTION PAYE-RH ?

Le changement s’annonce radical pour les entreprises, et d’autant plus complexe à mettre en œuvre que le volume de données à traiter ne cesse de croître. Or, dès mai prochain, toute société devra être en mesure de prouver à tout moment que les données à caractère personnel qu’elle a en sa possession sont protégées et surtout inexploitables en cas de vol.

Une tâche d’autant plus difficile dans le domaine paye-RH, où les traitements des données sont nombreux et sensibles : du recrutement d’un salarié, à sa formation, son évaluation, la gestion de la paye et des déclarations sociales jusqu’à son départ de l’entreprise.

Pendant chacune de ces étapes, une entreprise est amenée à collecter, traiter et stocker une grande quantité de données à caractère personnel. Elle doit donc s’assurer que les méthodes utilisées sont conformes aux attendus réglementaires.

RGPD

COMMENT SE PRÉPARE RUE DE LA PAYE ?

Chez Rue de la Paye, nous traitons aussi bien les données paye-RH de nos collaborateurs, que celles de nos clients. Bien que ce ne soit pas le cas de toutes les organisations, une chose est sûre : face au GDPR, nous sommes tous égaux. Nous prenons les questions de conformité réglementaire très au sérieux, nous nous sommes ainsi préparés en avance pour être « GDPR-compliant ».

Pour répondre aux exigences du nouveau règlement, Rue de la Paye a déjà commencé le processus de mise en conformité via quelques chantiers transverses :

  • Localisation des informations: analyser minutieusement les données enregistrées sur les systèmes internes, sur les ordinateurs des salariés, dans les archives des sites et même dans des classeurs, ainsi que des informations stockées par nos différents partenaires ;
  • Cartographie des données et classification de toute information: identifier les types de données disponibles, circonscrire celles considérées comme données personnelles au sens du GDPR et les types de documents les contenant afin de localiser, y accéder et les contrôler rapidement ;
  • Gestion de la sécurité des données: faire le point des règles de rétention en vigueur et les actualiser, supprimer ou anonymiser les données sauvegardées sans finalités, statuer sur le temps minimum et maximum de rétention etc. ;
  • Conduite de changement: s’approprier les nouvelles pratiques face à la sécurité des données, former les collaborateurs sur la protection des données personnelles, définir les rôles de chacun (RH, juridique, IT, gestion de paye) etc. ;
  • Politique en cas de violation des données: décider qui devra être notifié, quand, quelles informations à fournir.

En suivant ces étapes spécifiques nous nous assurons donc de vérifier l’application de tous les principes GDPR à travers notre organisation. Nous déterminons comment ce règlement s’applique au cas particulier de notre entreprise et lançons les opérations concrètes et indispensables sur l’évolution de nos process, méthodes et outils informatiques. Nous nous attelons ensuite à sensibiliser toutes les personnes concernées et restons réactifs.

Cette  évolution complexe nous permet également de mettre davantage en pratique nos valeurs de transparence et de sécurité. De plus, les efforts menés pour garantir la pleine conformité avec le RGPD sont aussi une opportunité de créer du lien et de valoriser notre organisation tant auprès de nos collaborateurs que de nos clients.

Tags:

L’actualité

Actualité paie
Redressements URSSAF pour travail dissimulé : nouveaux chiffres publiés 1 janvier 1970

Une note de presse du réseau des URSSAF datée de 2 mai 2019 communique sur les bons résultats obtenus dans la lutte contre le travail dissimulé en 2018. Des redressements record ont été infligés l’année dernière aux entreprises qui fraudent pour ne pas payer les charges sociales. Passage en revue des chiffres clés ainsi que […]

Actualité paie
Congés payés : fin de la période de référence au 31 mai 2019 1 janvier 1970

Dans la plupart des entreprises, la période de référence pour le calcul des congés payés prend fin bientôt, le 31 mai 2019. Rappel des règles du Code du travail relatives aux congés ainsi que les principales nouveautés à connaître. CONGÉS PAYES : PÉRIODE DE RÉFÉRENCE 2018-2019 Pour rappel, tout salarié à droit à des congés […]

Actualité paie
Loi Pacte : les principales mesures pour les entreprises 1 janvier 1970

La loi PACTE (Plan d’action pour la croissance et la transformation des entreprises) a été définitivement adoptée le 11 avril 2019 par le Parlement. Comptant plus de 200 articles, les objectifs majeurs de ce texte tentaculaire sont de simplifier la vie des entreprises, leur permettre de grandir et de créer plus d’emplois, ainsi que de […]