La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a pour but d’adapter la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés à l’entrée en vigueur, le 25 mai 2018, du règlement général sur la protection des données personnelles (RGPD), qui impose de nouvelles règles de protection et de confidentialité des données personnelles des citoyens européens. Le chapitre Ier du titre I de la loi, intitulé « Dispositions relatives à la commission nationale de l’informatique et des libertés (CNIL) » redéfinit les missions et les pouvoirs de contrôle et de sanction de la Cnil.
Le RGPD impose aux collectivités d’appliquer les règles relatives à la protection des données
Le règlement RGPD, relatif à la protection des personnes à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, est applicable en France depuis le 25 mai 2018. Il impose aux collectivités de se mettre en conformité avec les règles relatives à la protection des données et de pouvoir démontrer qu’elles les respectent. Ainsi chaque responsable de traitement de données à caractère personnel doit constituer, regrouper et actualiser « toute information se rapportant à une personne physique identifiée ou identifiable ».
« Toutes les données personnelles, notamment des données présentant un risque pour la vie privée des personnes, sont désormais soumises au consentement de la personne qu’elle permet d’identifier. Une personne physique peut être identifiée, directement ou indirectement, par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
En cas de non respect des dispositions du règlement RGPD, des sanctions administratives et financières peuvent être prises. Elles sont dissuasives sur un plan financier (20 millions d’euros selon le règlement européen et la loi du 20 juin 2018) et sur un plan pénal conformément à l’article 226-16 du Code pénal (« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende »).
Les différentes implications du RGPD pour les service RH
Les employeurs publics doivent mettre en conformité le fonctionnement de leurs services avec les dispositions du règlement général sur la protection des données. La surcharge d’activité générée pour atteindre cet objectif, en particulier pour les collaborateurs des services des Ressources humaines, est forte. En application des articles 12 à 43 du RGPD, il faut établir un registre des traitements, mettre à jour les contrats conclus avec les sous-traitants de données et désigner un délégué à la protection des données (DPD).
Le délégué à la protection des données (DPD) exerce ses missions d’une manière indépendante. Il ne reçoit aucune instruction pour l’exercice de ses missions et est soumis au secret professionnel. Les services des collectivités sont responsables de la déclaration de leurs traitements et doivent se rapprocher du DPD pour se mettre en conformité en amont de la mise en œuvre du traitement. Le DPD n’est pas personnellement responsable en cas de non respect du RGPD.
Il faut également instituer une procédure de notification des violations de données personnelles, créer une veille sur la durée de conservation des données et informer les salariés tout en mettant en place des procédures pour respecter leurs droits. Désormais, les responsables de traitement doivent mener une analyse d’impact relative à la protection des données des salariés (AIPD) afin de mesurer le risque en matière de protection des données, et, le cas échéant, consulter la Cnil si le traitement présente un risque élevé.
Le RGPD vise à responsabiliser les acteurs et supprime ainsi la plupart des formalités préalables à la mise en place d’un traitement automatisé de données personnelles. Il génère une nouvelle surcharge d’activité pour les services Ressources Humains dont les moyens ne sont pas toujours en adéquation avec les missions à appréhender.
