Comment protéger les données personnelles de mes salariés ?

En tant qu’employeur vous êtes amené à collecter un certain nombre de données personnelles sur vos salariés : Nom, prénom, date et lieu de naissance, adresse postale, n° de téléphone, adresse électronique, n° de sécurité sociale, etc.

Toutes ces informations peuvent figurer sur divers documents : contrats de travail, fiches de paie, attestation d’emploi, relevés d’horaires de travail, etc. et elles sont également accessibles par un nombre conséquent de personnes et notamment :

• Le service RH pour le recrutement, la gestion du contrat de travail et le suivi dudit contrat.
• Le service comptabilité pour l’émission des fiches de paie et le paiement des salaires.
• L’employeur ou toute autre unité en fonction du poste occupé par le salarié et du besoin de traitement de ses données personnelles.

En outre, ces données peuvent être externalisées et communiquées à des tiers de l’entreprise :

• Un cabinet d’avocat pour la gestion d’un licenciement.
• Un cabinet comptable si la paie est externalisée.
• Les représentants et délégués syndicaux.
• Etc.

De fait, il y a un flux conséquent de données qui ont été collectées par l’employeur, ce dernier agissant en qualité de responsable de traitement. Pour rappel, le responsable de traitement est celui qui a) collecte les données personnelles et b) en détermine les finalités de traitement.

L’employeur est donc la personne responsable de la sécurité des données personnelles de ses salariés. Il vous incombe donc d’assurer une certaine protection de ces données.

Le principe général de protection

En matière de protection des données personnelles, chaque entité traitant des données personnelles doit garantir un niveau de sécurité adéquat, adapté à ses moyens et à ses besoins (pour information, un nouveau virus serait lancé toutes les 15 secondes et on dénombre plus d’un milliard d’attaques informatiques en 2017 !). Cette obligation de sécurité des données personnelles est prévue à l’article 32 du RGPD.

Dès lors, en matière de sécurité des données, des obligations pèsent sur les entreprises à la fois au plan physique et au plan virtuel et informatique.

On considère que l’entreprise doit prendre les mesures qui sont adaptées à ses moyens et capacités financières et matérielles. Lors d’un contrôle, il sera de la responsabilité de l’employeur de prouver qu’il a mis tous les moyens à sa portée pour protéger les données personnelles traitées et collectées de ses salariés.

Il n’y a donc pas de règles établies concernant la protection des données personnelles. Chacun est libre de faire comme il l’entend, du moment que l’on peut garantir une protection optimale et éviter toute fuite de données personnelles.

Quelques exemples de mesures de protection

Nous vous fournissons ici quelques informations et pistes de réflexion vous permettant de choisir au mieux les mesures pour protéger les données personnelles de vos employés. Encore une fois, ces mesures sont à adapter en fonction de vos capacités humaines et financières.

On n’attendra pas d’une petite PME qu’elle emploie le même système de sécurité informatique qu’un groupe à plus de 10.000 employés !

• Stockez les données sur des serveurs français ou européens, garantissant une conformité au RGPD.

• Pensez à effectuer des sauvegardes régulières de vos données pour, en cas de fuite ou de perte de données, conserver une copie des données collectées.

• Limitez les accès aux données à un ou plusieurs collaborateurs spécialement habilités. Pour exemple, on ne voit pas pourquoi quelqu’un d’autre que le service comptabilité aurait accès au numéro de sécurité sociale d’un employé.

• Instaurez des mots de passe sur les ordinateurs et renouvelez régulièrement vos mots de passe (ordinateur, WIFI) et choisir des mots de passe à la sécurité renforcée (ex : une majuscule, minuscule, chiffres, symbole). Le renouvellement d’un mot de passe devrait idéalement se faire tous les six mois.

• Si vos collaborateurs travaillent à distance ou dans des open-spaces, installez un VPN sur leurs ordinateurs pour sécuriser leurs connexions.

• Procédez régulièrement à des tests de sécurité informatique pour éviter toute intrusion.

• Mettez régulièrement à jour vos logiciels informatiques. Tous les logiciels que vous utilisez doivent être mis à jour régulièrement. En matière de protection des données, on ne vous demandera pas d’être à la pointe de la technologie, mais au moins d’être à jour dans l’utilisation de vos logiciels.

• Procédez à un test complet de la sécurité tous les ans (de votre matériel informatique) afin de valider que les données personnelles soient correctement protégées et stockées.

• Sécurisez votre système d’information.  

Abonnez-vous à la newsletter de Culture RH et recevez, chaque semaine, les dernières actualités RH.

Prénom

Adresse e-mail

The reCAPTCHA verification period has expired. Please reload the page.

Laissez ce champ vide si vous êtes humain :

A lire également :

• Données de temps de travail : comment mieux les gérer en entreprise pour plus de flexibilité
• Gouvernance de l’information numérique, des documents et des données, quelles tendances pour 2022 ?
• CNIL & RGDP: pourquoi de plus en plus d’entreprises sont sanctionnées ?

Procédure de détermination de violation de données

Le meilleur moyen pour protéger les données personnelles de vos employés est encore de pouvoir s’assurer qu’il n’y aura pas de violation de données et, s’il doit y en avoir (on ne vous reprochera pas leur existence si vous avez au préalable pris les mesures qu’il fallait pour protéger les données), être en mesure d’identifier une violation de données.

Cela implique de mettre en place une procédure spécifique des violations des données.

Une violation de données à caractère personnel est définie comme : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. » (Art. 4.12 RGPD).

Votre entité doit dès lors mettre en place une procédure globale en matière de violation des données personnelles en vue de :

• Détecter immédiatement la violation.
• L’endiguer.
• Analyser les risques engendrés par l’incident.
• Déterminer s’il convient ou non de notifier la CNIL et les personnes concernées.

Toutes ces procédures participent à l’obligation de documentation de la conformité RGPD et vous permettent, le cas échéant, d’avertir la CNIL dans les meilleures conditions (https://notifications.cnil.fr/notifications/index).

En outre, en cas de « Data Breach », vous devrez, si applicable (voir tableau ci-dessous), avertir les personnes concernées et leur communiquer :

• La nature de la violation.
• Les conséquences probables de la violation.
• Les coordonnées de la personne à contacter.
• Les mesures prises pour remédier à la violation et en limiter les conséquences négatives.
• Les recommandations pour atténuer les effets négatifs de la violation.

Toute cette documentation, si elle est préparée en amont, vous permettra de disposer des éléments nécessaires pour garantir la protection des données personnelles et les mesures prises en cas de « Data Breach ».

Quand dois-je avertir la CNIL ou les personnes concernées ? (Source – CNIL)

Si vous souhaitez aller plus loin en matière de sécurité de vos données personnelles, la CNIL a mis en place un guide utile : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

En cas de violation de données, vous devez également avertir vos salariés, en application du droit à l’information. Il s’agit d’un impératif auquel vous ne pouvez déroger.

Sanctions en cas de violation

Sanctions pécuniaires

En cas de violation de vos obligations en matière de protection des données personnelles de vos salariés, vous vous exposez à des sanctions, qui peuvent, le cas échéant, être appliquées par la CNIL (commission nationale informatique et libertés).

Cette dernière a tout pouvoir pour imposer des amendes dont le montant dépend de plusieurs critères :

• La nature et la gravité des faits, ainsi que le niveau de dommage et la nature des données concernées (une violation relative à des données sensibles coûtera plus cher qu’une violation sur des données classiques !).
• Si la violation a été commise délibérément ou par négligence.
• Si le responsable de traitement a pris des mesures pour remédier au problème – ainsi que son degré de responsabilité – ou si au contraire, il a laissé les choses en l’état.

Pris tous ensemble, ces amendes peuvent monter jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial. Le montant le plus élevé sera retenu pour appliquer votre amende.

En outre, il existe une autre grille d’évaluation du dommage où l’amende peut monter jusqu’à 20 millions d’euros ou 4% du CA annuel mondial si la violation concerne :

• Les droits des personnes (ex : vous n’avez pas averti vos collaborateurs en cas de violation de leurs données).
• Un non-respect du consentement (ex : vous avez opéré un traitement sur les données de vos collaborateurs sans l’en informer au préalable et, le cas échéant, recueillir son consentement).
• Ou en cas de transfert non autorisé de données personnelles en dehors de l’Union Européenne (ex : vous utilisez un logiciel de traitement de paie dont les serveurs sont situés en dehors de l’Union Européenne et vous n’avez pas averti vos salariés ou pris les mesures adéquates pour protéger les données).

La responsabilité pénale

Il n’y a pas qu’en application du RGPD que la responsabilité peut être engagée. D’un point de vue national, tout manquement à la loi Informatique et Libertés peut être punissable sur le plan pénal. En application des articles 226-16 et suivants du Code pénal, les sanctions en cas d’atteinte aux données personnelles peuvent aller jusqu’à 5 ans d’emprisonnement et 300.000 € d’amende !

Sur la base de ces informations, nous vous recommandons donc la plus grande prudence en matière de protection des données personnelles de vos salariés. Faites appel à un avocat spécialisé en données personnelles, qui saura vous conseiller au mieux sur les modalités de protection des données, ou à un technicien informatique qui pourra vous installer des mesures de sécurité optimales et vous conseiller sur les logiciels informatiques conformes à la réglementation.

A lire également :

• RGPD & Recrutement : que faire des données personnelles des candidats non-retenus ?
• RGPD & Onboarding, quelles données pouvez-vous collecter ?
• Hyperconnexion : quels risques pour vos salariés ?