Avec les nouvelles normes RGPD, les employeurs doivent faire face à différentes obligations pour assurer la sécurité des données personnelles gérées par leur entreprise
RGPD : quelles obligations pour les employeurs

Le Règlement européen sur la Protection des Données joue un rôle important non seulement dans l’organisation des grandes entreprises telles que les GAFA, mais également chez tous les employeurs, qui vont devoir se mettre en conformité et respecter certaines obligations

 

 

Quelles sont les obligations de l’employeur face aux données personnelles ?

D’abord, le règlement prévoit que la responsabilité de la mise en œuvre du RGPD repose sur l’employeur : il est en effet considéré comme le responsable du traitement des données personnelles. Il doit ainsi s’assurer que chaque outil utilisé, chaque logiciel est conforme au règlement. Il s’agit de la notion de privacy by design qui insiste sur le fait que l’employeur doit mettre en œuvre toutes les mesures appropriées garantissant que seules les données à caractère personnel nécessaires sont traitées.

 

Quelles sont les applications concrètes ?

L’employeur doit analyser l’impact relatif à la protection des données : le principe d’accountability viendra donc remplacer les formalités, déclarations et autorisations faites auprès de la CNIL. Cette analyse d’impact devient nécessaire lorsque le risque est élevé pour les salariés. L’employeur doit donc tenir un registre lorsque son entreprise atteint plus de 250 collaborateurs. Celui-ci doit être consultable par la CNIL à tout moment, et est censé cartographier tous les flux de données au sein de l’entreprise.

 

Quels sont les risques en cas de violation des données personnelles ?

En cas de fuite de données, l’employeur doit le notifier obligatoirement deux fois : d’abord à la CNIL, soit l’autorité compétente, dans un délai de 72 heures, puis au salarié (la personne concernée) dans les meilleurs délais. Une violation de données peut être caractérisée par la divulgation non autorisée, la destruction, la perte ou l’altération de données à caractère personnel. L’employeur a donc l’obligation de créer une procédure de notification. Pour éviter ou au moins limiter toute fuite de données, l’employeur peut faire appel à des services externes, par exemple un système d’archivage électronique pour conserver et protéger les données en toute sécurité et faciliter sa mise en conformité avec le RGPD.