1- Contexte général

Un nouveau règlement européen relatif à la protection des données personnelles (dit « RGPD ») entrera en vigueur le 25 mai 2018 (Règlement (UE) 2016/679).

Il accentue les droits déjà reconnus par la loi informatique et liberté. Cette unification européenne devrait permettre de mieux protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel et d’accentuer la responsabilité des organismes qui traitent ces données.

Dernièrement, un projet de loi, qui a vocation à assurer l’adaptation de la législation nationale au droit de l’UE en la matière, a été déposé.

Harmonisation de la protection des libertés et des droits fondamentaux

Une personne (notamment un salarié) qui souhaite faire une réclamation, aura la possibilité de s’adresser directement à l’autorité de protection des données de son pays, quel que soit le lieu d’implantation de l’entreprise qui traite les données.

Simplification des démarches administratives contre l’accentuation de la responsabilité

Le règlement simplifie les démarches administratives en supprimant l’obligation d’effectuer des formalités préalables auprès des autorités de contrôle tel que les déclarations ou demandes d’autorisation préalable à la mise en place de traitements de données. En contrepartie, elle accentue la responsabilité des organismes.

2 – Application concrète de la nouvelle législation à la gestion de paie

En gestion de paie, deux acteurs principaux se partagent les tâches et responsabilités dans la mise en œuvre de ce règlement européen : le responsable des données et le sous-traitant.

  • Le responsable des données: Il détermine les finalités et les moyens du traitement des données de l’ensemble de ses salariés à l’Entreprise cliente.L’entreprise cliente donne des instructions au sous-traitant sur le traitement de ces données.Le règlement européen renforce les obligations d’alerte et de conseil vis-à-vis de ses salariés notamment en cas de violation des données personnelles.
  • Le sous-traitant : Entreprise qui traite la paie ou qui gère le logiciel de paie pour le compte de son client à FORTIFYSes obligations en termes de confidentialité mais également de conseil, d’assistance et d’alerte de l’entreprise cliente sont renforcées.  En effet, FORTIFY devra être une aide permanente pour le client dans la garantie du respect de ce règlement.

Désignation d’un référent qui veille au respect de la législation

La première étape dans l’application du règlement sera de nommer, au sein de FORTIFY, un délégué à la protection des données qui aura une mission d’information, de conseil auprès de l’entreprise cliente et/ou de FORTIFY mais également de contrôle de la bonne application du règlement européen.

Contrôle par le salarié de ses données à caractère personnel : Renforcement de certains droits et créations de nouveaux droits

Le règlement européen accentue le droit de contrôle du salarié sur ses données personnelles en lui octroyant des droits supplémentaires :

  • Droit au consentement dans le traitement de ses données personnelles
  • Droit à la transparence, les données du salarié sont utilisées, traitées et consultées de manière transparente pour le salarié
  • Droit à l’information des risques, règles, garanties et droits liés au traitement des données et des modalités d’exercice de ces droits
  • Droit d’opposition, rectification et droit à l’oubli de ces données personnelles collectées
  • Droit d’accès et droit à la portabilité des données 
  • Droit d’alerte en cas de violation des données

Gestion des contrats de partenariat entre FORTIFY et l’entreprise cliente

L’ensemble des instructions de l’entreprise cliente relatives aux traitements des données de ses salariés, devront être recensées par écrit.

Les contrats devront détenir certaines mentions obligatoires :

  • L’objet et la durée de la prestation
  • La nature et la finalité du traitement
  • Le type de données à caractère personnel traités pour le compte du client
  • Les catégories de personnes concernées
  • Les obligations lors du terme du contrat (transmission/conservation des données)
  • Les obligations et droits de l’entreprise cliente en tant que responsable de traitement
  • Les obligations et droits de FORTIFY en tant que sous-traitant

Par conséquent, tous les contrats de partenariat entre FORTIFY et l’entreprise cliente qui ne respectent pas cette obligation feront l’objet d’un avenant afin de régulariser leur situation.

En outre, FORTIFY tiendra un registre répertoriant l’ensemble de ses entreprises clientes avec le détail des prestations effectuées pour leurs comptes afin de déterminer les responsabilités de chacun.

Garantir un niveau de sécurité adapté aux risques (dès la conception ou par défaut)

FORTIFY aidera l’entreprise cliente dans son obligation de mettre en œuvre des mesures appropriées et effectives pour garantir la sécurité des données traitées notamment en incitant les éditeurs de logiciels à respecter les mesures du règlement mais encore en apportant des preuves de la conformité des activités de traitement et l’efficacité des mesures (sécurité informatique etc.).

Sanctions : une responsabilité partagée

De lourdes sanctions peuvent être appliquées en cas de non-respect des nouvelles règles européennes. La réparation du préjudice subi par le salarié peut être répartie en fonction de la part de responsabilité de l’entreprise cliente et de FORTIFY.

En outre, les sanctions administratives à l’encontre d’une entreprise pourront s’élever de 2% à 4% du chiffre d’affaires annuel mondial.