Qu'est-ce que le RGPD va changer pour les salariés ?

Le RGPD va toucher les RH, les spécialistes du marketing et du traitement des données. Mais il risque aussi d'apporter quelques changements dans le quotidien des salariés.

D’un point de vue opérationnel, peu de choses vont changer entre le 24 mai et le 25 mai, date de l'entrée en vigueur du RGPD. Les formations, le recrutement ou la paie ne s’arrêteront pas. Gardons bien à l'esprit que le RGPD n'interdit pas d'utiliser les données personnelles des salariés.

Il se contente de poser les principes délimitant le droit à un traitement. Et si la réponse est positive, les conditions d’exécution que le traitement doit remplir. Dans le cas des traitements RH, la plupart d’entre eux rentrent dans le cadre des obligations contractuelles, des obligations légales pour la gestion RH, ou de l’intérêt légitime (Article 6 b, c et f). De ce fait, le RGPD ne comporterait pas d'énormes changements pour les salariés.

Que va-t-il changer alors ? Nous pourrions définir trois catégories de changements : ceux transparents pour le personnel, ceux liés à l’amélioration de la transparence, mais dont le personnel resterait un acteur passif, et ceux actionnables, où le salarié pourrait avoir un bénéfice à condition de réaliser une action.

Dans la première catégorie, les changements transparents, nous avons tout d’abord l’amélioration de la sécurité ainsi que de la chaîne de sous-traitance.

Ensuite, le principe de la minimisation des données viendra réduire la quantité et le type des données stockées par les entreprises, diminuant d’une part les impacts en cas de fuite, et d’autre part les risques de mauvaises utilisations de ces données, comme la discrimination au travail. En revanche ceci ne veut pas dire, comme on l’entend parfois, qu’on ne pourra plus collecter certaines données, mais toute donnée collectée et utilisée devrait être justifiée.

Ce principe s’ajoute à la limitation de la durée de conservation : les données ne peuvent pas être conservées ad eternum. C’était déjà le cas avec la directive de 1995, mais le RGPD, du fait des fortes pénalités, est beaucoup plus persuasive.

Finalement, pour cette première catégorie, nous mentionnerons aussi les études d’impact, obligatoires dans certains cas. Car il s’agit bien d’études dont l’objectif est d’évaluer le risque des traitements pour les personnes (et pas pour l’entreprise). Ces études devraient être suivies, si nécessaire, par la mise en place des mesures de protection additionnelles.

En deuxième lieu le RGPD va donner lieu a beaucoup plus de transparence. La législation définit des éléments d’information à fournir pour chaque traitement. Dans le cas où ces éléments n’auraient pas été fournis au préalable, l’entreprise devrait mettre à jour ses politiques et peut-être même faire une communication spécifique auprès du personnel. Compte tenu de l’emballement médiatique, nous sommes toutes et tous attentifs à ce sujet. L’organisation étant dans l’obligation de communiquer sur l’ensemble des traitements, le personnel aurait une vision plus claire des données collectées et de ce qui fait l’entreprise avec.

Finalement, la troisième catégorie c’est celle des changements actionnables : des droits (pour la plupart déjà existant dans la directive de 1995) nécessitant, cette fois-ci, une action de la personne. Cette catégorie comprend les droits d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité des données et d’opposition. Nous souhaitons inclure ici l’existence, au sein de l’entreprise, de la figure du délégué à la protection des données, car il est un droit indirect de pouvoir le saisir. Il ne doit pas être confondu avec le data protection officer (DPO).

Parmi cette liste des droits, un seul est vraiment nouveau: le droit à la portabilité. Il permettrait aux individus de partir avec ses données lors d’un changement d’entreprise, un peu à la manière des coffres forts des bulletins de paie. Le droit à la portabilité reste limité néanmoins, car il ne s’applique pas ni à tous les traitements (les traitements autres que nécessaires à un contrat ou base sur le consentement sont exclus), ni à toutes les données (le droit s’applique qu’aux données fournis par la personne à l’entreprise).

Ainsi en RH, ce droit pourrait ne pas s’appliquer ni aux données "générées" par l’entreprise lors du déroulement de la vie professionnelle de la personne, ni aux traitements fondés sur l’intérêt légitime.

Comme nous venons de le voir, sur le court terme les changements principaux pour les salariés porteront sur plus de sécurité, de transparence, et de possibilités pour exercer ses droits.

Par contre, là où on pourrait commencer à percevoir des changements importants c’est sur le moyen et long terme. A fur et mesure que des nouveaux traitements (je pense ici en particulier au machine learning, big data et autres traitements prédictifs) se mettent en place, quelques-uns d’entre eux ne pourront pas se justifier sur la base d’un contrat, d’une obligation légale ou d’un intérêt légitime et de ce fait, le consentement sera la seule option.

A partir de ce moment-là, le personnel se verra probablement fournir beaucoup plus d’information (transparence) voir sera invité (par exemple à travers des instances de représentation du personnel) à participer à la définition et mise en place de ces traitements, et il pourra retirer son consentement et obtenir l’effacement des données à tout moment.

Finalement, il aurait un dernier effet "secondaire" du RGPD. Le RGPD  renvoie aux obligations légales existantes par ailleurs. De ce fait, les entreprises vont probablement devenir plus strictes dans le respect des obligations du code du travail, sous "double peine" de violation du code du travail et du RGPD.