Questions/Réponses sur la Webactu concernant l'impact du RGPD en matière RH : les obligations de l'employeur 1/2

La CNIL n'a pas modifié son nombre de contrôles annuels qui s'élève à 300 pour 2018. Elle a annoncé qu'elle serait clémente dans un premier temps notamment vis-à-vis des entreprises qui ont amorcé de bonne foi le processus de mise en conformité au RGPD. Ce sont donc bien les agents de la CNIL qui sont chargés du contrôle des entreprises et qui peuvent éventuellement prononcer une amende administrative conséquente.

2. Un employeur dont les collaborateurs sont en mission chez un client peut-il transmettre à ce dernier leurs données personnelles ?

Un employeur peut tout à fait transmettre des données personnelles de ses salariés à un client chez qui ces derniers travaillent dans le cadre d'une mission. Le traitement de données personnelles sera bien licite puisqu'il est nécessaire à l'exécution du contrat de travail et l'employeur devra dans le cadre de son obligation d'information indiquer aux salariés qui sont les destinataires de ses données personnelles. En outre, l'employeur devra intégrer le traitement dans le registre des activités de traitement.

3. A-t-on un délai pour corriger une situation si, par bonne foi, on a mal fait quelque chose ?

Rien n'est prévu dans les textes sur le sujet mais les agents de la CNIL seront bien entendus sensibles à la bonne foi de l'employeur qui a intérêt à rectifier la situation au plus vite.

4. Avez-vous une fiche précisant les différents niveaux de conservation et de durée de conservation ?

Il n'existe pas de tableau récapitulant les différents niveaux de conservation même si par le passé la CNIL avait publié une fiche en ce sens. Toutefois, il faut préciser que le site de la CNIL contient au cas par cas de nombreuses informations sur les différentes durées de conservation.

5. Qu'est-ce que l'archivage intermédiaire ?

La CNIL a défini plusieurs niveaux d'archivage. Le premier niveau d'archivage est la base active qui permet une utilisation courante des données personnelles des salariés pendant la durée d'exécution du contrat de travail. Le second niveau d'archivage se dénomme l'archivage intermédiaire. Il permet de conserver les données personnelles plus longtemps en vue de respecter une durée légale de conservation, de faire face à un contentieux (dans ce cas la durée de conservation sera calquée sur la durée de prescription) ou à une demande du salarié en vue de faire valoir ses droits à la retraite. La CNIL recommande au sujet des archives intermédiaires que leur accès soit limité à un service particulier dans l'entreprise et que les données personnelles soient séparées, par le biais de la gestion des droits d'accès et des habilitations, de celles conservées en base active.

6. Les bulletins de paie doivent-ils être conservés jusqu'à la retraite du salarié ?

La réponse à cette question est délicate car les bulletins de paie doivent en principe être conservés pendant 5 ans d'un point de vue social et 10 ans d'un point de vue comptable.

Toutefois, il est conseillé d'en garder une copie en archivage intermédiaire au cas où un salarié réclame un bulletin de paie après la rupture de son contrat de travail pour faire valoir des droits à la retraite. Si l'employeur a mis en place les bulletins de paie électroniques, il a l'obligation d'en garantir la disponibilité jusqu'aux 75 ans du salarié ce qui est prévu par l'article D. 3243-8 du code du travail.

7. L'employeur est-il tenu d'informer son personnel de la réglementation RGPD ?

Il n'existe aucune obligation pour l'employeur d'informer collectivement les salariés au sujet du RGPD par voie de note de service annexée au règlement intérieur ou par voie de charte informatique. Toutefois, il n'est pas inutile de modifier la note de service ou la charte informatique pour l'adapter aux dispositions du RGPD.

8. L'employeur a-t-il l'obligation de proposer au salarié un avenant au contrat de travail pour se conformer à son obligation d'information ?

Rien au sein du RGPD n'impose à l'employeur de faire signer un avenant au contrat de travail de ses salariés pour respecter son obligation d'information. Aucune forme particulière n'est imposée. Toutefois, il est conseillé de faire une information individuelle et écrite.