Comment une entreprise confrontée à un drame tel qu’une exposition prolongée à l’amiante pourra prouver sa bonne foi des années plus tard si en suivant scrupuleusement les règles du RGPD, l’entreprise a détruit les informations de ses salariés et n’est pas en mesure de se défendre ?

Emilie Meridjen, associée en droit social chez Sekri Valentin Zerrouk de déclarer : « Le RGPD nécessite la mise en place d’une procédure d’effacement des données, mais ne doit pas menacer l’entreprise dans la défense de ses intérêts dans une application trop stricte de la règlementation. Il faut donc mettre en place des solutions à la fois scrupuleuses mais aussi adaptées à chaque entreprise, par rapport à ses spécificités, pour anticiper d’éventuels conflits futurs. Pour ne pas se mettre à l’amende, il faut certes agir mais d’abord réfléchir. Cela représente une réelle opportunité pour développer de nouvelles stratégies RH. »

Pour mémoire : Nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplacement d’une directive datant de 1995, le Règlement Général sur la Protection des Données (RGPD), adopté en 2016, sera appliqué dans l'Union européenne à partir du 25 mai 2018. Ce texte a pour ambition d’harmoniser le panorama juridique européen en matière de protection des données personnelles.

Il induit de nombreux changements dans la collecte, le traitement et la conservation des informations des salariés. Il sera donc nécessaire pour les entreprises, notamment, de :

• Cartographier les données personnelles de ses salariés (les données relatives à l’état civil, de connexion, de localisation…),
• S’interroger sur les finalités de leur traitement (gestion de la paie, de carrière, télétravail, jusqu’au traitement des données pour la biométrie…) en s’inspirant de la « doctrine CNIL » élaborée au cours de ces quarante dernières années,
• Établir un registre des traitements,
• Mettre en place des procédures d’information des salariés sur les données traitées et leurs droits à l’égard de ces données.

Les données collectées ne devront être qu’adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. Il sera fondamental de fixer des règles de conservation et de purge de ces données non nécessaires au sein de la société et d’identifier les traitements RH à risque. Les entreprises pourront le cas échéant avoir recours à une analyse d’impact.