RGPD : quelles obligations pèsent sur les employeurs ?

Avec l’entrée en vigueur du RGPD ou Règlement Général sur la Protection des données en Mai 2018, chaque  entreprise est tenue de se conformer à des règles très rigoureuses. Désormais, la protection de données ne concerne plus uniquement les clients, consommateurs ou prospects, mais surtout les salariés, et cette responsabilité incombe en premier lieu à l’employeur. De là découle les obligations de celui-ci.

L’obligation de mettre en œuvre préalablement une étude d’impact

L’employeur  est  le responsable du traitement c’est-à-dire que la responsabilité de la mise en œuvre de la protection de toutes les données dans l’entreprise notamment celles des salariés lui incombe personnellement. Pour ce faire, il lui appartient de s’assurer d’une part que tous les outils utilisés dans son entreprise respectent la réglementation sur les données personnelles. Cette obligation d’analyse d’impact doit être menée avant la mise en œuvre de tout traitement susceptible de porter atteinte sur les données personnelles des salariés. Sans oublier la nécessité de la consultation de ces derniers avant toute mise en œuvre de traitement de données, dpms.eu vous orientera sur ces obligations.

L’obligation de tenir un registre de traitement

Tout employeur doit selon la RGPD tenir un registre dans lequel sont cartographiés tous les  traitements effectués au sein de son entreprise. Cette obligation est surtout destinée aux employeurs dont l’entreprise comporte plus de 250 salariés, ou celles à moins de 250 salariés mais dont le traitement des données est susceptible de porter atteinte aux droits et libertés des salariés. Ce registre doit être à tout moment consultable par le CNIL et contiendra notamment les noms et coordonnées des responsables de traitement, des finalités des traitements respectifs, des catégories de destinataires auxquelles les données seront communiquées ainsi que des mesures mises en place pour sécuriser les données.

L’obligation de notification en cas de violation des données personnelles

Enfin, il est possible que malgré les préventions et mesures engagées par l’employeur afin de protéger ses salariés, une violation des données personnelles de ceux-ci survient quand même. Dans ce cas de figure, l’employeur est tenu de notifier à la fois aux employés concernés et au CNIL. Le CNIL doit en être informé dans un délai de soixante douze heures tandis que le ou les principaux concernés doivent être mis au courant dans les plus brefs délais. Dans la mesure où toutes ces obligations relèvent d’une expertise d’un spécialiste et que l’employeur pourrait oublier ou ignorer certains détails, celui-ci doit impérativement faire appel aux services d’un Directeur de Protection de Données ou DPD pour l’accompagner dans son pilotage car la moindre négligence pourrait entraîner pour lui de lourdes sanctions administratives et pénales.

L’auto diagnostic pour les RGPD dédié aux TPE/PME
RSE : vers des entreprises plus responsables ?