LA PAUSE RGPD #1 : Les données à caractère personnel

LA PAUSE RGPD #1 : Les données à caractère personnel

Dans la gestion du personnel et plus généralement dans la sphère RH, de nombreuses Données à Caractère Personnel (DCP) sont collectées et traitées. Qu’est-ce qu’une DCP ?

Cette notion de DCP est définie et encadrée par le Règlement (UE) 2016/679 du Parlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (LIL), modifiée.

Cette définition est :

Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Il y a plusieurs catégories de DCP :

1. Les données courantes

  • Les données d’identification : genre, prénom, nom, pseudo, photo d’identité, etc.
  • Les données personnelles : adresse postale, situation maritale et matrimoniale, téléphones, adresses de messagerie, etc.
  • Les données professionnelles : adresse postale, matricule, statut professionnel, position, coefficient, fonction, messagerie, téléphone, date d’entrée dans l’entreprise, ancienneté, date de départ, etc.
  • Les données de connexion : identifiants, mots de passe, pseudo, etc.
  • Les données de localisation : adresse IP du matériel utilisé, géolocalisation (véhicules ou applications)

2. Les données particulières (qui doivent être particulièrement protégées selon la LIL)

  • Les informations d’ordre économique et financier : numéro de compte bancaire, IBAN, RIB, données salariales, taux PAS (prélèvement à la source), etc.
  • Le NIR (numéro de sécurité sociale) dont l’utilisation est encadrée par le décret n°2019-341

3. Les données sensibles (articles 9 et 10 du RGPD)

  • Les données de santé
  • Les origines raciales ou ethniques
  • Les opinions politiques
  • Les convictions religieuses
  • Les convictions philosophiques
  • L’appartenance syndicale
  • Les données génétiques
  • Les données biométriques
  • La vie sexuelle ou les orientations sexuelles
  • Les données relatives aux infractions, condamnations pénales ou mesures de sureté

Ainsi, la collecte et le traitement des DCP particulières et sensibles sont strictement encadrés.

La règle à appliquer dans tous les cas, est de savoir pourquoi on collecte des DCP, qu’est-ce qu’on en fait et combien de temps on les conserve. C’est le principe de la minimisation. Si la collecte d’une DCP n’est pas juridiquement encadrée, alors on ne doit pas la collecter.

Le RGPD est l’anti « Je collecte et conserve au cas où… » car cette pratique, si elle est maintenue expose l’entreprise à des sanctions, en particulier à une amende administrative de 4 % de son chiffre d’affaires par la CNIL.

Nos experts RGPD sont à votre disposition pour vous accompagner dans votre conformité RGPD. N’hésitez pas à contacter vos interlocuteurs habituels

Pour en savoir davantage sur la question de la collecte des données RH dans le cadre du RGPD, n’hésitez pas à visionner le replay de notre webinar du 4 octobre 2022. L’occasion de découvrir comment transformer cette contrainte en opportunité de simplification.