Trois ans après la mise en œuvre du RGPD, les entreprises sont tenues, sous peine de sanctions administratives, de faire des analyses d’impact des traitements de données pouvant présenter un risque pour les droits et libertés des personnes. Basile Moore, avocat du cabinet Capstan, détaille les mesures à prendre et les risques encourus.
Que doivent faire les entreprises qui n’ont pas encore effectué les analyses d’impact exigées par le RGPD durant le délai de mise en œuvre de trois ans qui a pris fin le 25 mai ?
Basile Moore : Beaucoup d’entreprises ont déjà mis en place les « mesures techniques et organisationnelles » qui permettent de limiter ou supprimer les risques pesant sur les droits et libertés des personnes, mais ne les ont pas pas formalisées par écrit dans le cadre d’une analyse d’impact. La première chose à faire consiste donc à se référer aux directives de la CNIL qui met à disposition sur son site des fiches relatives aux différentes catégories de traitements de données. Ensuite, il faut se référer aux éléments mentionnés dans le registre des activités de traitement devant en principe être mis en place dans les entreprises et qui permettent d’auditer les « mesures techniques et organisationnelles » le cas échéant. Les DRH doivent se faire accompagner d’un juriste et d’un spécialiste informatique dans cette démarche.
Dans quels domaines une analyse d’impact est-elle la plus urgente ?
B. M. : La CNIL a indiqué en 2018 les traitements qui doivent faire l’objet d’une analyse d’impact, notamment en matière de RH. Y figurent notamment ceux liés à un système d’alerte professionnelle ou ayant pour finalité la surveillance constante des salariés. Une seconde délibération de la même date précise une série de traitements RH usuels (gestion de la paie, de la formation, de la restauration d’entreprise, du suivi des entretiens annuels d’évaluation, etc.) pour lesquels l’analyse d’impact n’est pas nécessaire sauf si l’entreprise compte plus de 250 salariés. La priorité devrait donc être donnée aux dispositifs de contrôle de l’activité et aux traitements de données impliquant le recours au profilage ainsi qu’à la biométrie.
Quelles sont les conséquences d'un défaut d'analyse d'impact pour l'entreprise, mais aussi pour la DRH ?
B. M. : Le défaut de réalisation d’une analyse d’impact expose les entreprises à une amende d'un montant maximal de 20 millions d’euros ou d'une somme équivalente à 4 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu). Il est cependant peu probable que des sanctions aussi élevées soient prononcées à ce stade, d’autant qu’avant de prononcer une sanction, la CNIL met d’abord en demeure les entreprises afin qu’elles se mettent en conformité, avant de leur notifier une sanction administrative. S’agissant du DRH, sa responsabilité personnelle ne devrait pas être engagée au motif que la société n’aurait pas fait d’analyse d’impact car il n’a pas la qualité de « responsable de traitement » et le RGPD ne le désigne pas comme celui devant accompagner les personnes chargées de réaliser une analyse d’impact. Mais la société s’expose à un autre risque qui pourrait apparaître dans le cadre d’un contentieux prud'hommal (par exemple, en cas de contestation d’un licenciement). Des salariés pourraient contester la recevabilité des preuves présentées par l’employeur au motif qu’elles seraient issues d’un traitement de données n’ayant pas fait l’objet d’une analyse d’impact.
Propos recueillis par Gilmar Sequeira Martins
