La loi « Informatique et libertés » après l’ordonnance du 12 décembre 2018 : quelles nouvelles obligations pour les RH depuis le RGPD ?

Depuis son entrée en application le 25 mai 2018, le Règlement général sur la protection des données, communément appelé le RGPD, a bouleversé la conception des entreprises en matière de traitement des données à caractère personnel. Traitant quotidiennement des données personnelles, les services des ressources humaines (RH) ont directement été concernés. En effet, de l’embauche à sa sortie des effectifs, les RH sont amenées à traiter et conserver des données personnelles appartenant au salarié ou au candidat malheureux à l’embauche.

Jusqu’à cette date, la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés était surtout axée sur la déclaration à la CNIL et l’information des salariés. C’est en tout cas ce qui fondait la jurisprudence sociale de la Cour de cassation à ce titre. Le RGPD responsabilise davantage l’entreprise qui doit assurer la protection de ces données, mettre en place une gouvernance, des procédures, faire des études de risques, des audits, former les salariés. En cas de manquement, les sanctions sont aussi plus importantes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise.

L’ordonnance n° 2018-1125 du 12 décembre 2018 vise à achever la mise en conformité légale du droit français au RGPD. L’adoption d’un texte français peut surprendre dans la mesure où, par principe, le règlement européen, d’effet direct, est applicable depuis le 25 mai 2018 aux entreprises françaises sans nécessité de texte de transposition à l’instar d’une directive.

Toutefois, au-delà de la mise en conformité des règles internes, l’adoption d’une loi française en matière de protection des données à caractère personnel répond à deux objectifs :

– d’une part, permettre au législateur de se saisir (ou non) des 56 marges de manœuvre laissées aux Etats membres pour adapter en droit national les obligations et droits résultant du RGPD ;

– d’autre part, faciliter l’accès aux nouvelles règles de protection des données à caractère personnel. Selon les termes même de la CNIL, l’enjeu de lisibilité «conditionne la pleine effectivité des droits des citoyens et des obligations des différents acteurs». En effet, les principes phares d’«accountability» d’«empowerment» portés par le RGPD imposent, à tout le moins, une connaissance par les acteurs de leurs droits et obligations.