Sabine de Paillerets : Le RGPD a un impact dans de nombreux domaines comme le droit social. Les salariés deviennent à la fois sujets et acteurs du traitement de leurs données personnelles. Sujets, puisque le taux d’imposition fourni par l’administration fiscale à leur employeur est une donnée les concernant. Acteurs, car ils deviennent partie prenante de la mise en conformité au RGPD. La direction des ressources humaines a l’obligation de les informer qu’elle va traiter cette donnée entre autres, le destinataire de ce traitement et avec quelle finalité. Même si la finalité est une obligation légale (l’imposition sur le revenu du salarié), cette information est obligatoire.
S. de P. : Alors qu’auparavant les entreprises avaient une simple obligation de déclaration à la Cnil(1), elles doivent désormais, pour être en conformité avec le RGPD, créer et tenir un registre de traitement des données personnelles. Celui-ci doit préciser, pour chaque type de données, son destinataire et l’objet. Le taux de prélèvement à la source n’est pas seul concerné, toutes les données nécessaires à la paie le sont. Un logiciel qui traiterait, par exemple, des sanctions appliquées aux salariés, devrait être inclus dans ce registre. Il y a un transfert de responsabilité de sécuriser les données de la Cnil aux entreprises. Cette obligation de mise en conformité pèse sur l’entreprise, en tant que responsable du traitement des données, mais aussi sur le sous-traitant éventuel à qui elle confie celui-ci (service paie externalisé).
S. de P. : L’entreprise organise ce traitement des données avec son prestataire paie. Un contrat doit exister entre eux précisant la répartition des obligations de traitement des données, c’est-à-dire qui fait quoi, quelles données le prestataire reçoit, quel traitement il en fait et avec quelle finalité. Ces sociétés avaient déjà un engagement de confidentialité, mais la digitalisation et la mise en œuvre du prélèvement à la source renforcent l’obligation de sécuriser le traitement des données personnelles et d’en informer les salariés.
S. de P. : Il pourra y avoir des contentieux entre l’administration fiscale, l’entreprise et le salarié. D’où l’importance du contrat avec le prestataire et de la création du registre. Ce dernier doit être tenu à la disposition de la Cnil pour le cas où celle-ci décide de venir opérer un contrôle. Elle avait déjà un pouvoir de police judiciaire, c’est-à-dire faire des visites inopinées, sans prévenir. Il y a eu des sanctions et, depuis l’entrée en application du RGPD, celles-ci ont été renforcées (jusqu’à 4 % du CA annuel). Ce n’est pas du tout un risque théorique.
(1) Commission nationale de l’informatique et des libertés