« Le risque de sanctions de la Cnil n’est pas du tout théorique »

Article réservé aux abonnés

Le prélèvement à la source confié aux employeurs fournit une donnée sensible concernant leurs salariés : leur taux d’imposition. La mise en conformité avec le règlement général sur la protection des données personnelles (RGPD) s’avère plus indispensable que jamais, explique l’associée responsable du département droit social du cabinet BCTG.
Comment s’articulent les obligations liées, d’une part, au prélèvement à la source et, d’autre part, au RGPD ?

Sabine de Paillerets : Le RGPD a un impact dans de nombreux domaines comme le droit social. Les salariés deviennent à la fois sujets et acteurs du traitement de leurs données personnelles. Sujets, puisque le taux d’imposition fourni par l’administration fiscale à leur employeur est une donnée les concernant. Acteurs, car ils deviennent partie prenante de la mise en conformité au RGPD. La direction des ressources humaines a l’obligation de les informer qu’elle va traiter cette donnée entre autres, le destinataire de ce traitement et avec quelle finalité. Même si la finalité est une obligation légale (l’imposition sur le revenu du salarié), cette information est obligatoire.

Est-ce complexe à mettre en œuvre ?

S. de P. : Alors qu’auparavant les entreprises avaient une simple obligation de déclaration à la Cnil(1), elles doivent désormais, pour être en conformité avec le RGPD, créer et tenir un registre de traitement des données personnelles. Celui-ci doit préciser, pour chaque type de données, son destinataire et l’objet. Le taux de prélèvement à la source n’est pas seul concerné, toutes les données nécessaires à la paie le sont. Un logiciel qui traiterait, par exemple, des sanctions appliquées aux salariés, devrait être inclus dans ce registre. Il y a un transfert de responsabilité de sécuriser les données de la Cnil aux entreprises. Cette obligation de mise en conformité pèse sur l’entreprise, en tant que responsable du traitement des données, mais aussi sur le sous-traitant éventuel à qui elle confie celui-ci (service paie externalisé).

Que se passe-t-il dans ce cas ?

S. de P. : L’entreprise organise ce traitement des données avec son prestataire paie. Un contrat doit exister entre eux précisant la répartition des obligations de traitement des données, c’est-à-dire qui fait quoi, quelles données le prestataire reçoit, quel traitement il en fait et avec quelle finalité. Ces sociétés avaient déjà un engagement de confidentialité, mais la digitalisation et la mise en œuvre du prélèvement à la source renforcent l’obligation de sécuriser le traitement des données personnelles et d’en informer les salariés.

L’employeur peut-il être tenu pour responsable en cas d’erreur ?

S. de P. : Il pourra y avoir des contentieux entre l’administration fiscale, l’entreprise et le salarié. D’où l’importance du contrat avec le prestataire et de la création du registre. Ce dernier doit être tenu à la disposition de la Cnil pour le cas où celle-ci décide de venir opérer un contrôle. Elle avait déjà un pouvoir de police judiciaire, c’est-à-dire faire des visites inopinées, sans prévenir. Il y a eu des sanctions et, depuis l’entrée en application du RGPD, celles-ci ont été renforcées (jusqu’à 4 % du CA annuel). Ce n’est pas du tout un risque théorique.

(1) Commission nationale de l’informatique et des libertés

Actualités

Grand angle

Boutique
Div qui contient le message d'alerte
Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire
Mot de passe oublié

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ?

Contactez le service client abonnements@info6tm.com - 01.40.05.23.15