Depuis l’entrée en vigueur du RGPD en 2018, les employeurs ont dû revoir certaines clauses dans les contrats de travail. En effet, les exigences sont devenues plus strictes concernant l’obtention des consentements des salariés pour le traitement de leurs données. La mise en conformité au RGPD doit être assurée sous peine d’une amende allant jusqu’à 20 millions d’euros. Ainsi, il est essentiel de connaître les principales clauses liées au RGPD dans les contrats de travail.
Clause RGPD contrat de travail : généralités sur les clauses de contrat de travail
Avant la mise en application du Règlement Général sur la Protection des Données, certaines entreprises ont adopté leur propre programme de mise en conformité. Ce dernier variait en fonction de la taille, de l’activité principale et du portefeuille-client de l’entité. Des actions relatives aux contrats avec les sous-traitants étaient également mises en place. Cela s’explique par la responsabilité de ces derniers en cas de violation du RGPD et par l’obligation du responsable du traitement de choisir des sous-traitants pouvant garantir la sécurité des données traitées. Ces obligations entraînent inévitablement des bouleversements sur la façon dont le responsable va sélectionner et coopérer avec les sous-traitants. Elles impliquent une autre forme de gestion de portefeuille des fournisseurs actuels et futurs. Pour en savoir plus sur la clause rgpd contrat de travail, suivez ce lien.
Comment garantir la conformité des sous-traitants ?
Pour se mettre en conformité, il convient de suivre les étapes suivantes :
La première étape
Elle consiste à dresser une liste des partenaires et des sous-traitants intervenant dans le traitement des données personnelles des clients ou des salariés de l’entreprise. Ainsi, on distingue :
- le fournisseur de logiciel RH ;
- le prestataire qui traite les réclamations des clients de l’entreprise ;
- le prestataire en charge de l’hébergement des données clients.
Par ailleurs, d’autres acteurs peuvent être aussi inclus comme le service juridique et le service des achats.
La deuxième étape
L’étape suivante concerne la vérification des contrats qui lient les partenaires et les salariés à l’entreprise. En effet, cette tâche permet de valider l’existence ou non d’un contrat entre les prestataires de service et l’entreprise. L’article 28 du RGPD précise que le contrat entre le responsable du traitement et le sous-traitant doit être sous-forme écrite et électronique. Pour les accords non formalisés et les contrats existants, il est nécessaire de mentionner les clauses sur les données personnelles à jour.
Les clauses essentielles pour se conformer au RGPD
Voici la liste des clauses de conformité au RGPD :
La clause de notification de violation de données
La clause de notification de violation de données est une nouveauté du RGPD. Le responsable du traitement doit signaler toute infraction dans les 72 h après sa découverte. Dans le cas où cette clause n’est pas respectée, le sous-traitant peut intervenir. En effet, la responsabilité de ce dernier est engagée au même titre que celle du responsable de traitement. Il doit donc prendre les mesures nécessaires pour détecter la violation.
La clause de respect des droits de personnes
Le responsable du traitement est tenu de garantir le respect des droits des personnes en matière de protection des données personnelles. Cette obligation est maintenue dans le cas où le traitement est pris en charge par un prestataire externe. Pour ce faire, le sous-traitant devra collaborer avec le responsable du traitement afin de répondre aux besoins des personnes concernées dans les délais impartis. Par exemple, si elles souhaitent exercer leur droit d’opposition, le sous-traitant devra stopper l’opération de traitement dans l’immédiat.
La clause de transfert
Le contrat doit comporter une mention sur les transferts des données en dehors de l’Union Européenne si certains sous-traitants sont établis en-dehors des frontières du RGPD. De ce fait, ils doivent communiquer la liste des pays où ils traitent les données au responsable du traitement et lui assurer que les données seront uniquement transférées vers ces pays.
La clause de sécurité
La clause de sécurité est un point important en matière de protection des données. En effet, elle définit le niveau de sécurité exigé par le sous-traitant en fonction de la catégorie et de la nature du traitement. Selon l’article 29 du RGPD, les sous-traitants doivent seulement traiter les données des personnes physiques autorisées par le responsable de traitement. Le rôle de celui est de s’assurer que les sous-traitants respectent et appliquent les mesures de sécurités relatives aux données personnelles traitées. D’ailleurs, l’accès à la protection des données doit uniquement être réservé au personnel formé. Pour être toujours conforme aux exigences du règlement, il est indispensable de procéder à des contrôles réguliers.
La clause d’audit
Cette clause est souvent négligée dans les contrats de travail. Or, elle joue un rôle important pour l’application des mesures liées aux données personnelles. Elle permet de vérifier si ces dernières correspondent aux attentes des personnes concernées. L’idéal est de programmer au moins un audit dans l’année. Pour cela, les éléments suivants doivent être considérés :
- la durée ;
- les frais ;
- le délai de prévenance ;
- les mesures prises après le résultat.