Dix choses que les employeurs doivent savoir sur le règlement général sur la protection des données (RGPD)

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur et modifiera la manière dont les organisations traitent les données personnelles. Dans moins de six mois, XpertHR conseille aux employeurs de commencer à se préparer dès maintenant et a compilé une liste des 10 principales choses que tous les employeurs doivent savoir sur le RGPD.

Le RGPD introduira des changements dans la manière dont les données sont traitées dans l’UE. Dans ce cadre, les employeurs devront probablement trouver une alternative au consentement au traitement des données personnelles, et les régulateurs pourront imposer des sanctions nettement plus élevées que les dispositions existantes, jusqu’à 20 millions d’euros ou jusqu’à 4 % du revenu annuel d’une organisation. chiffre d’affaires mondial, selon celui qui est le plus élevé.

Jo Stubbs, XpertHR Group Content Manager, déclare : « Le nouveau RGPD signifie que les employeurs doivent repenser la manière dont les données personnelles sont collectées, utilisées et stockées.

« A un peu plus de six mois de la fin, les employeurs doivent comprendre les implications de la nouvelle réglementation et s’assurer qu’ils s’y conforment à temps. »

Dix choses que les employeurs doivent savoir sur le RGPD :

  1. Le RGPD touche aussi les petits employeurs – Le GDPR s’appliquera aux organisations de toutes tailles, mais toutes les organisations ne seront pas traitées de la même manière. Ceux qui ne traitent pas de grandes quantités de données et ne sont pas impliqués dans un traitement à haut risque n’auront pas à engager autant de ressources pour se conformer au RGPD.
  2. Les employés ont le droit d’accéder aux données – La loi de 1998 sur la protection des données donne déjà aux employés le droit de faire une demande d’accès en rapport avec leurs données personnelles, mais en vertu du RGPD, ces droits seront étendus.
  3. Les organisations ont besoin de bonnes raisons pour traiter des données personnelles – Le GDPR précise les conditions dans lesquelles le traitement des données est autorisé et les organisations doivent s’assurer qu’au moins une s’applique. Bien qu’avoir le « consentement » en soit un, la relation employeur / employé signifie qu’il peut être difficile de prouver que le consentement a été donné librement, il est donc conseillé d’en avoir au moins un de plus.
  4. Le RGPD aura un impact sur le processus de recrutement – Le GDPR apportera de nouvelles protections pour les employés potentiels et, avec lui, de nouvelles responsabilités pour les recruteurs. Par exemple, les employeurs devront formaliser les raisons pour lesquelles les données sont traitées et la durée pendant laquelle elles seront conservées et fournir ces informations aux candidats.
  5. Les individus ont le droit d’être oubliés – Le GDPR établit les droits des individus à demander la suppression de leurs données personnelles.
  6. Vérifications de casier judiciaire – En vertu du RGPD, les employeurs ne seraient autorisés à effectuer des vérifications de casier judiciaire sur les employés potentiels que si cela est spécifiquement autorisé par la loi, par exemple lorsqu’une vérification de service de divulgation et de blocage est requise pour un rôle impliquant un travail avec des adultes ou des enfants vulnérables. Cependant, il s’agit d’un domaine où le RGPD permet aux gouvernements de définir leurs propres règles dans une certaine mesure et, en vertu de la nouvelle loi britannique proposée sur la protection des données, les employeurs pourront effectuer des vérifications de casier judiciaire dans davantage de circonstances, c’est donc un domaine à surveiller les évolutions.
  7. Les organisations peuvent avoir besoin de nommer un délégué à la protection des données – Lorsqu’une organisation est un organisme public, ses activités principales concernent des traitements de données à grande échelle qui nécessitent un suivi régulier des personnes, ou effectuent des traitements à grande échelle de données personnelles sensibles ou liés à des condamnations pénales, elle devra nommer un responsable délégué à la protection des données.
  8. Les transferts de données en dehors de l’EEE seront contrôlés – Si une organisation transfère des données personnelles en dehors de l’Espace économique européen (EEE), elle devra s’assurer qu’une protection adéquate est fournie.
  9. Les organisations devront fournir une « notice d’information » – Une exigence fondamentale du RGPD est que les employés soient informés du traitement des données personnelles et cela doit être formalisé dans une divulgation (également appelée avis de « vie privée » ou de « traitement équitable »). Les informations fournies doivent être nettement plus détaillées que celles fournies en vertu de la loi sur la protection des données de 1998.
  10. La non-conformité pourrait coûter très, très cher – La conformité au RGPD n’est pas quelque chose à prendre à la légère, avec des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisation, selon le montant le plus élevé, en cas de violation.

Jo Stubbs ajoute : « Il est important que les employeurs adoptent une approche réaliste et basée sur les risques en matière de conformité. Avec l’échéance qui approche, les employeurs devraient d’abord se concentrer sur les domaines les plus importants et les plus risqués. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.