Protection des données (RGPD) : dans les exploitations agricoles et horticoles aussi !

Le règlement général sur la protection des données (RGPD) impose une règle a priori simple : toute donnée personnelle, collectée et traitée dans l’entreprise, doit être strictement protégée.

Appliquée aux employeurs, cette règle signifie que toute société doit mettre en œuvre un dispositif sécurisé permettant de protéger les données personnelles de ses salariés.

Et au-delà des employés en poste, cette protection concerne également les candidats à l’emploi et les anciens salariés qui ont quitté l’entreprise.

Que faut-il entendre par « donnée personnelle » ?

La notion de « donnée personnelle » se doit d’être prise au sens le plus large. Elle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable, étant précisé qu’une personne physique peut être identifiée de deux façons :

- soit directement, principalement par son nom et son prénom ;

- soit indirectement par un numéro de sécurité sociale ou de téléphone, une adresse mail, des éléments spécifiques à son identité physique, culturelle ou sociale, à son appartenance syndicale ou religieuse mais aussi par son image…

Quant à la notion de « traitement » de données personnelles au sens du registre RGPD, elle se définit au sens large comme une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé : collecte­, enregistrement, organisation, conser­va­tion, adaptation, modification, extraction, consultation, utilisation, communication par transmission-diffusion ou toute autre forme de mise à disposition, rapprochement...

Le champ de la protection des données personnelles qui s’impose aux employeurs est donc bien plus large qu’il n’y paraît.

Concrètement, à chaque fois que l’exploitation sera amenée à traiter une donnée personnelle d’un salarié, le responsable de la protection des données devra l’intégrer dans son RGPD pour en assurer la protection.

Qu’est-ce que le « transfert de responsabilité sur les employeurs » ?

Cette règle de protection absolue imposée par le RGPD n’est cependant pas totalement nouvelle.

Jusqu’à fin mai 2018, tout traitement automati­sé d’informations nominatives devait déjà faire l’objet d’une déclaration préalable auprès de la Commission nationale informatique et libertés (Cnil*). Mais c’était la Cnil et non l’employeur qui était ensuite garante de contrôler le respect de la protection des données. Cette obligation, qui prenait souvent la forme d’une simple déclaration de conformité à la Cnil, a donc été supprimée par le règlement européen instaurant le RGPD.

Désormais, c’est l’employeur qui doit organiser et formaliser en interne un système d’autocontrôle continu et de responsabilisation. Il doit le documenter. En quelque sorte, en ce qui concerne la méthode, la mise en place du RGPD peut être « comparée » à la mise en place du document unique­ de prévention des risques.

Un registre interne à l’entreprise doit répertorier les données personnelles collectées, en justifier l’usage et préciser strictement combien de temps ces données seront conservées. Et bien entendu décrire comment elles seront protégées (fichiers sécurisés, mots de passe informatiques, accès restreint à certaines personnes…).

Le RGPD peut être établi sous un format papier ou informatique.

L’entreprise doit nommer un responsable « RGPD » qui sera le garant de la sécurité des données et l’interlocuteur des salariés et des tiers sur le sujet.

Information des salariés

Les salariés doivent être informés collectivement et individuellement de l’existence du RGPD et des modalités de protection de leurs données. Lors de la collecte des données auprès des salariés ou des candidats à un emploi, l’employeur doit leur fournir un certain nombre d’informations. Notamment :

- l’identité et les coordonnées du responsable de traitement dans l’entreprise ;

- les finalités du traitement, c’est-à-dire à quoi serviront ces données ;

- les destinataires des données lorsqu’elles sont communiquées à des tiers (MSA, banques, impôts...) ;

- la durée de conservation des données ;

- le droit d’accès et de copie, de rectification, de limitation, d’opposition ;

- le droit à l’effacement (droit à l’oubli) et à la portabilité des données en cas de départ de l’entreprise ;

- le droit d’introduire une réclamation auprès de la Cnil ;

- l’information selon laquelle des données sont collectées indirectement via des tiers avec indication de la provenance (MSA, Trésor public...).

Cette information et ce recueil du consentement des salariés doivent être réalisés par tout moyen.

Il est conseillé d’inclure une clause dans le contrat de travail. À défaut, une note d’information individuelle peut être remise en main propre.

L’écrit permet de rapporter la preuve que l’employeur a bien rempli ses obligations.

Et, bien entendu, lorsque l’entreprise dispose d’un CSE**, ce dernier doit être consulté.

Quelles sanctions en cas de non-respect des obligations ?

Le contrôle du RGPD est confié à la Cnil. Le non-respect des obligations est passible de sanctions pénales et administratives. L’organisme peut notamment prononcer des rappels à l’ordre, mises en demeure de se mettre en conformité, limitations du traitement... Mais également infliger des amendes dont le montant peut – en théorie – aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise, en fonction de la nature de la violation constatée.

Ces sanctions ne viseront probablement pas les exploitations agricoles.

L’employeur pourrait en revanche, lors d’un contentieux prud’homal, voir sa responsabilité engagée, si le salarié démontre un préjudice matériel ou moral du fait de la violation du RGPD. Par exemple, la divulgation d’une information non protégée à des tiers qui soit susceptible de porter préjudice au salarié.

*https://www.cnil.fr/

**CSE : comité social et économique. En France, progressivement à partir du 1^er janvier 2018, cette instance représentative du personnel a succédé aux anciennes instances représentatives (délégués du personnel, comité hygiène sécurité et conditions de travail, comité d’entreprise).