Les signataires du présent accord rappellent aux entreprises de la branche que la loi du 7 octobre 2016 pour une république numérique ainsi que le règlement européen sur la protection des données du 27 avril 2016, applicable directement en droit français à compter du 25 mai 2018, sont venus renforcer la protection des données personnelles des salariés dans l'entreprise.

Ils rappellent également que le présent accord ne peut comporter de garanties inférieures à celles issues de l'application de ces deux textes.

Le principe posé par l'article 26 de la loi du 7 octobre 2016 est que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Dans l'entreprise, l'employeur doit respecter les règles suivantes :
–   il ne peut avoir accès qu'aux données personnelles du salarié qui sont indispensables à la gestion du contrat de travail ;
–   il ne peut les exploiter sans l'autorisation du salarié (cette dernière devra être expresse à compter du 25 mai 2018), et il ne peut les introduire dans une base de données informatique sans avoir fait une déclaration préalable à la CNIL lorsqu'elle est obligatoire ;
–   il doit pouvoir informer le salarié de la durée de conservation de ces données dans les systèmes informatiques. En cas d'impossibilité de définir une durée de conservation, le responsable du traitement devra informer la personne concernée « des critères utilisés permettant de déterminer cette durée » (art. 27, loi du 7 octobre 2016).

De manière générale, les entreprises devront à compter du 25 mai 2018 mettre en œuvre « des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Par ailleurs, les signataires du présent accord rappellent également que le droit à l'effacement posé par la loi informatique et libertés, qui précise que « toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, l'utilisation, la communication ou la conservation est interdite », est renforcé à compter du 25 mai 2018 dans 6 cas limitativement énumérés :
–   les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
–   le consentement était nécessaire lors de la collecte des données ;
–   la personne exerce son droit d'opposition pour des raisons tenant à sa situation particulière, à moins que le responsable du traitement ne démontre l'existence de motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée ;
–   les données ont fait l'objet d'un traitement illicite ;
–   les données concernent un mineur ;
–   l'effacement est prévu par une obligation légale.