Comment concilier prélèvement à la source et RGPD ?

Un chantier réglementaire chasse l’autre. Après le règlement européen sur la protection des données personnelles (RGPD), entré en vigueur le 25 mai, les entreprises vont s’attaquer à la mise en place du prélèvement à la source (PAS) prévu, lui, pour le 1^er janvier 2019. Deux chantiers appelés à converger car, en devenant collecteur de l’impôt sur le revenu, l’employeur traitera une nouvelle donnée à caractère personnel : le taux d’imposition du collaborateur.

Comment tout nouveau traitement, il devra être consigné dans le registre des traitements qui, avec le RGPD, se substitue à la déclaration préalable à la Cnil. « En soi, cette nouvelle donnée n’est pas plus sensible que d’autres déjà gérées par l’entreprise comme le numéro de sécurité sociale », tempère Maxime Gardereau, senior manager IT & risk advisory chez RSM. A ceci près, qu’à travers ce taux, l’employeur entre potentiellement dans l’intimité fiscale du salarié. « Il connaît déjà - et pour cause - son salaire, poursuit-il. Il aura demain une vision globale des autres revenus de son foyer : la rémunération du conjoint, les revenus liés à leur patrimoine mobilier et immobilier du couple. Un collaborateur payé au Smic peut être imposé à 40 % ! » Le salarié a néanmoins la possibilité de faire en sorte que cette information reste confidentielle en retenant le taux non personnalisé (ex-taux neutre), indexé uniquement sur son salaire.

S’assurer de la conformité des prestataires

Comme le prévoit le RGPD, l’entreprise va devoir prendre toutes les mesures organisationnelles et techniques pour assurer la protection de cette nouvelle donnée. En interne, seuls les collaborateurs habilités à la DRH pourront accéder à cette information. Soumis à un devoir de confidentialité, ils encourent un risque de poursuite au pénal en cas de divulgation à de tierces personnes. Product manager RGPD et PAS chez Cegid, Jérôme Ricard préconise le cryptage des ordinateurs portables des personnes concernées et des filtres sur les écrans de leurs postes fixes. Pour éviter la manipulation de bulletins de paie papier, voire leur remise de main à la main, il conseille de profiter du PAS pour passer à la dématérialisation. Le salarié retrouvant ses bulletins dans son coffre-fort électronique personnel.

La paie étant généralement externalisée auprès d’un expert-comptable ou d’un prestataire spécialisé de type ADP, se pose la question de la sous-traitance. Pour ne pas briser le cercle de confiance, l’entreprise devra s’assurer de la conformité de ses fournisseurs et notamment des éditeurs RH en mode SaaS, en précisant leurs nouvelles obligations dans un avenant au contrat.

Le transfert des données devra être aussi sécurisé. « De nombreuses TPE et PME envoient leur fichier paie par mail à leur expert-comptable sous forme de tableur Excel en pièce jointe », observe Maxime Gardereau. Un moyen d’échange à proscrire totalement.Sans parler de piratage, « il suffit d’une erreur sur l’adresse du destinataire et c’est une fuite de données, sanctionnée comme telle par le RGPD. » Il faut donc a minima chiffrer la pièce jointe et plus sûrement passer par une messagerie sécurisée avec un cryptage de bout en bout.

Information et droits du salarié

Même si le PAS est un dispositif légal, donc obligatoire, le salarié doit être informé de ce traitement. L’employeur peut le mentionner dans un document collectif comme une note d’information. En revanche, il n’a pas à recueillir le consentement du salarié en tenant, par exemple, un registre d’émargement. Se pose ensuite la question du délai de conservation de la donnée. Elle doit être conservée durant toute la vie du contrat de travail puis cinq ans minimum après le départ du collaborateur. Comme pour les autres traitements, le salarié peut faire valoir ses droits d’accès et de rectification. En revanche, le droit à l’oubli, introduit par le RGPD, ne peut pas s’appliquer avant la fin du délai de conservation. Ici, le délai légal prime sur l’exercice par le salarié de ses droits.

Xavier Biseul