Le prélèvement à la source et le RGPD

A compter du 1erjanvier 2019, le prélèvement à la source sera introduit dans toutes les entreprises. Cette nouvelle manière de collecter l’impôt est un bouleversement pour les entreprises, surtout depuis l’entrée en application du RGPD le 25 mai 2018.

Comment mettre en place le prélèvement à la source tout en respectant les obligations imposées par le RGPD ?

A compter de 2019, l’employeur devient le « collecteur » de l’impôt sur le revenu. Le prélèvement à la source permet à l’employeur de recueillir une nouvelle donnée personnelle : le taux d’imposition. La CNIL[1]estime que le taux d’imposition est une donnée équivalente au NIR, soit une donnée hautement personnelle. Le taux d’imposition est ainsi considéré comme une donnée augmentant le risque d’atteinte à la vie privée des personnes et est donc traité de manière identique à une donnée sensible.

A l’issue de ce constat, il est donc facile de comprendre pourquoi ce nouveau mode de prélèvement de l’impôt sur le revenu fait débat. En effet, les salariés ne sont pas enchantés à l’idée que leur employeur connaisse leur situation fiscale. Beaucoup craignent des discriminations au sujet de promotions ou d’augmentations de salaires.

Cette appréhension des salariés est légitime puisque la collecte et le traitement de cette donnée offre la possibilité à l’employeur de rentrer dans l’intimité fiscale de son salarié. Il aura connaissance de la situation fiscale du foyer (revenu du conjoint, nombre d’enfants à charge, personnes à charges, etc), mais également de tous les revenus liés au patrimoine mobilier ou immobilier.

Cependant, l’ensemble de ces informations pourront rester confidentielles si le salarié décide d’appliquer le taux non personnalisé indexé uniquement sur son salaire. Ainsi, son employeur n’aura pas accès à ces informations et ne pourra prélever que le taux d’imposition correspondant à son revenu.

En parallèle à la mise en place de ce système de prélèvement à la source, l’employeur doit respecter les exigences posées par le RGPD.

Dans un premier temps, l’employeur doit consigner ce nouveau traitement dans son registredes activités de traitements.

Il  devra ensuite porter une attention particulière à l’exactitude des donnéesqu’il collecte au sujet du salarié, tout comme à la validité de ces dernières. En effet, l’employeur doit remplir une déclaration sociale nominative (DSN), qui a vocation à communiquer toutes les informations nécessaires à la gestion de la protection sociale des salariés aux organismes concernés. La DSN deva être de qualité pour garantir la meilleure protection sociale à ses salariés. Désormais, le revenu net du collaborateur est également en jeu. Cela signifie que si les données contenues dans la DSN sont erronées, des erreurs de prélèvement pourraient se produire, et avoir de conséquences, parfois graves, sur la vie privée du salarié.

Cette mesure résultant d’une obligation légale, l’employeur ne doit pas collecter le consentement de ses salariés. Néanmoins, une notice d’information individuelle ou collectivederva être effectuée auprès des salariés leur indiquant le traitement de données personnelles réalisé, les données collectées, la durée de conservation de ces données, la possibilité d’exercer ses droits ainsi que les modalités d’exercice de ces droits.

L’employeur devra également permettre aux salariés d’exercer leur droit d’accès et de rectification, et leur indiquer les modalités d’exercice de ces droits. Toutefois, les salariés seront dans l’incapacité d’exercer leur droit à l’oubli avant la fin de la durée légale de conservation des données.

Enfin, au regard de la sensibilité du traitement, l’employeur devra également réaliser une analyse d’impact relative à la protection des données (AIPD). Effectivement, ce nouveau traitement de données à caractère personnel est susceptible d’engendrer une risque élevé pour les droits et libertés des personnes concernées. Il est vrai que l’atteinte à la confidentialité du taux d’imposition du salarié porte atteinte à la vie privée du salarié. Par conséquent, il est primordial pour l’employeur de réaliser une analyse d’impact relative à ce traitement de données afin de mettre en place les mesures adéquates à la protection des données personnelles du salarié et de diminuer les risques inhérents à ce traitement.

Comment faire pour apporter une sécurité maximale à ce nouveau traitement de données à caractère personnel ?

L’employeur va devoir dans un premier temps s’assurer que le ou les prestataires auxquels il fait appel sont conformes aux exigences du RGPD. De nouvelles négociations contractuelles peuvent alors être mises en place, précisant les nouvelles obligations du responsable de traitement et de l’éditeur du logiciel RH.

Les points sur lesquels l’employeur devra être attentifs sont :

  • Les mesures de sécurité mises en place par le prestataire
  • La gestion des droits des personnes concernées
  • La gestion des violations de données personnelles
  • L’existence de transferts de données, et les garanties mises en place le cas échéant.

Puis, l’employeur devra mettre en place des mesures techniques et organisationnelles afin de sécuriser le traitement de données personnelles.

L’accès aux données personnelles relatives au prélèvement à la source devra être restreint aux seuls collaborateurs des ressources humaines, voire même uniquement au service des ressources humaines dont la mission est de récolter ces informations. L’employeur devra également soumettre ces collaborateurs à un devoir de confidentialité. Pour rappel, toute personne qui divulgue une de ces données s’expose à des poursuites pénales.

Concernant les mesures de sécurité pouvant être mises en place, l’employeur peut, par exemple, crypter les disques durs des ordinateurs des collaborateurs manipulant ces données, avoir recours à des filtres sur les écrans, implémenter une poltique des mots de passe rigoureuses, ou tout autres mesures qui lui sembleraient pertinentes. Afin d’éviter des divulgations inopinées ou des pertes de ces données, il est préférable de recourir à des bulletins de paie électroniques, insérés dans un coffre-fort électronique, plutôt qu’à des bulletins de paie papiers.

Enfin, si des transferts de données personnelles sont réalisés, l’employeur doit s’assurer que ces derniers sont sécurisés. Par exemple, l’employeur doit proscrire l’envoie d’informations relatives aux fiches de paies par mail, et ce afin d’éviter les erreurs de destinataires ou le piratage. Pourrait alors être mis en place, un chiffrement a minima des pièces-jointes ou l’utilisation d’une messagerie sécurisée avec un cryptage de bout en bout.

Afin de limiter les risques d’intrusion dans la vie privée de ses salariés, les entreprises devront faire leurs meilleurs efforts pour la protéger.  

Sources :

Dans trois avis de 2017 : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000035176245 

https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000035979780 

https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000036670938

https://www.exclusiverh.com/articles/legislation-paie/comment-concilier-prelevement-a-la-source-et-rgpd.htm

https://www.avocats-mathias.com/droit-du-travail/prelevement-a-la-source

https://www.universpaie.com/actualites/infos-paie/2018/07/concilier-rgpd-et-prelevement-a-la-source-le-defi-des-rh/

https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000035176245

https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000035979780

 

Retour