Accueil » Droit de l'informatique, des Libertés & Internet » Fichiers, libertés, protection de la vie privée » Protection des données RGPD » Actualités

Article avocat Protection des données RGPD

Le RGPD, qu'est ce que c'est?

Par , Avocat - Modifié le 22/06/2018

Ayant pour but de responsabiliser les organismes traitant des données personnelles et de renforcer les droits des personnes dont les données sont traitées, deux ans après son adoption au Parlement européen et au lendemain de son entrée en vigueur dans les Etats membres, les enjeux du RGPD sont plus que jamais d’actualité, en témoigne le récent scandale Facebook ayant contraint son fondateur, à s’expliquer devant le Congrès américain et les députés européens.

Qu’est-ce que le RGPD ?

Entré en vigueur le 25 mai 2018, l’acronyme RGPD signifie «Règlement Général sur la Protection des Données».

Il permet d’encadrer le traitement et la circulation des données à caractère personnel sur le territoire de l&rsquoeuropéenne.

Ce règlement européen qui date en réalité du 27 avril 2016 est entré en vigueur dans l’ensemble des Etats membres le 25 mai 2018.

Il est directement applicable et a force obligatoire depuis cette date.

Le RGPD est né de la volonté européenne de créer un cadre juridique unifié, afin de faire face aux enjeux majeurs que représente le traitement de données personnelles.

Qui est concerné ?

Le RGPD s’applique à tout organisme, quelle que soit sa taille, traitant des données personnelles pour son compte ou non, dès lors qu'il est établi sur le territoire de l'union européenne ou que son activité cible directement des résidents européens.

Le champ d’application du RGPD est donc extrêmement large puisque toutes les entreprises sont en réalité concernées quel que soit leur taille ou leur effectif.  

La responsabilité de la mise en ½uvre de la protection des données repose sur l’employeur, ce dernier étant considéré comme le responsable du traitement c’est-à-dire la personne à qui il incombe de vérifier la conformité du traitement des données au RGPD. Ainsi, l’employeur doit faire preuve d’une extrême vigilance quant à cette mise en conformité.

Qu’est-ce qu’une donnée personnelle ?

La notion de donnée personnelle est extrêmement large puisqu’elle est définie par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

L’identification peut se faire de manière directe (nom, prénom, adresse postale) ou de manière indirecte (éléments physiques, identifiant, adresse IP, numéro).

Par ailleurs, sont également considérées comme personnelles les données qui, par le recoupement de plusieurs informations, (date de naissance, sexe, ville, diplôme, etc.) ou l'utilisation de divers moyens techniques, permettent d'identifier une personne.

Quelles sont les obligations des entreprises ?

Selon l’article 5.1 du RGPD, les données personnelles doivent être :

  • Traitées de manière licite, loyale et transparente ;
  • Collectées à des fins déterminée, explicite et légitimes ;
  • Adéquates, pertinentes et limitées ;
  • Exactes et tenues à jour ;
  • Conservées pendant une durée raisonnable ;
  • Traitées de façon à garantir leur protection.

Afin de se mettre en conformité avec le RGPD et de respecter les six obligations essentielles énoncées ci-dessus, la CNIL recommande aux entreprises de mener six actions :

v  Désigner un pilote :

La CNIL recommande vivement à l’ensemble des entreprises de désigner une personne chargée de s’assurer de la mise en conformité avec le RGPD. Cet acteur permettra de dialoguer avec les autorités de protection des données et ainsi, de réduire les risques de contentieux.

Certaines entreprises qui traitent des données dites «sensibles» ont quant à elles, l’obligation de désigner un délégué à la protection des données.

Cette désignation est également obligatoire pour les organismes publics et les entreprises dont l’activité nécessite un suivi régulier des personnes à grande échelle tels que les opinions politiques, philosophiques ou religieuses d’une personne.

Recenser les fichiers :

Les entreprises de plus de 250 salariés ont l’obligation de constituer un registre de traitement des données.

Cela consiste à identifier les activités principales de l’entreprise nécessitant la collecte et le traitement de données personnelles.

Pour chaque activité, les entreprises doivent ensuite répertorier le responsable du traitement, l’objectif poursuivi, la catégorie de données utilisées, les personnes y ayant accès et la durée de conservation desdites données.

La CNIL propose un modèle de ce registre sur son site Internet : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement.

Repérer les traitements à risque :

Le responsable du traitement a l’obligation d’être en mesure de prouver à tout moment que les traitements qu’il gère sont conformes au RGPD.

Il est donc conseillé aux entreprises d’effectuer un tri dans leurs données afin de vérifier que chacune des sauvegardes est nécessaire et pertinente.

Par ailleurs, la CNIL met en garde les entreprises contre certains traitements réclamant une vigilance particulière.

Il s’agit notamment des traitements concernant des données relatives aux personnes vulnérables, à la surveillance systématique des personnes, au croisement d’ensembles de données ou encore au traitement de données dites « sensibles ».

En effet, si le traitement de données concerné répond à au moins deux des critères prévus par le RGPD, une analyse d’impact sur la protection des données devra être réalisée.

Respecter le droit des personnes :

Les entreprises ont l’obligation de fournir à leurs salariés les informations relatives à la collecte et au traitement de leurs données.

Cette information doit être effectuée dès la collecte des données ou dans un délai d’un mois suivant cette collecte lorsque les éléments sont recueillis de manière indirecte.

Elle peut être réalisée sur le support papier ou électronique permettant la collecte des données.

Elle peut également faire l’objet d’une note de service, d’un affichage ou d’une diffusion sur l’intranet de l’entreprise, lors de la mise en place d’un dispositif de surveillance.

Par ailleurs, les entreprises ont l’obligation de garantir les droits des personnes dont les données sont traitées en permettant la mise en ½uvre effective de ces droits. Il est ainsi recommandé aux entreprises de mettre à la disposition des personnes concernées des moyens matériels, tels qu’un numéro de téléphone, une adresse de messagerie ou un formulaire sous format papier ou électronique.

Sécuriser les données :

Les entreprises ont l’obligation d’assurer la sécurité des données personnelles en minimisant les risques de perte de données ou de piratage.

Pour ce faire, il leur est conseillé de mettre à jour des antivirus et des logiciels ainsi que de procéder au changement régulier des mots de passe et à l’utilisation de mots de passe complexes.

S’assurer en cas de sous-traitance que le prestataire respecte le RGPD

Les sous-traitants sont soumis à des obligations particulières de transparence, d’assistance, d’alerte, de conseil. Ils doivent par ailleurs garantir la sécurité et la protection des données traitées. De surcroît, le contrat de sous-traitance doit prévoir une clause spécifique sur la protection des données personnelles.

Quels sont les droits des personnes dont les données sont traitées ?

Au préalable, il faut souligner que les personnes concernées peuvent être aussi bien les clients d’une entreprise que les collaborateurs travaillant au sein de cette entreprise.

Ces personnes bénéficient de nombreux droits :

Droit d’accès : droit pour la personne concernée d’obtenir du responsable de traitement la confirmation que des données personnelles sont ou ne sont pas traitées et lorsqu'elles le sont, l'accès auxdites données ainsi qu’aux informations la concernant. L’entreprise dispose ensuite d’un délai d’un mois pour accéder à la demande de la personne concernée.

Droit de rectification : droit pour la personne concernée d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données inexactes la concernant.

Droit d’opposition : droit pour la personne concernée de s'opposer, pour des raisons tenant à sa situation particulière, à un traitement des données personnelles la concernant.

Droit d’effacement (droit à l’oubli) : droit pour la personne concernée d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données personnelles la concernant.

Droit à la portabilité : droit pour la personne concernée d’obtenir et de réutiliser les données la concernant pour ses besoins personnels.

Droit à la limitation du traitement : droit pour la personne concernée d’interdire au responsable du traitement de se servir de certaines données collectées.

Comment agir en cas de faille dans la sécurité ?

En cas de violation des données personnelles, une double obligation de notification s’impose à l’employeur ; à la CNIL, dans un délai de soixante-douze heures et à la personne concernée, dans les meilleurs délais.

Une telle violation s’analyse selon la CNIL comme celle « entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Quel contrôle est exercé par la CNIL ?

Le contrôle exercé par la CNIL en matière de RGPD reste globalement inchangé.

En effet il pourra s’agir d’un contrôle sur place, sur pièces, sur audition ou en ligne.

La nouveauté majeure résultant du RGPD réside dans la volonté de renforcer la coopération afin de permettre une décision harmonisée à portée européenne lors des contrôles exercés sur des acteurs internationaux. 

Quelles sont les sanctions encourues ?

En France, seule la CNIL a la capacité de sanctionner les entreprises en cas de méconnaissance des dispositions du règlement.

La CNIL peut ainsi prononcer plusieurs sanctions administratives : avertissement, mise en demeure, injonction de cesser le traitement, suspension des flux de données, ordre de satisfaire aux demandes d’exercice des droits des personnes ou de rectifier, limiter ou effacer des données.

Par ailleurs, des amendes administratives peuvent être prononcer et s’élever, selon la catégorie de l’infraction, à 10 ou 20 millions d’euros, ou à 2% jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu.

 

Romane BASLE,  Master II Droit et Pratique des Relations de Travail (Promotion EDF)

Sandrine PARIS-FEY Avocat associé ATALANTE AVOCATS

Vos Réactions

  • Alex Uper - Membre Le 26-06-2018 à 00:10

    Non! on confond encore et encore DP et DCP qui sont deux ensembles de données qui ont des éléments commun mais il y a des DP non identifiantes (on peut y trouver en grande partie les données de propriété intellectuelle (ex photos) et la plupart des DCP ne sont pas des DP puisque gérées en dehors de la sphère personnelle (ex matricule). Ce type de confusion va nous amener à de plus en plus de problèmes !
  • Alex Uper - Membre Le 26-06-2018 à 00:12

    Et j'ajoute que ce n'est parce des andouilles du ministère de la justice et du parlement ont fait cette confusion (peut être volontaire) qui faut la répéter !
  • Alex Uper - Membre Le 26-06-2018 à 00:13

    Et la SEULE définition que vous pourrez trouver dans les textes officiels est celle des DCP !

Commenter cet article




Je souhaite être prévenu(e) des nouvelles contributions publiées sur ce sujet

Voir les conditions générales d'utilisation

Ces informations, nécessaires au traitement de votre demande, sont destinées au Juritravail et à la société WENGO SAS. Conformément à la loi relative aux fichiers, à l'informatique et aux libertés, vous bénéficiez d'un droit d'opposition, d'accès et de rectification des informations par mail à info@juritravail.com

Maître Sandrine PARIS- FEY

Maître Sandrine PARIS- FEY

Avocat au Barreau de NANTES

  • Droit du Travail Salarié
  • - Droit des Employeurs - Droit Social
  • - Droit Représentant du Personnel : CSE, CE, DP, Syndicat, CHSCT

Me contacter

Publicité

Ne passez pas à coté de l'actualité juridique

Recevez gratuitement notre Newsletter !

Toutes les nouveautés juridiques décryptées par notre équipe de juristes et d'avocats, rédigées en langage simple dans tous les domaines de droits !

Personnalisez votre Newsletter :

Simplicité et transparence avec Juritravail en savoir plus

Nous ne commercialisons pas vos adresses emails à un tiers. Nous conservons vos informations personnelles uniquement pour vous adresser des contenus et services que vous avez demandés et qui vous intéressent. Vous pouvez vous désinscrire à tout moment depuis les mails que vous allez recevoir.

Votre inscription a bien été prise en compte !

Vous recevrez bientôt des nouvelles de nous par email.

Pour connaitre et exercer vos droits relatifs à l'utilisation de vos données, consultez notre  Charte sur la protection des données personnelles ou contactez-nous à l'adresse suivante : dpo@juritravail.com.



30 000 professionnels MyBestPro disponibles sur :


© 2003 - 2019 JuriTravail tous droits réservés