RGPD ou le règlement général sur la protection des données

La protection des données personnelles est de plus en plus importante au vu de la place que prennent les nouvelles technologies dans notre société. Le règlement général sur la protection des données (RGPD) a influencé de manière considérable la gestion de celles-ci.

Dans cet article, LegalVision revient d’abord sur certaines définitions phares du RGPD. Les personnes concernées, les objectifs du RGPD, la mise en conformité à ce règlement et les éventuelles sanctions seront également abordés !

Sommaire

I/ RGPD définition
II/ Objectifs du RGPD
III/ RGPD : qui est concerné ?
IV/ Mise en conformité au RGPD
V/ Sanctions en cas de violation du RGPD

I/ RGPD définition

Le règlement général sur la protection des données est entré en application le 25 mai 2018. Il a plusieurs finalités. Il vise notamment à :

  • protéger les données à caractère personnel et leur libre circulation ;
  • à responsabiliser les acteurs dans ce domaine (responsables de traitement des données) ;
  • ou encore à renforcer les droits des personnes.

Les employeurs sont responsables du traitement des données personnelles de leurs employés. Cette responsabilité a été renforcée par le règlement RGPD. Ce même texte a défini les notions de :

  • données à caractère personnel. Ces dernières désignent toutes les informations qui se rapportent à une personne physique identifiable. Plus précisément, à « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale« .
  • voire encore de traitement. Il correspond à « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction« .

II/ Objectifs du RGPD

Les entreprises possèdent les données personnelles de leurs employés. Elles les collectent de manière constante et régulière.

Dès la phase de recrutement, les employeurs, par l’intermédiaire du Curriculum Vitae, détiennent plusieurs informations sur leurs éventuels salariés. Cette collecte d’informations variées et très personnelles perdure tout au long des relations contractuelles de travail.

La nature des informations collectées est très diversifiée. Par exemple, les employeurs connaissent le numéro de sécurité sociale de leurs salariés, mais aussi leur état de santé ou leur situation matrimoniale …

III/ RGPD : qui est concerné ?

D’abord, toutes les entreprises et associations sont concernées par le règlement RGPD. Les collectivités territoriales et les administrations y sont également soumises.

Ensuite, le règlement s’applique au traitement des données à caractère personnel :

  • effectué dans le cadre des activités d’une entreprise sur le territoire de l’Union, que le traitement soit réalisé ou non dans l’Union.
  • relatives à des salariés qui se situent dans l’Union et réalisé par un employeur qui n’est pas établi sur le territoire de l’Union Européenne.

IV/ Mise en conformité au RGPD

Il est impératif pour toutes les personnes concernées de se mettre en conformité avec le règlement RGPD.

A) Le registre des activités de traitement

Il incombe à ces dernières de tenir un registre des activités de traitement.

Plusieurs informations doivent être mentionnées dans ce registre. Notamment :

  • le nom et les coordonnées du responsable du traitement ;
  • les finalités du traitement ;
  • les personnes concernées et les données à caractère personnel traitées ;
  • mais aussi les destinataires des données ;
  • les délais prévus pour l’effacement des différentes catégories de données ;
  • une description de certaines mesures de sécurité techniques et organisationnelles ;
  • et enfin, la durée de conservation des données personnelles.

B) Des salariés informés

Les employeurs doivent informer leurs salariés du traitement de leurs données personnelles. Cette information doit être claire et précise. Elle peut être réalisée par plusieurs moyens tels que le règlement intérieur ou encore le contrat de travail.

Nos juristes vous accompagnent dans la rédaction de vos contrats de travail (CDD, CDD temps partiel, CDI, CDI temps partiel).

Enfin, certaines données requièrent le consentement explicite et non équivoque du salarié. Tel est le cas, par exemple, pour les photographies du salarié.

C) Les données personnelles collectées

Les données que les employeurs vont collecter doivent être :

  • traitées de manière licite, loyale et transparente ;
  • et recueillies pour des objectifs déterminés, explicites et légitimes ;
  • en outre « elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées« . A titre d’exemple, lors d’un entretien d’embauche, les personnes en charge du recrutement pourront seulement récolter les informations qui leur permettront de savoir si le salarié a les capacités ou non de pourvoir le poste proposé ;
  • de surcroît, elles doivent être exactes et tenues à jour. Pour ce faire, il est important d’être en contact et communiquer avec les personnes qui traitent les données dans l’entreprise ;
  • enfin, elles doivent être traitées de manière à garantir une sécurité des informations personnelles collectées.

Nous vous invitons à veiller à ce que les données traitées soient nécessaires à l’activité exercée.

D) Sécurité et confidentialité des données personnelles

Les employeurs doivent mettre en oeuvre toutes les mesures techniques et organisationnelles appropriées pour garantir la protection des données personnelles de leur personnel. Cela passe par exemple pas la mise à jour des antivirus, le changement des mots de passe régulièrement…

Il est primordial que les personnes et les données auxquelles elles peuvent avoir accès soient déterminées par l’entreprise. En effet, tous les opérateurs d’une entreprise n’ont pas les mêmes accès aux informations. Par exemple une personne qui établit les bulletins de salaire n’aura pas accès aux mêmes informations qu’une personne en charge de la santé des salariés.

En présence d’une violation des données à caractère personnel, l’employeur aura alors 72 heures pour le notifier en ligne à l’autorité de contrôle (CNIL). Cette violation se caractérise par exemple par la destruction, la perte, l’altération et la divulgation accidentelle ou illicite de ces informations.

E) Durée de conservation des données personnelles

Les données peuvent être conservées pour une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cependant, la durée de conservation de ces données peut être plus longue. C’est notamment le cas lorsqu’elles sont traitées uniquement à des fins :

  • archivistiques dans l’intérêt public ;
  • de recherche scientifique ;
  • de recherche historique ;
  • ou bien encore à des fins statistiques…

F) Droits des salariés sur leurs données

Les salariés ont plusieurs prérogatives sur les informations personnelles dont dispose leur employeur. Le texte réglementaire les a renforcées.

Ainsi, ils disposent d’un droit d’accès, de rectification et d’opposition sur leurs données. Ils ont également un droit d’effacement et à la portabilité de celles-ci.

V/ Sanctions en cas de violation du RGPD

Le règlement RGPD prévoit des sanctions en cas de violation relative au traitement des données à caractère personnel. Celle-ci doivent être proportionnées et dissuasives.

Plusieurs sanctions peuvent être prononcées en cas de méconnaissance des dispositions du règlement :

  • rappel à l’ordre, avertissement ;
  • injonction de se conformer au RGPD ;
  • suspension des flux de données ;
  • limitation temporaire ou définitive du traitement de données ;
  • sanction administrative : elle peut s’élever jusqu’à 20 000 000 euros ou bien à 4 % du chiffre d’affaires mondial total de l’exercice précédent.

Enfin, l’entreprise dispose d’un délai de 2 mois à partir de la notification de la décision du CNIL pour former un recours devant le Conseil d’Etat.

Désormais, vous connaissez tout sur le RGPD ! Si vous avez d’autres questions, n’hésitez pas à nous contacter !

 

Sources :

 

Contactez nos juristes !

4

Ecrire un commentaire