La GDPR (General Data Protection Régulation) :
La GDPR s’agit d’un texte sur la protection des données initié au niveau européen, pour protéger les consommateurs dont les données sont recueillies et exploitées.
Ce texte sur la protection des données est entré en vigueur au 25 mai 2018.
En mai 2016, le Parlement européen adoptait l’ensemble des nouvelles dispositions associées à la protection des données. L’échéance fixée au 25 mai 2018 est passée.
Êtes-vous en conformité avec les règles imposées par la GDPR (General Data Protection Régulation) ?
La GDPR est donc un nouveau règlement européen qui introduit une série de mesures fixant le cadre juridique relatif à la protection des données personnelles au sein de l’Union européenne. Il s’agit de renforcer les droits des citoyens de l’UE et leur accorder plus de contrôle sur leurs données personnelles.
Les entreprises doivent désormais informer clairement quelles sont les données qu’elles recueillent et leur utilisation et la possibilité pour le consommateur d’en être informé, d’y avoir accès et de refuser.
Qui est concerné ?
Ce règlement s’appliquera à toute les organisations, entreprises, associations, amenée à collecter et manipuler les données de ses clients. A tous c’est également aux multinationales, mais aussi les PME, les TPE ou les artisans gérant un fichier informatique.
Ce règlement vise ainsi à responsabiliser les organismes qui collectent des données et à ce qu’ils prévoient dès la phase de conception de leur système de collecte les moyens nécessaires pour remplir les obligations prévues.
Quel est le principe ?
Le point majeur concerne le principe du consentement expresse à la collecte et à la conservation des données, une notion qui constitue l’une des spécificités du droit européen. Les données personnelles appartiennent aux citoyens et les entreprises, et notamment les géants américains (Facebook, Google, Apple, Amazon, Microsoft et consorts), ne pourront donc plus arguer d’une présomption de consentement pour justifier de l’utilisation des infos de leurs clients et usagers.
Ce consentement doit pouvoir être retiré à tous moments, il doit y avoir aussi un droit d’accès et de rectification des données, un droit à l’effacement (droit à l’oubli)
soit proposer un cadre juridique plus adapté à la situation actuelle, améliorer la protection des libertés des citoyens européens et uniformiser la réglementation, instaurer un climat de confiance et pas d’opacité, responsabiliser les entreprises qui collectent et traitent les données personnelles.
Concrètement, que prévoit la GDPR ?
Les entreprises devront désormais fournir des informations précises sur leur pratique de collecte et de conservation des données personnelles si tel est le cas. Les usagers disposeront de plus d’informations sur la façon dont leurs données sont traitées. Des informations qui devront en outre être formulées de manière claire et précise dans un souci de transparence.
Il faut, pour faire simple, que le consommateur puisse refuser la collecte des données aussi facilement que l’accepter… ce qui est loin d’être le cas souvent.
Qu’elles sont les obligations imposées aux entreprises , organismes ?
Si la GDPR simplifie globalement les formalités administratives, il impose un certain nombre de contraintes aux entreprises :
Respect de la protection des données dès la conception (article 25 §1)
Obligation de sécurité par défaut (article 25 §2)
Obligation de documentation (article 24);
Étude d’impact avant la mise en œuvre de certains traitements (article 35);
Obligation de nommer un délégué à la protection des données ou « Data Protection Officer » (article 37), garant des moyens mis en œuvre par l’entreprise.
Que faire en cas d’incident touchant les données clients ?
Tout incident susceptible d’avoir compromis l’intégrité de données des clients de l’entreprise doit être déclaré officiellement à la CNIL dans un délai de 72 heures. Cette tâche incombe au Data Protection Officer désigné par l’entreprise.
Quelles sanctions en cas d’infraction ?
Le législateur a prévu un arsenal de sanctions administratives en cas de non-respect de la réglementation, allant du simple avertissement à une amende d’un montant pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise en cas d’infraction aux règles applicables au consentement ou d’infraction aux transferts de données personnelles hors de l’Union Européenne.
En droit du travail : protection aussi des données personnelles:
DONNEES PERSONNELLES ET RESSOURCES HUMAINES
Selon le règlement RGPD (article 4) constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable ».
Est réputée identifiable toute personne qui « peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, les données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle, ou sociale ».
En matière de ressources humaines, et donc en droit du travail, seront notamment considérées comme données à caractère personnel :
- Des données collectées au moment du recrutement ou de l’embauche du salarié (nom, prénom, date et lieu de naissance, adresse, numéro de téléphone, numéro de sécurité sociale, numéro de compte bancaire, photographie, informations relatives aux ayant-droits du salarié, etc…) ;
- Les données concernant la paie versée au salarié ;
- Les résultats d’examen et de médecine du travail ;
- Le détail des factures de téléphonie mobile si tel est le cas ;
- Les éventuels enregistrements de conversation téléphonique menés par le salarié lorsque cela est effectué ;
- Les données d’accès aux locaux professionnels ;
- Les courriers électroniques ;
- Les logs de connexion du salarié lorsqu’il se connecte sur internet ;
- Les données de géolocalisation lorsque cela est effectué ;
- Les photos ;
- Les déclarations et informations communiquées par le candidat pour le poste, etc…
Un tel traitement des données informatiques relatives au salarié ne peut être réalisé qu’à l’intérieur d’un cadre purement légal.
Ainsi, jusqu’à présent, lorsque l’employeur souhaitait collecter et traiter des données personnelles concernant ses salariés, il devait déclarer le traitement correspondant à la CNIL, et les articles L.1121-1, L.1222-3 et L.1222-4, L. 2323-32 s’appliquaient, ainsi que l’article 32 de la loi Informatique et libertés qui s’ajoute à l’article 6 de ladite loi.
Le RGPD, accentue les exigences posées aux responsables de traitement des informations afin de mettre en avant un principe de transparence, d’objectifs clairement définis du traitement, et de minimaliser les données collectées au juste nécessaire, ceci en renforçant les droits des personnes concernées, et en soulignant la confidentialité des données.
En échange de ce renforcement des droits, les formalités préalables à la mise en œuvre d’un traitement sont supprimées puisqu’un responsable de traitement de l’information, lorsqu’un tel traitement est réalisé, doit mettre en place les mesures de protection des données appropriées, et démontrer la conformité de ces mesures au règlement.
A côté des amendes administratives (au maximum prévisible 2 % du chiffre d’affaires annuel, voire 4 % pour les atteintes les plus graves) l’employeur pourrait subir des actions en dommages et intérêts de la part des salariés qui s’estiment lésés en application de l’article 42 du RGPD.
Etant souligné que certaines sanctions pénales peuvent être prévues par différents textes, et notamment par les articles 226-16 et suivants du code pénal.
Nous savons également que la jurisprudence en droit social estime qu’une preuve obtenue par un dispositif non conforme est inopposable (notamment Cour de Cassation, chambre sociale 08.10.2014 N° 13-14.991).
Information générale à jour au 08 juin 2018
Chaque cas est particulier est nécessite l’avis éclairé et documenté d’un avocat.
www.avocat-bernardi.fr
