LinkedIn Google Play Android Instagram AppStore

La protection des données personnelles nouvelle formule est lancée

28/05/2018

Le règlement général sur la protection des données (RGPD) adopté par l’UE en 2016 est directement applicable depuis le 25 mai 2018. Les maîtres mots pour une mise en conformité optimale en matière de protection des données: Anticipation, Etats des lieux, Identification, Organisation, Action et Suivi!

Le projet de loi définitivement adopté le 14 mai 2018 adapte le droit français au règlement européen.
Ce projet de loi a fait l’objet d’une saisine du Conseil constitutionnel le 16 mai 2018.

Le RGPD : une logique inversée

Le RGPD consacre une logique de responsabilisation des organismes mettant en œuvre des traitements tout en réduisant en apparence les formalités préalables. Désormais, le contrôle ne se fera plus en amont (déclarations/autorisations préalables de l’entreprise auprès de l’autorité) mais a posteriori. Pour autant, le champ de la protection des données est élargi. Ainsi, les responsables de traitements doivent mettre en œuvre toutes les mesures nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service, et de façon continue.

Un dispositif concernant au premier chef les entreprises

En interne
Ce dispositif concerne les entreprises dans la mesure où elles peuvent détenir et utiliser des données personnelles de leurs salariés, de leurs prestataires, de leurs clients, de leurs fournisseurs , de leurs partenaires…
Les employeurs doivent désormais informer les personnes (au sens large) sur l’utilisation qui peut être faite de leurs données personnelles et sur leurs droits. Attention : Au-delà du service RH, d’autres salariés de l’entreprise sont concernés par cette règlementation puisqu’ils manipulent des données personnelles tels que les salariés du service clientèle, marketing, informatique... A l’égard de ces salariés, il conviendra donc de déployer une politique d’information, de responsabilisation et de prévention en la matière : formation, clauses particulières au sein de leur contrat de travail, charte relative à la protection des données personnelles, revue du règlement intérieur, revue de la charte informatique….
En externe
Création d’une responsabilité conjointe avec les sous-traitants.
Il est essentiel de s’assurer que tous les prestataires de service de l’entreprise qui ont accès à des données personnelles ou qui gèrent ces données, ont pris les mesures nécessaires pour garantir la protection de celles-ci.
Dès lors, il est nécessaire que :
- Le prestataire s’engage à respecter la règlementation en la matière via par exemple l’insertion d’une clause spécifique dans le contrat de prestation de service
- Le donneur d’ordre s’assure par divers moyens que le prestataire respecte bien dans les faits son engagement (simple déclaration de principe, audits etc.).

De l’importance de s’emparer au plus tôt de ce sujet

Des sanction plus lourdes
Le montant des sanctions est sensiblement relevé : jusqu’à 10 millions d’euros ou 2% du CA annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (et pour les manquements les plus graves, jusqu’à 20 millions d’euros et 4% dudit CA).
Une action de groupe en matière d’atteinte aux données personnelles
Visant auparavant exclusivement à la cessation du manquement, cette action peut désormais, être engagée en vue d’obtenir la réparation des préjudices matériels et moraux subis si le fait générateur du dommage est postérieur au 24 mai 2018. En outre, toute personne peut mandater une association ou une organisation aux fins d’exercer ses droits en son nom, notamment pour porter une réclamation auprès de la CNIL

Les limites à la collecte de données :

L’interdiction de principe de collecter ou de traiter des données sensibles
Les « données sensibles » correspondent aux données révélant l’origine prétendument raciale ou ethnique, les opinions politiques, les convictions philosophiques ou religieuses, ou l’appartenance syndicale, concernant la santé, l’orientation sexuelle ou la vie sexuelle, les données génétiques ou biométriques aux fins d’identifier une personne physique de manière unique.
Les exceptions :
L’interdiction de principe de collecter ou de traiter des données sensibles souffre d’exceptions lorsque la finalité du traitement l’exige pour certaines catégories de données. Ainsi à titre d’illustration, le projet de loi prévoit notamment comme exception : les traitements conformes à des règlements types établis par la CNIL mis en œuvre par les employeurs, et portant sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux stagiaires ou aux prestataires.

La question de la durée de conservation des données :
C’est aux entreprises qu’appartiendra d’évaluer la durée raisonnable de conservation des données qui n’excèdera pas celle nécessaire aux finalités du traitement.

L’intérêt de désigner d’un délégué à la protection des données (DPO)

Si cette désignation n’est obligatoire que pour les organismes publics et les entreprises dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions, la CNIL recommande de se doter d’un DPO (ex CIL).
Le DPO peut être externe ou interne à l’entreprise voire mutualisé entre plusieurs organismes.

Chargé de s’assurer de la mise en conformité en matière de protection des données, il doit notamment :

Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés;
Contrôler le respect du règlement et de la loi ;
Conseiller l’entreprise sur la réalisation d’études d’impact et en vérifier l’exécution;
Coopérer avec l’autorité de contrôle et en être le point de contact.

Les principales mesures à prendre :

La CNIL a publié un guide recensant 6 étapes à mettre en œuvre par les entreprises afin de se mettre en conformité avec le RGPD :

Désigner un délégué de la protection des données,
Recenser les traitements des données personnelles et s’assurer qu’ils respectent bien les nouvelles obligations légales,
Identifier les actions à mener afin de se conformer aux obligations et les prioriser,
Procéder à une analyse d’impact sur la protection des données,
Mettre en place des procédures internes qui garantissent la protection des données à tout moment,
Constituer et regrouper la documentation nécessaire afin de prouver votre conformité.

Le Cabinet ACTANCE accompagne ses clients dans le cadre de la mise en place de la RGPD pour la partie RH.
S’agissant de la partie droit de la DATA, le cabinet travaille en partenariat avec le cabinet STAUB.
A ce titre, une formation commune sera organisée prochainement.

Actualité précédente Retour à la liste Actualité suivante

La protection des données personnelles nouvelle formule est lancée

Le RGPD : une logique inversée

Un dispositif concernant au premier chef les entreprises

De l’importance de s’emparer au plus tôt de ce sujet

Les limites à la collecte de données :

L’intérêt de désigner d’un délégué à la protection des données (DPO)

Les principales mesures à prendre :

Les actualités qui pourraient vous intéresser

La réforme de la justice prud'homale, entre célérité et complexité

Comment mettre en place le Droit à la déconnexion?

L'anticipation du transfert de personnel

La Loi « RANA PLAZA » ou le devoir de vigilance des sociétés mères et donneuses d'ordre envers leurs filiales et sous-traitants dans le monde

Le détachement des fonctionnaires au sein d’entités de droit privé

« La class action » à la française arrive dans le droit du travail

Loi Sapin II : Un plan anticorruption pour le 11 juin 2017 !

Le droit à la déconnexion

Les modes alternatifs de réorganisation de l’entreprise

Le principe d'égalité de traitement dans le cadre d'un plan de sauvegarde de l'emploi

RSE : La nouvelle « déclaration de performance extra-financière »

Les dispositions relatives à l'encadrement des délais de consultation du CE sont conformes à la constitution

Réforme du Code du travail : première analyse des ordonnances

Le projet d’ordonnance relatif au renforcement de la négociation collective

KEY CHANGES IN FRENCH LABOR RULES

Le projet d’ordonnance relatif à la prévisibilité et la sécurisation des relations de travail

Le projet d’ordonnance : Les mesures relatives au licenciement

Négociation collective avec les DS où en est-on ?

Projet d’ordonnance : la fusion des instances représentatives du personnel

Ordonnances Macron : les évolutions majeures

Ordonnance Macron : le télétravail

Ordonnance Macron : Impact sur les délais de prescription des actions portant sur l’exécution et la rupture du contrat de travail

Comité social et économique : 2 projets de décret

LinkedIn/Viadeo : la problématique de la communication digitale professionnelle

Incidences pratiques de l'entrée en application du RGPD en matière de ressources humaines (Réglement UE 2016/679 du 27 avril 2016)

Gestion du personnel et dématérialisation

La réforme de l’assurance chômage

Les précisions pouvant être apportées par l'employeur sur les motifs d'un licenciement notifié

Composition des listes électorales : La cour de cassation impose aux organisations syndicales de mettre en oeuvre la partie de façon concrète

Un protocole de fin de conflit peut instaurer une différence de traitement entre salariés d’une même entreprise affectés à des établissements distincts

Projet de la Loi Avenir Professionnel et monétisation du Compte Personnel de Formation (CPF)

Indemnités versées dans le cadre d’une rupture conventionnelle collective ou d’un congé de mobilité : Exonération de forfait social

RENFORCEMENT DES OBLIGATIONS EN MATIERE DE LUTTE CONTRE LE HARCELEMENT SEXUEL

APPRENTISSAGE : simplification et flexibilisation du dispositif

Les réponses apportées par le Président au mouvement « des gilets jaunes »

Prime exceptionnelle : contenu du projet de loi

Heures supplémentaires : contenu du projet de loi

Nouvelle version du texte relatif à la prime de fin d’année

Version définitive du texte relatif à la prime de pouvoir d’achat

Suppression des écarts de rémunération entre les femmes et les hommes : Parution du décret

Egalité entre les femmes et les hommes : Où en est-on?

Suppression des écarts de rémunération entre les femmes et les hommes : les nouvelles précisions du ministère

Avez-vous désigné vos référents harcèlement sexuel – agissements sexistes?

Réforme de l’Assurance chômage : quels impacts pour les demandeurs d’emplois et les entreprises ?

Renforcement de la protection des lanceurs d'alerte

Réforme des retraites : où en est-on ?

Droit du Travail : « La journée de deuil national n’est pas fériée »

Appel à la grève du 5 décembre 2019 : de la gestion des absences au télétravail…que faire?

Coronavirus : publication de 22 Questions/Réponses opérationnelles et concrètes à disposition des entreprises

Arrêté du 14 mars 2020 portant diverses mesures relatives à la lutte contre la propagation du virus covid-19 modifié par plusieurs arrêtés

Décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus covid-19 complété par un décret n° 2020-279 du 19 mars 2020

COVID-19 : les questions autour du recours à l’activité partielle

Nouveaux délais d’information consultation du CSE

Covid-19 : Une nécessaire clarification du périmètre de l’obligation de sécurité

Covid-19 : risque de reconnaissance du caractère professionnel de l’accident ou de la maladie

Activité partielle : où en sommes nous ?

Covid-19 : reconnue maladie professionnelle mais sous conditions restrictives

Modalités financières de l’activité partielle : le cap est fixé jusqu’au 30 juin 2021