données persosonnelles

Le 25 mai 2018, le Règlement européen 2016/619 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD » (règlement général sur la protection des données) est entré en vigueur. Le RGPD remplace la directive 95/46/CE sur la protection des données personnelles, et est directement applicable dans l’ensemble de l’union sans nécessiter de transposition dans les différents États membres.

 

Application du règlement RGPD

Le règlement général sur la protection des données (RGPD) vise les administrations, les grands groupes, les PME et les startups, quel que soit leur niveau de développement. Donc, la réglementation s’appliquera à toutes les entreprises qui collectent, traitent et exploitent des données à caractère personnelles.

La notion de données personnelles est donnée à l’article 4 du règlement comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, est réputée être une personne physique identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En conséquence, chaque citoyen européen aura la possibilité d’imposer l’application du RGPD et de faire valoir les droits et garanties qui l’accompagnent à toute entreprise (européenne ou non) qui collecte ses données.

En outre, les critères d’application des dispositions du RGPD sont liés :

– au lieu de l’établissement principal (en Union européenne)

– au lieu de traitement des données à caractère personnel

– aux personnes concernées (ressortissant en Union européenne)

– à la typologie de traitement des données à caractère personnel et leur niveau de sensibilité.

A noter que l’ensemble du secteur privé et public sont touchés par ces dispositions.

Donc, le RGPD s’applique sur l’ensemble du territoire de l’Union européenne et en dehors dès lors que les données traitées portent sur des résidents européens. Le nouveau règlement s’appliquera alors chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

 

Conséquences de l’application du règlement RGPD

  • Création de nouveaux droits

Le RGPD offre un certain nombre de droits nouveaux aux utilisateurs afin de renforcer la protection de leurs données :

– Création du droit à la portabilité des données et à droit à l’oubli : Selon l’article 20 du règlement, une personne sera autorisée à récupérer les données qu’elle a fourni sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. En effet, les utilisateurs peuvent ainsi demander leur destruction ou les obtenir afin de les transmettre, s’il le souhaite, à une entreprise tierce.

– Renforcement de la protection des mineurs : c’est-à-dire que les informations sur les traitements de données concernant des mineurs doivent être rédigées en des termes clairs, et simples pouvant être compris par l’enfant et son consentement doit être officiellement recueilli auprès du titulaire de l’autorité parentale.

– Reconnaissance du droit à réparation : Selon l’article 82-1 du règlement, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du nouveau règlement par le responsable du traitement ou d’un de ses sous-traitants a droit à réparation.

– Transparence et respect du droit des personnes : c’est-à-dire que les utilisateurs doivent systématiquement pouvoir donner leur accord. Ainsi, ils doivent également être informés de façon claire et intelligible de l’utilisation qui sera faites de leurs données.

Nouvelles garanties au service de la confidentialité des données : c’est-à-dire qu’une obligation de sécurité et de notification des violations de données personnelles est mise à la charge de tous les responsables de traitements. Donc, les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées (Article 32 du règlement).
En conséquence, lorsque le responsable de traitement des données constate une violation, par un tiers, de données à caractère personnel, il doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne (Article 33 du règlement).

  • Obligations issues du règlement

La nouvelle réglementation du RGPD 2018 impose un certain nombre d’obligations aux entreprises :

– respecter le principe de protection des données personnelles et de la vie privée imposées par le règlement (la transparence, responsabilité, confidentialité et sécurité des données dès la conception, ainsi que la protection de la vie privée des utilisateurs qui comprend l’obligation de portabilité des données, le droit à modification et à l’effacement des données ainsi que l’obligation du consentement pour le traitement des données).

– Obligation de tenir un registre de traitement des données prévu par l’article 30 du règlement. Cette obligation ne s’applique qu’aux entreprises ou administrations de 250 employés et plus. Mais pour les entreprises ou administrations de moins de 250 salariés, si elles effectuent des traitements sensibles de façon non occasionnel ou qui concernent certaines catégories de personnes ou des données relatives à des condamnations pénales et à des infractions doivent aussi se plier à l’exercice.

Le registre de traitement des données

  • Chaque responsable du traitement tient un registre des activités de traitement effectuées sous leur responsabilité. De plus, les sous-traitants doivent également tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.
  • Le registre comporte les informations suivantes : le nom et les coordonnées du responsable du travail, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale (pays, documents attestant de l’existence de garanties appropriées), les délais pour l’effacement des différentes catégories de données, et une description générale des mesures de sécurité technique et organisationnelles.
  • Le registre se présente sous une forme écrite y compris la forme électronique.
  • Le registre est mis à la disposition de l’autorité de contrôle sur demande.
  • En cas de non tenue d’un tel registre, l’entreprise peut être condamnée à des amendes administratives.

– Obligation de réaliser des études d’impact sur la vie privée ou PIA (Privacy Impact Assessment). Cela consiste à clairement décrire le traitement en question et en évaluer les risques, puis de mettre en place des actions en vue de garantir une sécurité maximale. Ainsi, un responsable d’un traitement doit effectuer une Etude d’Impact lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

– Obligation de mettre en place un DPO pour les organismes du secteur public et pour les sociétés traitant des données sensibles (banques, assurances, santé, etc) et/ou en masse (par exemple, transport, etc). Mais dans les autres cas, le recours au DPO est seulement recommandé et non obligatoire. Ce dernier aura pour mission d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi de contrôler le respect de la législation européenne en s’assurant qu’un registre des traitements de données est bien tenu en interne (Articles 37 à 39 du règlement). Ainsi, le DPO qui doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions », peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service (Article 37 du règlement). Par exemple : les avocats pourront devenir délégués à la protection des données personnelles.

 

Sanctions en cas de non respect des dispositions du RGPD

Les responsables de traitement, comme les sous-traitants, peuvent faire l’objet de sanctions administratives lourdes en cas de méconnaissance des dispositions du RGPD. Dans le cas où une entreprise ne respecterait pas la réglementation, des sanctions administratives sont prévues allant du simple avertissement à une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise.

 

Réforme actuelle sur la protection des données personnelles

A noter que, le gouvernement français a décidé de mettre en conformité la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés avec deux textes européens :

– le règlement général sur la protection des données (RGPD) directement applicable à partir du 25 mai 2018

– une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire qui aurait du être transposée avant le 6 mai 2018.

Ainsi, les députés ont alors adopté le projet de loi relatif à la protection des données, et prévoit plusieurs dispositions :

– le projet de loi définit le champ des missions de la CNIL (commission nationale de l’informatique et des libertés) conformément au RGPD. La CNIL devient alors l’autorité nationale de contrôle pour l’application du RGPD, et elle peut être consultée par le parlement sur les questions de données personnelles.

– le projet de loi remplace le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques en matière de protection des données. Ainsi, les pouvoirs de la CNIL sont renforcés, et les sanctions encourues pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial consolidé.

– le projet de loi renforce les droits des personnes en créant un droit à l’information de la personne concernée par les données personnelles traitées en matière pénale et l’exercice direct des droit d’accès, de rectification et d’effacement des données. Le traitement de données personnelles relatives à la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale est interdit. Il est également interdit de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.

– le projet de loi prévoit que pour les mineurs de moins de quinze ans, le consentement des titulaires de l’autorité parentale sera nécessaire pour le traitement des données personnelles sur les réseaux sociaux. C’est à partir de l’âge de quinze ans qu’un mineur pourra s’inscrire sur des réseaux sociaux sans autorisation parentale (le texte initial prévoyait seize ans).

 

Lire : Directive européenne : détachement des travailleurs

Lire : CEDH : La consultation par l’employeur des fichiers informatiques non identifiés par le salarié comme « privés »

Photo : Pixabay

Une question concernant une convention collective ? Concernant le droit social plus généralement ?
→ Nos juristes spécialistes vous répondent clairement et rapidement.
Comment ça marche ?
Je pose ma question ▶
À propos de l'auteur
Fatima Ben Hamouad

Fatima Ben Hamouad - Juriste au sein des Editions Legimedia.

Diplômée d'un master I en droit social, je suis juriste en droit social au sein des Éditions Legimedia. Possédant plusieurs expériences professionnelles dans le domaine juridique, j'ai pu développé de fortes compétences en droit du travail notamment dans les relations individuelles et les relations collectives, mais également en droit des contrat, et droit des affaires. [...]

À lire dans la catégorie Actualités du droit
27 octobre 2020

Nouvelles mesures du projet de loi de financement de la Sécurité sociale en 2021

Nouvelles mesures du PLFSS pour 2021
C’est dans un contexte relativement particulier que s’inscrit le nouveau projet de loi de financement de la Sécurité sociale. Le nouveau projet de loi permet [...]

Lire la suite →

19 octobre 2020

Le compte Facebook du salarié : Une preuve pour la défense de l’employeur

Compte Facebook du salarié : Un moyen de preuve de l'employeur
Le respect de la vie privée est un droit particulièrement protégé par les lois françaises mais aussi européennes. Le salarié est quant à lui soumis à une obligation [...]

Lire la suite →

30 juillet 2020

Création de la cinquième branche de Sécurité sociale relative à l’autonomie

family-3347049_1920
Ce 23 juillet 2020, l’Assemblée nationale a voté le projet de loi ordinaire et le projet de loi organique relatifs aux enjeux du vieillissement de la population : [...]

Lire la suite →

30 juillet 2020

Activité partielle : la réduction d’activité durable (décret du 28 juillet 2020)

Activité partielle : Réduction d'activité durable (28/07/20)
Afin d’encadrer au mieux possible les modalités de recours à l’activité partielle, le Premier ministre a adopté un nouveau décret relatif au dispositif spécifique [...]

Lire la suite →

28 juillet 2020

Port du masque obligatoire dans les espaces publics clos et en entreprise

Espaces publics clos : port du masque obligatoire
Afin de lutter contre la propagation du virus et plus exactement, pour éviter un nouveau rebond de l’épidémie, de nouvelles mesures sont venues s’ajouter à [...]

Lire la suite →

À propos du blog des Éditions Legimedia

Les articles juridiques du blog des Éditions Legimedia sont rédigés en interne par des juristes spécialisés en droit social, après un travail de recherche approfondie, afin de vous apporter des informations claires, à jour des dernières dispositions légales et conformes.

Ce blog propose différentes catégories et thématiques liées à l’actualité du droit du travail et des conventions collectives (champs d’application, salaires, horaires de travail, congés, formation professionnelle, etc.), aux obligations de l’employeur en matière de sécurité et d’affichage, aux registres obligatoires ou encore à la mise en conformité d’une entreprise selon le code du travail.