données persosonnelles

Le 25 mai 2018, le Règlement européen 2016/619 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD » (règlement général sur la protection des données) est entré en vigueur. Le RGPD remplace la directive 95/46/CE sur la protection des données personnelles, et est directement applicable dans l’ensemble de l’union sans nécessiter de transposition dans les différents États membres.

 

Application du règlement RGPD

Le règlement général sur la protection des données (RGPD) vise les administrations, les grands groupes, les PME et les startups, quel que soit leur niveau de développement. Donc, la réglementation s’appliquera à toutes les entreprises qui collectent, traitent et exploitent des données à caractère personnelles.

La notion de données personnelles est donnée à l’article 4 du règlement comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, est réputée être une personne physique identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En conséquence, chaque citoyen européen aura la possibilité d’imposer l’application du RGPD et de faire valoir les droits et garanties qui l’accompagnent à toute entreprise (européenne ou non) qui collecte ses données.

En outre, les critères d’application des dispositions du RGPD sont liés :

– au lieu de l’établissement principal (en Union européenne)

– au lieu de traitement des données à caractère personnel

– aux personnes concernées (ressortissant en Union européenne)

– à la typologie de traitement des données à caractère personnel et leur niveau de sensibilité.

A noter que l’ensemble du secteur privé et public sont touchés par ces dispositions.

Donc, le RGPD s’applique sur l’ensemble du territoire de l’Union européenne et en dehors dès lors que les données traitées portent sur des résidents européens. Le nouveau règlement s’appliquera alors chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

 

Conséquences de l’application du règlement RGPD

  • Création de nouveaux droits

Le RGPD offre un certain nombre de droits nouveaux aux utilisateurs afin de renforcer la protection de leurs données :

– Création du droit à la portabilité des données et à droit à l’oubli : Selon l’article 20 du règlement, une personne sera autorisée à récupérer les données qu’elle a fourni sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. En effet, les utilisateurs peuvent ainsi demander leur destruction ou les obtenir afin de les transmettre, s’il le souhaite, à une entreprise tierce.

– Renforcement de la protection des mineurs : c’est-à-dire que les informations sur les traitements de données concernant des mineurs doivent être rédigées en des termes clairs, et simples pouvant être compris par l’enfant et son consentement doit être officiellement recueilli auprès du titulaire de l’autorité parentale.

– Reconnaissance du droit à réparation : Selon l’article 82-1 du règlement, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du nouveau règlement par le responsable du traitement ou d’un de ses sous-traitants a droit à réparation.

– Transparence et respect du droit des personnes : c’est-à-dire que les utilisateurs doivent systématiquement pouvoir donner leur accord. Ainsi, ils doivent également être informés de façon claire et intelligible de l’utilisation qui sera faites de leurs données.

Nouvelles garanties au service de la confidentialité des données : c’est-à-dire qu’une obligation de sécurité et de notification des violations de données personnelles est mise à la charge de tous les responsables de traitements. Donc, les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées (Article 32 du règlement).
En conséquence, lorsque le responsable de traitement des données constate une violation, par un tiers, de données à caractère personnel, il doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne (Article 33 du règlement).

  • Obligations issues du règlement

La nouvelle réglementation du RGPD 2018 impose un certain nombre d’obligations aux entreprises :

– respecter le principe de protection des données personnelles et de la vie privée imposées par le règlement (la transparence, responsabilité, confidentialité et sécurité des données dès la conception, ainsi que la protection de la vie privée des utilisateurs qui comprend l’obligation de portabilité des données, le droit à modification et à l’effacement des données ainsi que l’obligation du consentement pour le traitement des données).

– Obligation de tenir un registre de traitement des données prévu par l’article 30 du règlement. Cette obligation ne s’applique qu’aux entreprises ou administrations de 250 employés et plus. Mais pour les entreprises ou administrations de moins de 250 salariés, si elles effectuent des traitements sensibles de façon non occasionnel ou qui concernent certaines catégories de personnes ou des données relatives à des condamnations pénales et à des infractions doivent aussi se plier à l’exercice.

Le registre de traitement des données

  • Chaque responsable du traitement tient un registre des activités de traitement effectuées sous leur responsabilité. De plus, les sous-traitants doivent également tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.
  • Le registre comporte les informations suivantes : le nom et les coordonnées du responsable du travail, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale (pays, documents attestant de l’existence de garanties appropriées), les délais pour l’effacement des différentes catégories de données, et une description générale des mesures de sécurité technique et organisationnelles.
  • Le registre se présente sous une forme écrite y compris la forme électronique.
  • Le registre est mis à la disposition de l’autorité de contrôle sur demande.
  • En cas de non tenue d’un tel registre, l’entreprise peut être condamnée à des amendes administratives.

– Obligation de réaliser des études d’impact sur la vie privée ou PIA (Privacy Impact Assessment). Cela consiste à clairement décrire le traitement en question et en évaluer les risques, puis de mettre en place des actions en vue de garantir une sécurité maximale. Ainsi, un responsable d’un traitement doit effectuer une Etude d’Impact lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

– Obligation de mettre en place un DPO pour les organismes du secteur public et pour les sociétés traitant des données sensibles (banques, assurances, santé, etc) et/ou en masse (par exemple, transport, etc). Mais dans les autres cas, le recours au DPO est seulement recommandé et non obligatoire. Ce dernier aura pour mission d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi de contrôler le respect de la législation européenne en s’assurant qu’un registre des traitements de données est bien tenu en interne (Articles 37 à 39 du règlement). Ainsi, le DPO qui doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions », peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service (Article 37 du règlement). Par exemple : les avocats pourront devenir délégués à la protection des données personnelles.

 

Sanctions en cas de non respect des dispositions du RGPD

Les responsables de traitement, comme les sous-traitants, peuvent faire l’objet de sanctions administratives lourdes en cas de méconnaissance des dispositions du RGPD. Dans le cas où une entreprise ne respecterait pas la réglementation, des sanctions administratives sont prévues allant du simple avertissement à une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise.

 

Réforme actuelle sur la protection des données personnelles

A noter que, le gouvernement français a décidé de mettre en conformité la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés avec deux textes européens :

– le règlement général sur la protection des données (RGPD) directement applicable à partir du 25 mai 2018

– une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire qui aurait du être transposée avant le 6 mai 2018.

Ainsi, les députés ont alors adopté le projet de loi relatif à la protection des données, et prévoit plusieurs dispositions :

– le projet de loi définit le champ des missions de la CNIL (commission nationale de l’informatique et des libertés) conformément au RGPD. La CNIL devient alors l’autorité nationale de contrôle pour l’application du RGPD, et elle peut être consultée par le parlement sur les questions de données personnelles.

– le projet de loi remplace le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques en matière de protection des données. Ainsi, les pouvoirs de la CNIL sont renforcés, et les sanctions encourues pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial consolidé.

– le projet de loi renforce les droits des personnes en créant un droit à l’information de la personne concernée par les données personnelles traitées en matière pénale et l’exercice direct des droit d’accès, de rectification et d’effacement des données. Le traitement de données personnelles relatives à la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale est interdit. Il est également interdit de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.

– le projet de loi prévoit que pour les mineurs de moins de quinze ans, le consentement des titulaires de l’autorité parentale sera nécessaire pour le traitement des données personnelles sur les réseaux sociaux. C’est à partir de l’âge de quinze ans qu’un mineur pourra s’inscrire sur des réseaux sociaux sans autorisation parentale (le texte initial prévoyait seize ans).

 

Lire : Directive européenne : détachement des travailleurs

Lire : CEDH : La consultation par l’employeur des fichiers informatiques non identifiés par le salarié comme « privés »

Photo : Pixabay

Une question concernant une convention collective ? Concernant le droit social plus généralement ?
→ Nos juristes spécialistes vous répondent clairement et rapidement.
Comment ça marche ?
Je pose ma question ▶
À propos de l'auteur
Fatima Ben Hamouad

Fatima Ben Hamouad - Juriste au sein des Editions Legimedia.

Diplômée d'un master I en droit social, je suis juriste en droit social au sein des Éditions Legimedia. Possédant plusieurs expériences professionnelles dans le domaine juridique, j'ai pu développé de fortes compétences en droit du travail notamment dans les relations individuelles et les relations collectives, mais également en droit des contrat, et droit des affaires. [...]

À lire dans la catégorie Actualités du droit
18 janvier 2021

Prolongation des mesures d’urgence relatives à l’activité partielle (Covid-19)

2021 : Mesures d'urgences Covid-19 (activité partielle)
L’ordonnance n°2020-1639 du 21 décembre 2020 portant mesures d’urgence en matière d’activité partielle, et le décret n°2020-1681 du 24 décembre 2020 [...]

Lire la suite →

7 janvier 2021

Ordonnance du 16 décembre 2020 : Covid et congés payés imposés

congés imposés covid-19
En raison de la Covid-19, des textes exceptionnels ont dû être adoptés afin d’adapter la vie au travail aux difficultés engendrées par la crise sanitaire. Ainsi, [...]

Lire la suite →

23 décembre 2020

Revalorisation du salaire minimum de croissance (SMIC) pour 2021

smic 2021
Avec la mise en œuvre du décret n°2020-1598 du 16 décembre 2020 adopté en conseil des ministres, une augmentation du salaire minimum de croissance (SMIC) au 1er janvier [...]

Lire la suite →

21 décembre 2020

Promulgation de la loi de financement de la sécurité sociale pour 2021

LFSS pour 2021
La loi de financement de la sécurité sociale (LFSS) pour 2021 a été publiée au Journal officiel du 15 décembre 2020. Au vu du contexte sanitaire actuel, de nombreuses [...]

Lire la suite →

1 décembre 2020

Prorogation de l’état d’urgence sanitaire : L’impact des nouvelles ordonnances

Prorogation de l’état d’urgence sanitaire : L’impact des nouvelles ordonnances
Pour faire face à la seconde vague de l’épidémie du Covid-19, le gouvernement a décidé de prolonger différentes mesures du Covid-19 ayant déjà été prises, tout [...]

Lire la suite →

À propos du blog des Éditions Legimedia

Les articles juridiques du blog des Éditions Legimedia sont rédigés en interne par des juristes spécialisés en droit social, après un travail de recherche approfondie, afin de vous apporter des informations claires, à jour des dernières dispositions légales et conformes.

Ce blog propose différentes catégories et thématiques liées à l’actualité du droit du travail et des conventions collectives (champs d’application, salaires, horaires de travail, congés, formation professionnelle, etc.), aux obligations de l’employeur en matière de sécurité et d’affichage, aux registres obligatoires ou encore à la mise en conformité d’une entreprise selon le code du travail.