Chef d’entreprise : préparez-vous rapidement au règlement sur les données personnelles !

Par Avocats Picovschi | Publié le 15/02/2018

illustration de l'article

SOMMAIRE

D’ici le 25 mai 2018, les entreprises européennes devront être « RGDP compliant » c’est-à-dire, être en conformité avec le Règlement général sur la protection des données des résidents de l’Union européenne (RGDP). Chef d’entreprises, vous récoltez parfois les données personnelles de vos clients (sites internet, publicités ciblées, cartes de fidélité, gestion des dossiers SAV) et même de vos salariés. Pour être sûrs d’être à jour avec le nouveau règlement européen, Avocats Picovschi vous aide à mieux comprendre les obligations qui en dépendent.

Depuis la Loi informatique et libertés de 1978, la technologie et l’usage que l’on en fait a clairement évolué. La transposition du règlement européen en ce début d’année 2018 permet cette révision indispensable qui se fera par ordonnance avant le 25 mai. La valeur des données récoltées par les acteurs du numérique représente un enjeu majeur en droit de la propriété intellectuelle.

Le RGDP, quant à lui, se concentre sur le traitement des données, au sens large, recouvrant toutes les opérations relatives aux données personnelles – de la collecte à la destruction. Il s’adresse aux acteurs responsables du traitement des données des ressortissants de l’Union, créant de nouvelles obligations et des sanctions financières lourdes en cas de manquement. Le règlement européen permettra ainsi aux citoyens d’avoir une plus grande visibilité sur leurs données personnelles et de vérifier l’utilisation qui en est faite.

Prendre conscience de votre rôle de responsable de traitement

Toutes les entreprises peuvent prendre part à la collecte de données tant sur le plan de la récolte des données que pour la gestion de leur traitement et de leur sécurité. Le règlement définit ce rôle de responsable de traitement et ses obligations.

Le responsable du traitement détermine les finalités et les moyens du traitement, ainsi que les modalités de déclaration auprès des organismes de contrôle. Il est possible que cette activité soit sous-traitée à une société qui traite les données à caractère personnel pour le compte du responsable.

En tant que responsable, l’entreprise doit prendre des mesures pour sécuriser le traitement sous le modèle « Privacy by design – security by default ». Les données devront faire l’objet d’un niveau de sécurité cohérent permettant le respect de la confidentialité. Dans le cas d’une violation de données, l’entreprise doit notifier les autorités de contrôle et personnes concernées. Par ailleurs, quand le traitement présente des risques élevés pour les droits et libertés des personnes concernées, l’entreprise doit réaliser une analyse d’impact ou DPIA, par exemple lorsque le traitement engage la collecte de données sensibles (orientation sexuelle, religion) ou données personnelles à grande échelle par surveillance systématique, croisement de données ou scoring.

Certaines sociétés doivent désigner un salarié délégué à la protection des données, c’est le cas des organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (société de prestations de services, cabinet de recrutement, agence d’intérim). Un délégué qui aura pour rôle de conseiller et de sensibiliser sur le traitement des données par l’entreprise. Ce délégué devra répondre à certains critères concernant sa qualification et sa formation continue.

Les entreprises de plus de 250 salariés et les administrations devront obligatoirement tenir un registre des activités de traitement à la disposition de la CNIL en cas de contrôle. Ce registre est le document qui prouvera la conformité de l’entreprise. La CNIL en propose un modèle reprenant les mentions obligatoires listées à l’article 30 du RGPD.

Toutes ces obligations sont susceptibles de faire l’objet de sanctions en cas de manquement. Le règlement donne aux autorités de contrôle des pouvoirs d’enquêtes et de mesures correctives. Elles ont donc le pouvoir de prononcer des amendes administratives, selon la catégorie de l’infraction, pouvant aller jusqu’à 10 ou 20 millions d’euros, et dans le cas d’une entreprise d’un montant allant de 2% à 4% du chiffre d’affaires mondial annuel.

S’informer du renforcement des droits des utilisateurs

Il est important de prendre en compte les différentes prérogatives des utilisateurs pour définir le champ de vos obligations et ne pas être sanctionnés en cas de manquement. Lorsqu’une entreprise entreprend la récolte d’informations auprès de ses clients ou salariés, le principe de minimisation est de mise. Ce principe précise que la collecte des données doit se concentrer sur le strict nécessaire, par exemple un vendeur de lunettes ne peut demander quel est le dessert favori de son client pour son fichier client.

Dans certains cas, comme pour les données sensibles, le recueil du consentement de l’utilisateur est obligatoire par type d’usage et non de façon globale. L’utilisateur doit donner un consentement explicite et spécifique. Le règlement se concentre sur la définition du consentement pour permettre une meilleure définition des droits de l’utilisateur sur ces données qui sont :

  • Droit à l’information sur la nature du traitement des données : ce droit est renforcé. Il s’agit du droit pour toute personne de savoir si ses données font l’objet d’un traitement et d’obtenir du responsable de ce traitement des informations sur l’objectif de la collecte, la nature du traitement et le caractère obligatoire ou facultatif de celui-ci
  • Droit d’accès aux données : ce droit offre la possibilité de demander la suppression ou la rectification des données par l’utilisateur. L’entreprise doit alors mettre en place des outils permettant à l’utilisateur d’exercer cette prérogative et à s’opposer à certains types de traitement des données
  • Droit à la portabilité des données : corolaire du droit à l’accès, il permet de récupérer toutes les données communiquées à une plateforme (sites internet, réseau social, mailing liste), soit pour les conserver, soit pour les transférer vers un autre opérateur.
  • Droit à l’oubli numérique : comme le droit au référencement qui existe concernant les moteurs de recherche, l’utilisateur pourra s’adresser directement au responsable du traitement de l’entreprise. Ce droit n’est pas absolu et ne peux être demandé que dans le cas où l’entreprise garde les données plus longtemps que nécessaire au vu des finalités annoncées.

Cas pratique : le traitement des données de vos salariés

En tant qu’employeur, vous collectez un certain nombre d’informations auprès de vos salariés, ne serait-ce que pour le dossier d’embauche. L’employeur n’a pas à demander l’accord du salarié pour rassembler ce genre de données mais il doit les informer de leurs existences et du traitement qu’il en est fait. L’employeur doit également informer sur quel fondement légal il traite ces données, par exemple exécution du contrat de travail ou respect d’une obligation légale.

En cas de non-respect, cette obligation est désormais sanctionnée par une amende pouvant aller jusqu’à 4% du chiffre d’affaires de l’entreprise. Le salarié obtient également un droit d’accès à l’intégralité de ses données dans un document qui en précise notamment la nature, leur durée de conservation et leur localisation.

Le salarié dispose d’un droit de rectification et d’opposition à certains types de traitement des données comme le profilage ou la prospection. De même, les données sensibles ne peuvent être recueillies sauf consentement explicite du salarié. Il peut s’opposer à ce que ses données soit utilisées pour évaluer ses performances professionnelles. L’article 21 du RGPD prévoit l’obligation pour les entreprises d’effacer la partie du traitement que le salarié refuse.

Les dispositions du règlement peuvent alors devenir un moyen de pression juridique en cas de conflit avec l’entreprise en cas de non-conformité des éléments de preuve fournis par le biais du traitement de données. Pour cela, l’employeur doit être intransigeant avec le respect des données personnelles et doit s’assurer de sa conformité avec les obligations légales.

Depuis 1978, la Commission Nationale de l’Informatique et des Libertés (CNIL) a pour mission de « protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles ». Elle reste un interlocuteur privilégié pour les professionnels du droit et possède un certain nombre d'outils pratiques pour accompagner les entreprises dans leur mise en conformité.

Les données personnelles sont désormais au cœur du droit de la propriété intellectuelle, branche complexe du droit des affaires. Et pour un chef d’entreprise, ces problématiques peuvent paraitre insurmontables. Pour cela, Avocat Picovschi, par son expertise en droit des affaires, est là pour vous conseiller !

Source : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

Votre avis nous intéresse

Le responsable de traitement des données à caractère personnel collectées sur le présent site Internet est Gérard PICOVSCHI, Avocat au Barreau de Paris. Les informations recueillies font l'objet d'un traitement informatique destiné à respecter nos obligations déontologiques et à prévenir d'éventuels conflits d'intérêts.Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant au service Informatique et Libertés : 69 rue Ampère, 75017 Paris (e-mail : avocats[at]picovschi.com). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Cet article est mis en ligne à des fins d'information du public et dans l'intérêt des justiciables. Il est régulièrement mis à jour, dans la mesure du possible. En raison de l'évolution permanente de la législation en vigueur, nous ne pouvons toutefois pas garantir son application actuelle et vous invitons à nous interroger pour toute question juridique ou problème concernant le thème évoqué au 01 56 79 11 00. En aucun cas le Cabinet ne pourra être tenu responsable de l'inexactitude et de l'obsolescence des articles du site.

Rencontrons-nous

Nos attachés d'information sont à votre écoute

Vous voulez plus d’informations ? Contactez nous
+33(0)1 56 79 11 00

90 avenue Niel
62 & 69 rue Ampère
75017 Paris

Avocats Picovschi - 90 avenue Niel 75017 Paris

Continuez votre recherche avec

Nos succès
Prix et distinctions
Nos autres domaines
d’interventions