Protection des données personnelles

La protection des données personnelles en entreprise, régulée par le RGPD et la loi Informatique et libertés, exige une autoévaluation des responsables de traitement. La réglementation couvre les traitements automatisés et non automatisés de données à caractère personnel, incluant des exemples tels que l'adresse IP.
télécharger

Le Cadre Légal

La protection des données personnelles est encadrée par le règlement européen général sur la protection des données personnelles (RGPD) adopté le 27 avril 2016, en vigueur depuis le 25 mai 2018, ainsi que par la loi Informatique et libertés (Loi 78-17 du 6-1-1978 modifiée). Cette réglementation repose sur le principe fondamental de la responsabilité, imposant aux responsables de traitement de données la démonstration de la conformité de leurs opérations aux dispositions légales. Cette exigence les contraint à réaliser une autoévaluation de leurs traitements, préalable nécessaire à la définition des mesures techniques et organisationnelles requises.

Le champ

La portée de la règlementation

La portée de la réglementation s’étend aux traitements de données, qu’ils soient automatisés en totalité ou en partie, ainsi qu’aux traitements non automatisés de données à caractère personnel stockées ou destinées à être incluses dans un fichier. Ces opérations englobent diverses activités liées aux données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, la modification, l’extraction, la consultation ou la diffusion. En outre, la réglementation trouve application lorsque le traitement est réalisé dans le cadre des activités d’un établissement situé sur le territoire de l’Union européenne, indépendamment du lieu où le traitement a lieu dans l’Union ou non. Elle s’applique également au traitement de données personnelles dans le cas où le responsable du traitement n’est pas établi dans l’Union, mais les personnes concernées sont des résidents européens spécifiquement « ciblés » en vue d’une offre de biens ou de services.

Les données concernées

Il s’agit de toutes les données relatives à une personne physique identifiée ou identifiable. Une personne est considérée comme identifiable si elle peut être directement ou indirectement identifiée, notamment par le biais d’un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou par référence à des éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Des exemples de données personnelles comprennent une adresse IP ou une adresse MAC.

Les données considérées comme « sensibles » ne doivent pas, en principe, faire l’objet d’un traitement. Cela concerne notamment les données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale des individus. Toutefois, des dérogations sont prévues, permettant le traitement de telles données lorsque la personne concernée a donné son consentement explicite, sauf si le droit de l’Union ou le droit national stipule que l’interdiction ne peut être levée.

Les acteurs au sein de l’entreprise

Le responsable du traitement

Identification

Le responsable de traitement représente la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui définit les objectifs et les moyens du traitement de données. Cette définition englobe notamment les cabinets de conseil en ressources humaines, qui, dans le cadre de leurs activités internes, collectent, utilisent et effectuent diverses opérations sur des informations liées à des personnes physiques identifiées ou identifiables. Par exemple, les opérations suivantes réalisées par un cabinet de conseil en ressources humaines peuvent donner lieu à la création d’un traitement de données : gestion des dossiers du personnel, missions d’évaluation des compétences, d’assistance au recrutement, d’organisation de formations, de gestion des carrières (traitant des données personnelles relatives aux employés et candidats), déclarations fiscales (impliquant des données personnelles des personnes les mieux rémunérées de l’entité cliente ou des associés), déclarations pour l’IR, missions d’audit interne et de conseil juridique en matière de ressources humaines.

Soustraitance

Le responsable du traitement peut faire appel à un sous-traitant, qui doit également respecter les règles de protection des données personnelles. Le contrat de sous-traitance est soumis à des réglementations spécifiques, notamment en ce qui concerne l’indication des obligations et des droits du responsable du traitement.

Responsabilité

Le principe de responsabilité implique que le responsable de traitement mette en place des mesures techniques et organisationnelles permettant de garantir et de démontrer la conformité du traitement aux règles de protection des données. Cela nécessite le déploiement d’un processus continu et dynamique de mise en conformité, avec des audits réguliers de l’efficacité de ce processus et, le cas échéant, des mises à jour. Ces mesures peuvent prendre la forme de procédures internes contraignantes, d’outils et de bonnes pratiques, notamment la réduction du nombre de traitements de données, la pseudonymisation des données lorsque possible, la transparence sur les fonctions et le traitement des données, et la possibilité pour la personne concernée de contrôler ses données.

Une analyse d’impact est obligatoire lorsque, en raison du type de traitement, les droits et libertés des personnes sont exposés à un risque élevé. La CNIL a établi une liste de traitements soumis à une telle analyse, tels que les traitements établissant des profils à des fins de gestion des ressources humaines.

Le délégué à la protection des données (DPO)

Le DPO a pour mission principale d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés. Il est également chargé de superviser le respect de la réglementation et des règles internes de l’entreprise, notamment en ce qui concerne la répartition des responsabilités et la sensibilisation du personnel. De plus, le DPO collabore avec l’autorité de contrôle et sert de point de contact avec cette dernière.

La nomination d’un DPO est obligatoire dans les situations suivantes :

  • Lorsque le traitement des données est effectué par une autorité ou un organisme public, à l’exception des juridictions ;
  • Lorsque les activités de base du responsable de traitement ou du sous-traitant impliquent des opérations de traitement nécessitant un suivi régulier et systématique à grande échelle des personnes concernées, tel que dans le cas des ciblages marketing ;
  • Lorsque les activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions.

La CNIL met à disposition sur son site un guide détaillant les mesures préventives fondamentales à appliquer de manière systématique. Ce guide se compose de 17 fiches thématiques accompagnées d’une grille permettant de juger du niveau de sécurité des données personnelles atteint au sein de l’entreprise.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaires récents

Aucun commentaire à afficher.

Inscrivez-vous à notre newsletter