Droit du travail

  1. Accueil
  2. Droit du travail
  3. Actualités
  4. Petites et Moyennes Entreprises

Actualités

Contrat de travail

Protection des données : ce qui va changer pour les entreprises

Publié le 17/04/2017 par

En mai 2018, un règlement européen va entrainer d’importants changements dans la pratique des entreprises en matière de gestion des données personnelles. En quoi consistent ces changements et comment s’y préparer ?

Protection des données : ce que prévoit le règlement européen de 2016

Contrairement à une directive, le règlement européen, adopté en 2016, est directement applicable dans l’ensemble de l’Union européenne sans nécessiter de transposition dans les différents Etats membres et ce à partir du 25 mai 2018. Il concerne toutes les entreprises utilisant des données personnelles.

Ainsi, à cette date, les responsables de traitement devront s’être mis en conformité avec le règlement sous peine de sanctions.

Principal changement : ce règlement marque le passage d’une logique de « formalités préalables » (déclarations, autorisations) à une logique de « conformité » dont les acteurs seront responsables sous le contrôle du régulateur (la CNIL en France). Ainsi, les responsables de traitements de données n’auront plus à effectuer de déclarations à la CNIL dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
Par contre, ils devront d’entrée mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles. Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »). Ils devront également être capables de démontrer cette conformité à tout moment.

Pour les traitements à risque, il faudra toutefois conduire une étude d’impact complète faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Cela concerne notamment les données sensibles qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi les données génétiques ou biométriques. En cas de risque élevé, il faudra consulter la CNIL avant de mettre en œuvre ce traitement, cette dernière pouvant décider de s’y opposer.

Ce règlement renforce par ailleurs les droits des personnes. En effet, chaque personne concernée par les traitements de données va avoir le droit à la mise à disposition d’une information claire, intelligible et aisément accessible et va devoir donner son accord pour le traitement des données. La preuve de ce consentement incombant au responsable de traitement.

Protection des données : mise en place des délégués à la protection des données

Le règlement européen instaure des délégués à la protection des données (DPD). Ce seront les successeurs des correspondants informatique et libertés (CIL) dont plus de 17 700 organismes sont d’ores et déjà dotés en France et dont la mise en place permet de se dispenser de certaines déclarations.

A la différence du CIL, dont la désignation est actuellement optionnelle, la désignation du DPD est obligatoire dans le secteur public et pour les responsables de traitement et les sous-traitants dont les activités principales les amènent :

  • à réaliser un suivi régulier et systématique des personnes à grande échelle ;
  • à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Pour les autres, leur désignation est facultative.

   
Il sera possible d’opter pour un délégué à la protection des données mutualisé ou externe.

Les DPD sont les garants de la conformité de matière de protection des données et auront un rôle renforcé par rapport aux CIL. Ils devront notamment ;

  • contrôler le respect de la réglementation en matière de protection des données ;
  • informer et conseiller le responsable de traitement, ses sous-traitants et leurs employés ;
  • coopérer avec la CNIL et d’être le point de contact de celle-ci.

Pour vous préparer dès à présent à la nouvelle règlementation européenne, la CNIL a élaboré un document en 6 étapes clés vous donnant notamment des conseils pour désigner un délégué à la protection des données, cartographier vos traitements de données, prioriser les actions et gérer les risques.

Vous voulez en savoir plus sur le rôle de la CNIL ? Les Editions Tissot vous conseillent leur documentation « Tissot Social Entreprise ».


Anne-Lise Castell

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Vous avez une question en droit du travail ? Notre service d'experts peut vous fournir une information réglementaire adaptée par téléphone.

Rendez-vous sur Tissot Assistance Juridique pour obtenir un complément d'information et souscrire à l'offre.