Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD) entrera en application le 25 mai prochain.
Directement applicable sans nécessiter de transposition comme tout Règlement de l’UE, le RGPD conduira à la modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi « informatique et libertés ») par le biais d’un projet de loi en cours d’examen par le Parlement.
Pour les employeurs, le RGPD maintient les obligations tenant :
– à la licéité du traitement qui doit sous réserve de certaines dérogations prévues par les textes, soit reposer sur le consentement, soit être nécessaire à l’exécution d’un contrat, ou au respect d’une obligation légale, ou à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ou aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
– au respect de la ou des finalités préalablement déterminées pour lesquelles les données sont recueillies ;
– à la limitation de la durée de conservation des données qui ne doit pas excéder celle qui est nécessaire au regard des finalités pour lesquelles elles sont traitées et doit être en tout état de cause, « limitée au strict minimum » ;
– à la mise en place de procédures visant à garantir l’effectivité des droits d’accès, d’opposition et de rectification dont bénéficient le salarié ou toute personne concernée par le traitement des données.
En outre, le RGPD vient renforcer des obligations déjà existantes, dans la mesure où :
– il instaure une obligation de transparence qui constitue une mutation de l’obligation d’information. En effet, la personne auprès de qui les données sont collectées doit se voir délivrer une information « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » ;
– il accroit l’obligation de sécurité puisque le responsable de traitement devra « garantir un niveau de sécurité adapté au risque » notamment par la mise en place de mesures techniques et organisationnelles, ce qui suppose en pratique, la réalisation en amont, d’un audit détaillé de l’infrastructure et la configuration du réseau et des postes, et de tous les périphériques en réseau (imprimantes partagées, serveurs NAS, etc.) ;
– il transforme l’obligation de proportionnalité (adéquation de la collecte des données à la finalité poursuivie) en un principe de minimisation : le responsable de traitement doit collecter et traiter uniquement les données strictement nécessaires au traitement.
Par exemple, lors de la phase de recrutement d’un salarié, les données collectées devront être limitées à celles strictement nécessaires à l’évaluation des capacités du candidat à occuper le poste proposé. Dans ces conditions, seules les données relatives à la qualification et à l’expérience du candidat pourront être collectées (ex : formations et diplômes, emplois précédemment occupés,…).
Par conséquent, les formulaires de candidature ne peuvent imposer la divulgation de données à caractère personnel qui révèle la situation familiale, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale du candidat. De même, ne pourront être collectées par l’employeur les données génétiques ou biométriques aux fins d’identifier une personne physique de manière unique, celles concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle du candidat.
– il raccourcit le délai entre la demande d’accès aux données à caractère personnel formulée par l’intéressé et la réponse faite par le responsable de traitement, celui-ci passant de deux à un mois.
Par ailleurs, le RGPD crée de nouvelles obligations à la charge des employeurs, à savoir :
– des obligations de notification de violation des données présentant un « risque pour les droits et libertés des personnes physiques » à la CNIL dans un délai de 72 heures et lorsque ce risque est « élevé », à la personne concernée ;
– l’obligation d’établir un registre des traitements puisqu’en cas de contrôle, le responsable de traitement doit pouvoir démontrer qu’il a documenté ses traitements et tout événement impactant ceux-ci. Le registre devra préciser les finalités, les catégories de données, les destinataires, les durées de conservation, les mesures de sécurité mises en place, les éventuels transferts dans un pays tiers, etc. ;
– l’obligation des sous-traitants de justifier de garanties suffisantes et de disposer d’un registre des traitements, ce dont les entreprises utilisatrices doivent s’assurer ;
– l’obligation de mener une étude d’impact en cas de « risques élevés » pour la vie privée des personnes concernées ;
– l’obligation de désigner un délégué à la protection des données (ou data protection officer [DPO]) qui succède au correspondant informatique et libertés (CIL), pour les organismes publics, les entreprises qui traitent des données sensibles à grande échelle et les entreprises qui font du profilage. Pour les autres entreprises, cette désignation est facultative. Doté de missions plus étendues et différentes de celles du CIL, le DPO a surtout une mission de contrôle et de conseil de l’entreprise dans ses activités de traitement de données.
Parallèlement, le RGPD crée de nouveaux droits aux profits des personnes concernées tels que :
– un droit à la limitation du traitement. Lorsque le traitement est mis en œuvre, la personne concernée peut demander, par exemple, qu’il soit suspendu notamment lorsqu’il existe un doute ou une contestation quant à l’exactitude des données ;
– un droit à la portabilité des données à caractère personnel traitées de manière automatisée consistant en une possibilité pour l’intéressé, de demander à ce que les données qu’il a fournies lui soient transmises ou qu’elles soient communiquées à un autre responsable de traitement.
Enfin, le RGPD augmente considérablement les sanctions en cas de non-respect des obligations, le plafond des amendes étant porté, selon les types de manquement, à 10 millions ou pour les entreprise, à 2% du chiffre d’affaires mondial, et 20 millions d’euros ou pour les entreprise, à 4 % du chiffre d’affaires mondial, le montant retenu étant la somme la plus élevée.