On parle souvent du RGPD et de la protection de nos données personnelles par les entreprises dont nous sommes clients, des organisations avec lesquelles nous entrons en interaction au quotidien mais rarement des données personnelles collectées par notre entreprise. Pourtant, la collecte des données par l’employeur ne fait pas exception à l’obligation de se conformer au RGPD.
Test de titre H2 relativement long ou plus ou moins mais quand même long
Les exigences en matière de protection des données peuvent être résumées en évoquant les grands principes du RGPD, notamment l’article 5 du RGPD dans notre cas, auxquels doit se conformer toute entreprise qui souhaite collecter des données personnelles :
Les données personnelles doivent être traitées de manière licite, loyale et transparente :
- Un traitement de données doit correspondre à une base légale permettant de rendre légitime l’utilisation des données, ex. consentement, loi, contrat… (licéité)
- Le traitement des données doit être effectué selon ce qui a été décrit aux personnes concernées (loyauté)
- La personne concernée doit être informée sur le traitement de ses données (transparence)
- Le traitement des données doit se faire dans un but précis (limitation des finalités)
- Seules les données nécessaires pour atteindre cet objectif doivent être traitées (minimisation des données)
- Les données ne peuvent en principe être conservées au-delà de la durée nécessaire pour atteindre la finalité (limitation de la conservation)
- Les mesures nécessaires doivent être mises en place pour garantir la sécurité et la confidentialité des données et donc pour les protéger contre toute perte, traitement non autorisé ou illicite des données ou encore destruction (intégrité et confidentialité)
Les experts DLD ont rédigé un dossier sur les données personnelles pour en apprendre plus.
Test de titre H3 relativement long ou plus ou moins mais quand même long
L’entreprise (employeur) est tenu(e) de documenter la conformité (Accountability) et de mettre en place des procédures adaptées pour assurer le respect de ces exigences, telles que le registre des traitements, le processus pour la gestion des exercices des droits des personnes…
L’employeur doit non seulement garantir que les données de ses salariés sont bien protégées, il doit également sensibiliser ces derniers aux règles de protection des données. Ceux-ci doivent en effet tenir compte dans le cadre de leurs missions de ces obligations et ne collecter que les données nécessaires à la finalité définie.
Test de titre H4 normalement long mais un peu long quand même car c’est long
Selon l’article 32, tout organisme doit mettre en place des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données. Ces mesures doivent notamment permettre de suivre les flux des données et de détecter les failles de sécurité. A titre d’exemple, les données les plus sensibles doivent être isolées, voire séparées des autres données afin d’empêcher l’accès en cas d’attaques. Dès la détection d’une fuite de données, l’entreprise doit prendre toutes les mesures nécessaires pour limiter les risques. Il lui revient également de rassembler les preuves sur cette fuite si elle souhaite porter plainte.
L’entreprise doit notifier la CNIL dans les meilleurs délais et si possible dans un délai de 72h, à moins que la violation ne soit pas susceptible d’engendrer un risque (article 33 du RGPD). L’entreprise doit également notifier les personnes concernées dans le cas où le risque est élevé (article 34 du RGPD). La violation des données doit être documentée en interne en indiquant les faits, les conséquences de la violation ainsi que les mesures prises pour limiter les risques.
Titre H2 très grand super ultra grand tellement qu’il est grand
Le salarié a le droit de demander la suppression de ses données dans certains cas spécifiques prévus par le RGPD tels que lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités : si la personne concernée retire le consentement sur lequel est fondé le traitement, si la personne concernée s’oppose au traitement et qu’il n’existe pas de motif légitime impérieux pour le traitement, si les données à caractère personnel ont fait l’objet d’un traitement illicite… (article 17 du RGPD).
Le droit à la portabilité ne concerne que les données traitées de manière automatisée et lorsque la base du traitement est le consentement ou l’exécution du contrat (article 20 du RGPD).
Selon le RGPD, toute personne peut demander à un organisme d’accéder aux données la concernant (article 15 du RGPD). Ainsi, le salarié peut s’adresser au service concerné et demander d’accéder aux données de son dossier professionnel.
Test de titre H3 plus grand que celui du dessus, mais genre vraiment très très grand
Il est possible, pour un salarié, de vérifier le respect des exigences sur les données personnelles par l’employeur :
- en consultant les mentions d’information décrivant les conditions dans lesquelles les données personnelles sont traitées : politique de confidentialité, PSSI de l’entreprise…
- en s’assurant que tel ou tel traitement est bien inscrit dans le registre des traitements
- ou encore en exerçant les droits conférés aux personnes concernées, c’est-à-dire en demandant à l’employeur (responsable de traitement) de justifier des mesures de sécurité prises en application notamment de l’article 32 du RGPD. C’est une des manifestations de l’importance qu’a pris le principe d’accountability dans la gestion des données au sein des entreprises.
