RGPD

Sur cette page:

    Nouveauté ?

    De la prévention à la répression

    L’entrée en vigueur du RGPD a placé le thème de la protection de la vie privée en bonne place à l’ordre du jour. Cela s’explique évidemment par les amendes élevées qui peuvent être infligées en cas de violation du règlement. Pour les infractions les plus graves, l’autorité de contrôle compétente peut infliger des amendes administra- tives allant jusqu’à 20 millions d’euros ou, pour une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

    Ces amendes élevées s’inscrivent dans un changement de paradigme général qui a été annoncé par le RGPD d’un cadre préventif vers un cadre répressif. En vertu de l’ancienne Directive, tout traitement (automatisé) de données à caractère personnel devait être notifié à l’avance à l’autorité de contrôle. L’autorité tenait un registre public de traitement. Dans le cadre du RGPD, cette logique a été inversée : les sous-traitants de données à caractère personnel tiennent eux-mêmes un registre de traitement, qui n’est pas public. Ils doivent pouvoir justifier la licéité du traitement, mais il n’y a pas d’obliga- tion de notification. Le risque d’amendes élevées devrait décourager ceux qui traitent des données personnelles de violer la réglementation.
     

    Les principes de base demeurent inchangés

    Les principes de base pour un traitement correct des données inclus à l’article 5 du RGPD restent pratiquement inchangés par rapport à ceux énoncés dans la Convention 108 et la Directive 95/46/CE. Les principes de cet article constituent l’épine dorsale et le cœur du règlement :

    Article 5

    1. Les données à caractère personnel doivent être :
      1. traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
      2. collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
      3. adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
      4. exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
      5. conservées sous une forme permettant l’identification des personnes concer- nées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère person- nel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins sta- tistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
      6. traitées de façon à garantir une sécurité appropriée des données à carac- tère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
    2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celuici est respecté (responsabilité).


    Autres nouveautés

    Néanmoins, le RGPD a introduit quelques innovations plus importantes et moins importantes :

    • La définition du « consentement » comme motif de traitement licite des données a été renforcée. Désormais, il est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair (NOUVEAU), que des données à caractère per- sonnel la concernant fassent l’objet d’un traitement ».
    • Deux nouveaux types de données ont été ajoutés et bénéficient d’une protection spé- ciale : les données biométriques et génétiques.
    • Le droit à la portabilité des données a été introduit. Cela implique le droit pour toute personne concernée d’obtenir les données à caractère personnel la concernant, qu’elle a fournies à un responsable du traitement, dans un format structuré, couram- ment utilisé et lisible par machine et le droit de transférer ces données à un autre responsable du traitement.
    • Le droit à une copie des données à caractère personnel traitées.
    • Le droit pour la personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
    • La préparation obligatoire d’une AIPD (analyse d’impact relative à la protection des données) lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physique.
    • Pour les traitements de données à une certaine échelle ou lorsque des données à caractère personnel sensibles sont traitées, la désignation obligatoire d’un délégué à la protection des données (« DPO »).
    • Sur la base du RGPD, les sous-traitants, et pas seulement les responsables du traite- ment, peuvent aussi être tenus pour responsables d’un traitement incorrect s’ils n’ont pas respecté les obligations prévues par le règlement qui incombent spécifiquement aux sous-traitants ou qu’ils ont agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
    • Une notification obligatoire d’une violation de données à caractère personnel (par exemple, une fuite de données) à l’autorité de contrôle dans les 72 heures, dans la mesure où la violation présente un risque pour les droits et libertés des personnes physiques.
    • Introduction des principes de protection des données dès la conception (« by design ») et par défaut (« by default »).

     

    Licéité, loyauté et transparence

    Licéité

    Comme première condition, tout traitement doit avoir une base légale. Selon le RGPD, cela peut être trouvé dans l’une des causes suivantes (art. 6):

    1. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
    2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
    3. le traitement est nécessaire au respect d’une obligation légale à laquelle le respon- sable du traitement est soumis ;
    4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concer- née ou d’une autre personne physique ;
    5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
    6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le respon- sable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

    Exemples

    • L’autorité espagnole de protection des données (ci-après: APD) a infligé une amende à un employeur qui avait licencié un employé sur la base d›images vidéo de cet employé obtenues illégalement.
    • La même APD a infligé une amende à un syndicat qui partageait ses données personnelles avec 400 membres du syndicat sans le consentement de la per- sonne concernée.
    • Un employé hongrois avait fait part de ses préoccupations au sujet d’abus dans son entreprise auprès de l’autorité locale. L’employeur en avait entendu parler et lorsqu’il s’est renseigné auprès de la même autorité, cette dernière a informé l’employeur du nom du dénonciateur. Naturellement, l’autorité n’avait aucune raison licite pour cela.

    Données sensibles

    Le traitement de certaines catégories particulières de données à caractère personnel (données sensibles) est en principe interdit:

    Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

    Ce n’est que dans un nombre limité de cas énumérés dans le RGPD que l’utilisation de ces données peut être justifiée.

    Exemple

    L’APD chypriote a infligé une amende à une entreprise pour utilisation injus- tifiée des données sur la santé des travailleurs. L’entreprise a évalué la durée et la fréquence des absences pour cause de maladie à l’aide dudit « facteur Bradford ». Selon cette théorie de gestion, de courtes absences fréquentes perturberaient l’organisation du travail plus que des absences plus longues moins fréquentes. Le profilage des travailleurs en fonction de la durée et de la fréquence de leur maladie a été considéré comme disproportionné par l’APD compétente.
     

    Consentement dans les relations de travail

    Le consentement n’est pas une base juridique évidente dans la relation entre l’em- ployeur et le travailleur. Après tout, l’employeur doit être en mesure de démontrer que le consentement était entièrement volontaire. Cela n’est pas évident étant donné le déséquilibre des pouvoirs inhérent à cette relation. Après tout, le considérant 43 du RGPD déclare que:

    (43)

    Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en parti- culier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les cir- constances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

    Le Groupe Traitement des Données article 29 (aujourd’hui « EDPB », le régulateur euro- péen de la vie privée) l’exprime comme suit (Avis 2/2017):

    « Les employés sont très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement, étant donné la dépendance qui découle de la relation employeur/employé. Compte tenu du déséquilibre de pouvoir, les employés ne peuvent donner leur libre consentement que dans des circonstances exceptionnelles, dans lesquelles l’acceptation ou le rejet d’une proposition n’a aucune conséquence »

    Les employeurs devront donc dans presque tous les cas rechercher une base juridique autre que le consentement. Ce n’est que lorsque le consentement est donné par concer- tation collective/convention collective de travail que les relations de pouvoir sont équilibrées et le consentement peut-elle être valablement donné.
     

    Transparence

    Le traitement des données à caractère personnel n’est autorisé que s’il est communiqué de manière transparente. La collecte de données secrètes n’est jamais autorisée.

    La transparence concerne différentes facettes du traitement. Ces informations seront souvent incluses dans une déclaration de confidentialité :

    1. l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
    2. le cas échéant, les coordonnées du délégué à la protection des données;
    3. les finalités du traitement auquel sont destinées les données à caractère personnel, ainsi que la base juridique du traitement ;
    4. lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
    5. les destinataires ou les catégories de destinataires des données à caractère person- nel, s’ils existent ;
    6. le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
    7. la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
    8. l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
    9. lorsque le traitement est fondé sur le consentement, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
    10. le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
    11. des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
    12. l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

    Exemple

    Aussi bien l’APD française que grecque a déjà infligé des amendes aux employeurs qui ont installé une surveillance par caméra sur le lieu de travail de manière secrète ou insuffisamment transparente.
     

    Limitation des finalités

    La limitation des finalités est un élément essentiel d’un traitement correct des données. Le traitement n’est valable que si la finalité est explicitement établie et justifiée au moment où les données à caractère personnel sont collectées. Les données ne peuvent être utilisées qu’à cette fin. La réutilisation à d’autres fins pour lesquelles elles n’ont pas été collectées n’est pas autorisée.

    Exemple

    Un employeur qui utilise un système de badges comme contrôle d’accès à l’entreprise, ne peut pas utiliser les données d’entrée et de sortie pour vérifier le temps de travail.
     

    Minimisation des données

    Seule la quantité de données strictement nécessaire pour atteindre l’objectif du traitement peut être traitée.

    Exemples

    • L’APD roumaine a condamné un employeur qui avait placé des caméras dans les vestiaires des employés sur la base de la violation du principe de minimisa- tion des données.
    • L’APD espagnole a condamné un employeur qui utilisait des caméras destinées à lutter contre le vol pour surveiller ses employés à d’autres fins.
       

    Exactitude

    Les données traitées doivent être exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour effacer ou rectifier rapidement toute donnée à caractère personnel inexacte.
     

    Limitation de la conservation

    Les données ne peuvent être conservées que le temps nécessaire aux fins pour les- quelles elles sont collectées. Ensuite, elles doivent être supprimées.

    Exemples

    • Une entreprise allemande a été condamnée à une forte amende pour conser- vation inutilement longue des données collectées auprès de candidats dans le cadre d’une procédure de recrutement.
    • En Hongrie, une entreprise a été condamnée à une amende pour ne pas avoir supprimé les courriels personnels d’un ancien employé.

    Intégrité et confidentialité

    Ce principe signifie que le sous-traitant ou le responsable du traitement traite les données à caractère personnel de manière à garantir leur sécurité et qu’elles soient protégées, entre autres, contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle. Le sous-traitant ou le responsable du traitement devra prendre les mesures techniques ou organisationnelles appropriées pour ce faire.

    Exemples

    • Un travailleur espagnol qui s’est plaint d’un cas de harcèlement au travail dans une lettre à la direction de l’hôtel et à la délégation syndicale s’est adressé à l’APD nationale parce que la direction et la délégation syndicale ont violé leur devoir de confidentialité en lisant la lettre lors d’une réunion avec d’autres travailleur.
    • Toujours en Espagne, une entreprise a été condamnée à une amende pour vio- lation de la confidentialité en remettant une fiche de paie au mauvais employé.
    • Une autorité de sécurité sociale néerlandaise a été condamnée à une amende pour avoir enfreint le principe d’intégrité et de confidentialité pour ne pas avoir correctement sécurisé les données sensibles des employés (informations médicales). Selon l’APD néerlandaise, ces données sensibles nécessitaient une authentification multi-facteur (type « Itsme »).
    Choisissez votre secrétariat
    Choisissez un secrétariat CGSLB près de chez vous :
    Ou trouver votre secrétariat en utilisant la carte