RGPD : J – 2 !

RGPD : J – 2 !

Le règlement européen sur la protection des données personnelles (RGPD) entre en vigueur le 25 mai prochain.

En parallèle, le projet de loi qui organise sa mise en œuvre sur le territoire français a été définitivement voté par l’Assemblée nationale le 14 mai.

Le texte intègre notamment la mise en place d’un contrôle a posteriori en lieu et place de l’actuel régime de déclaration des traitements de données.

Rappelons en effet que jusqu’à présent, les différents systèmes de traitement des données personnelles devaient être déclarés ou autorisées par la CNIL (système de gestion du personnel, de gestion de paie, de géolocalisation…).

Avec le RGPD applicable à compter du 25 mai 2018, ces formalités auprès de la CNIL vont quasiment toutes disparaître. La CNIL indique sur son site Internet que « Toutefois, les dispenses, normes simplifiées et autorisations uniques constitueront toujours des « bonnes pratiques ». Ces textes seront prochainement transformés par la CNIL en « référentiels » pour guider les professionnels dans leurs démarches de conformité. »

 

Les formalités CNIL seront notamment remplacées par une analyse d’impact sur la vie privée qui devra être réalisée préalablement à la mise en œuvre de tout traitement susceptible d’engendrer des risques élevés sur les droits et libertés des personnes concernées (article 35 du RGPD).

 

La CNIL précise que « généralement, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :

·      évaluation/scoring (y compris le profilage) ;

·      décision automatique avec effet légal ou similaire ;

·      surveillance systématique ;

·      collecte de données sensibles ;

·      collecte de données personnelles à large échelle ;

·      croisement de données ;

·      personnes vulnérables (patients, personnes âgées, enfants, etc.) ;

·      usage innovant (utilisation d’une nouvelle technologie) ;

·      exclusion du bénéfice d’un droit/contrat. »

Par exemple pour la CNIL : une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables, de sorte que la réalisation d’une étude d’impact sera nécessaire.

Le RGPD accroit également le nombre d’informations à communiquer aux salariés lorsque des données personnelles les concernant sont collectées.

De nombreux traitements RH sont susceptibles d’être concernés (gestion administrative des personnels, gestion des carrières et des mobilités, formation et évaluation des personnels…).

Ces nouvelles obligations sont lourdement sanctionnées (des amendes indemnitaires allant jusqu’à 20.000.000 euros ou 4% du chiffre d’affaires mondial de l’exercice précédent peuvent notamment être prononcées).

Nous nous tenons à votre disposition pour vous accompagner dans la mise en oeuvre de ces nouvelles dispositions.

http://www.assemblee-nationale.fr/15/ta/tap0113.pdf

https://www.cnil.fr/fr/reglement-europeen-protection-donnees