Obligations de l’employeur face aux données des salariés

Avant l’arrivée du Règlement Général pour la Protection des Données – (RGPD) en 2018, l’employeur était obligé de procéder par déclaration auprès de la Cnil qui pouvait le cas échéant l’accompagner dans les prérogatives du traitement des données. La déclaration préalable auprès de la Cnil permettait un certain garde-fou en matière de responsabilité de l’employeur.

 

RGPD et nouvelles obligations pour l’employeur

Depuis, l’entrée en vigueur du RGPD, l’employeur devient de facto responsable des données de ses collaborateurs ou utilisateurs/clients. La Cnil, qui reste l’autorité de contrôle nationale en la matière ne procédera à des contrôle qu’a posteriori et ne sera plus contrainte d’accompagner en théorie, le dirigeant dans le cadre de la déclaration préalable.

Cette dernière pourra directement contrôler l’entreprise en violation du RGPD et la mettre en demeure de se conformer aux règles applicables.

Afin de ne pas être tenu pour responsable, l’employeur doit s’assurer du respect de plusieurs règles :

 

Les différentes sanctions des manquements au RGPD

L’éventail des sanctions est très large et va du simple rappel à la loi à une amande équivalente à 4% du CA annuel mondial total de l’exercice précédent sans pouvoir excéder 20 millions d’euros. A noter que le le montant le plus élevé étant retenu entre les deux – (  art.83 du RGPD).

D’autres sanctions peuvent être moins graves et moins sévères : l’ amende peut s’élever jusqu’à 10 000 000 d’euros ou, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu également. Dans ces hypothèses, les violations sont moins importantes, il s’agit notamment des violations :

  • incombant au responsable du traitement et au sous-traitant lorsqu’il y en a un ;
  • les obligations incombant à l’organisme de certification ;
  • les obligations incombant à l’organisme chargé du suivi des codes de conduite.

Enfin, la Cnil peut décider de rendre public la sanction délivrée et ainsi porter atteinte à la réputation de l’entreprise visée.

Bon à savoir : Chaque sanction doit être dans chaque cas, effective, proportionnée et dissuasive et doit prendre en compte toute une série de facteurs tels que : la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ; le fait que la violation a été commise délibérément ou par négligence ; les mesures mises en place pour atténuer le manquement….

 

Les principes du RGPD appliqués à l’employeur

Le RGPD impose à l’employeur plusieurs obligations mais qui reposent in fine sur 3 interrogations :

 

Bon à savoir : L’ article    25 du RGPD pose deux principes, qui sont la protection des données dès la conception et protection des données par défaut, limitant ainsi le champ des excuses possible pour l’employeur. On déduit de cet article que la vie privée doit être consacrée dès le début de l’activité de l’entreprise.

 

 

Fascicule mis à jour le 29 juin 2020.

Tous droits réservés.

-

Maitre Data