RGPD et Droit Social
Le RGPD vise à prendre des mesures permettant de protéger les personnes à l’égard du traitement des données à caractère personnel ainsi que des règles relatives à la liberté de circulation des données à caractère personnel.
Les données à caractère personnel font référence aux informations suivantes :
- nom, prénom ;
- numéro d’identification ;
- numéro de sécurité sociale ;
- données de localisation ;
- identifiant en ligne…
Cela est énuméré par l’article 4 du règlement du Parlement européen n°2016/679.
Les adresses IP sont également considérées comme étant des données personnelles – (Cass. 1ère civile 3 novembre 2016 n°15-22.595).
Les acteurs concernés par le RGPD
Ce dispositif concerne tant les organisations publiques que privées qu’importe leur taille. Le RGPD s’applique à toute organisation traitant des données personnelles dès lors que l’activité cible de manière directe les résidents européens et qu’elle est établie au sein du territoire de l’UE.
Les sous-traitants sont également concernés par le RGPD car ces derniers manipulent des données personnelles pour le compte d’autres organismes tels que les entreprises donneuses d’ordres.
Les sous-traitants doivent aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.
Mise en conformité avec le RGPD
Conformément à l’article 5.1 du Règlement du Parlement européen les données à caractère personnel doivent être :
- licite ;
- loyale ;
- transparente à l’égard des personnes concernées.
De plus, ces données doivent être :
- collectées pour des finalités déterminées, explicites et légitimes ;
- adéquates, pertinentes et limités ;
- exactes et actualisées ;
- conservées sous une forme permettant l’identification des personnes ;
- traitées de façon à garantir une sécurité appropriée des données.
Afin de se conformer aux règles, plusieurs actions doivent être mises en place:
- la désignation d’un délégué de protection des données article 37 ;
- le recensement des fichiers ;
- la récupération des traitements à risques ;
- le respect du droit des personnes – article 40 ;
- la sécurisation des données – article 32 ;
- l’assurance que le prestataire se conforme aux dispositifs du RGPD.
Contrôle de l’autorité
La CNIL peut procéder :
- au contrôle en ligne conformément à l’article 33 du décret n°2019-536 du 29 mai 2019 ;
- ou encore via une audition sur convocation selon l’article 34 du décret.
Les sanctions prévues en cas de transgression
Les responsables de traitement ainsi que les sous-traitants peuvent être sujets à des sanctions administratives en cas de méconnaissance des dispositions prévues par le Règlement.
Les sanctions peuvent être graduelles, elles s’évaluent en fonction du degré de gravité, la plus faible sanction est l’avertissement tandis que la plus sévère est la sanction administrative.
Bon à savoir : L’article 83 du Règlement fixe les conditions générales permettant à la CNIL d’imposer des sanctions administratives aux organismes transgressant les dispositions du RGPD.
Il est prévu au présent article que le non-respect d’une injonction émise par l’autorité de contrôle (CNIL en France) est passible d’une amende administrative de 20 millions d’euros ou s’il s’agit d’une entreprise la sanction s’élève jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé retenu.
Fascicule mis à jour le 23 juillet 2019.
Tous droits réservés.
ATTENTION ! Cet article est un extrait.
Abonnez-vous pour accéder à l'intégralité du contenu.