Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs

source: CNIL.FR

 

Dans le contexte de crise sanitaire liée au coronavirus, particulièrement dans la perspective d’une phase de « déconfinement », particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus et d’assurer en toute sécurité la reprise de l’activité, ainsi que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. La CNIL rappelle certains principes.

 

cnil_logo-large

 

Sommaire

La CNIL reçoit de nombreuses sollicitations de la part des professionnels et des particuliers sur les possibilités de collecter, en dehors de toute prise en charge médicale, des données concernant des employés, agents ou visiteurs afin de déterminer si des personnes présentent des symptômes du COVID-19, ou des données relatives à des déplacements et évènements pouvant relever de la sphère privée.

L’obligation de sécurité

L’obligation de sécurité des employeurs

Les employeurs sont responsables de la santé et de la sécurité de leurs employés/agents conformément au Code du travail et aux textes régissant la fonction publique (particulièrement les articles L. 4121-1 et R. 4422-1 du Code du travail ou le décret n°82-453 du 28 mai 1982 modifié).

À ce titre, il leur appartient de mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail.

La CNIL invite à cet égard les employeurs à consulter régulièrement les informations mises en ligne par le ministère du Travail (direction générale du travail – DGT), afin de connaître leurs obligations en cette période de crise. Les employeurs ont en effet, conformément au RGPD, le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales.

Dans ce contexte, l’employeur est notamment légitime :

  • à rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
  • à faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
  • à favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

L’obligation de sécurité des employés/agents

Pour sa part, chaque employé/agent doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle (article L.4122-1 du Code du travail).

En temps normal lorsqu’un employé est malade, il ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise. Cependant, dans un contexte de pandémie telle que celle du COVID-19, un employé qui travaille au contact d’autres personnes (collègues et public) doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus.

En revanche, un employé qui serait par exemple placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur. En effet, en l’absence de mise en danger d’autres personnes, les évènements en lien avec une éventuelle exposition, particulièrement un arrêt de travail qui en découlerait, devront être traités conformément à la procédure normale des arrêts de travail.

Le traitement par les employeurs de ces signalements

Les employeurs ne sauraient ainsi traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles, c’est-à-dire nécessaires pour prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.

C’est pourquoi seuls peuvent être traités par l’employeur les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises.

En cas de besoin, l’employeur sera en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée. En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.

Rappel sur les traitements de données relatives à la santé et le champ d’application du RGPD

S’il appartient à chacun de mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et des réunions ou encore le respect des mesures d’hygiène et des « gestes barrières », les employeurs ne sauraient prendre de mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public. Ce principe est également rappelé par l’article L. 1121-1 du Code du travail qui dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

En raison du caractère sensible qu’elles revêtent, les données relatives à l’état de santé d’une personne font en effet l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement.

Pour pouvoir être traitées, leur utilisation doit nécessairement s’inscrire dans l’une des exceptions prévues par le RGPD, garantissant ainsi l’équilibre entre la volonté d’assurer la sécurité des personnes, et le respect de leurs droits et libertés fondamentales. De plus, leur sensibilité justifie qu’elles soient traitées dans des conditions très fortes de sécurité et de confidentialité et uniquement par ceux qui sont habilités à le faire.

Les exceptions mobilisables dans le contexte du travail sont limitées et peuvent globalement relever soit de :

  • la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés ;
  • la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.

Pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence et qui sont au cœur de la gestion de la crise sanitaire. Ils ne peuvent eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19.

C’est dans cet esprit qu’une ordonnance « adaptant les conditions d’exercice des missions des services de santé au travail à l’urgence sanitaire et modifiant le régime des demandes préalables d’autorisation d’activité partielle », a été prise en Conseil des ministres le 1er avril 2020 en application de l’article 11 de la loi du 23 mars 2020 d’urgence pour faire face à l’épidémie de COVID-19, et publiée au Journal officiel le 2 avril 2020.

La CNIL rappelle par ailleurs que la règlementation sur les traitements de données ne s’applique qu’aux traitements automatisés (notamment informatiques) ou aux traitements non automatisés qui permettent de constituer des fichiers. Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations, etc.), ne relève pas de la règlementation en matière de protection des données.

Le point sur certaines pratiques

Quel que soit le dispositif utilisé ou le traitement de données mis en œuvre, la CNIL rappelle l’importance d’assurer une parfaite transparence à l’égard des personnes concernées. L’information des personnescomme le dialogue social, au-delà d’être une obligation résultant tant de la législation du travail que des textes relatifs à la protection des données, est une composante essentielle de la gestion de la crise sanitaire et participe à rassurer les personnes concernées.

La CNIL propose des exemples de mentions d’information sur son site web.

Les relevés de température à l’entrée des locaux

En l’état du droit, et sauf à ce qu’un texte en prévoit expressément la possibilité, il est interdit aux employeurs de constituer des fichiers conservant des données de températures de leurs salariés. Il leur est de même interdit de mettre en place des outils de captation automatique de température (telles que des caméras thermiques). Les prises manuelles de température à l’entrée d’un site et sans constitution d’un fichier ni remontée d’information ne sont en revanche pas soumises à la règlementation sur la protection des données personnelles. La CNIL renvoie sur ce point aux recommandations de la direction générale du travail.

 

Dans une démarche de prévention des contaminations visant à écarter du milieu de travail des employés qui auraient de la fièvre, certains employeurs souhaitent mettre en place un contrôle systématique de la température des employés et visiteurs à l’entrée de leurs locaux.

Bien qu’il n’appartienne pas à la CNIL d’apprécier la légalité au regard du droit social de ce qu’un employeur peut imposer à ses employés ni de ce qui relève d’une éventuelle discrimination, elle relève que l’efficacité et l’opportunité de la prise de température est contestée dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection. Elle constate à cet égard que le Haut Conseil de la Santé Publique recommande de ne pas mettre en place un dépistage du COVID-19 par prise de température dans la population.

La CNIL rappelle que, lorsqu’elle fait l’objet d’un traitement, la température corporelle d’un individu constitue une donnée sensible relative à sa santé, justifiant qu’elle fasse l’objet d’une protection particulière.

En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs :

  • les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier ;
  • les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques.

Comme indiqué ci-dessus, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, ou des remontées d’informations internes ou externes, etc.), ne relève pas de la règlementation en matière de protection des données. La CNIL renvoie sur ce point aux instructions données par la DGT, qui déconseille ces vérifications, lesquelles doivent être réservées à des cas particuliers.

La CNIL rappelle en tout état de cause, qu’en cas de suspicion d’infection, la personne concernée doit se mettre en rapport avec un professionnel de santé (services de santé au travail, médecin traitant, services d’urgence…), seul en mesure d’apprécier la capacité d’une personne à travailler ou de décider de sa prise en charge.

La réalisation de tests sérologiques et de questionnaires sur l’état de santé

Certains employeurs expriment le souhait, dans une logique de protection de leurs employés ou agents, de pouvoir apprécier leur exposition au virus ou leur état de santé au moment de la reprise du travail. La CNIL relève tout d’abord que selon la direction générale du travail, « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

La CNIL rappelle que seuls les personnels de santé compétents (notamment la médecine du travail) peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des employés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements.

Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information, sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint.

Les plans de continuité de l’activité ou « PCA »

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » qui a pour objectif de maintenir l’activité essentielle de l’organisation en période de crise. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service. Il est alors possible de créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif.

La CNIL rappelle que l’employeur doit veiller à assurer en toute hypothèse la sécurité et la confidentialité des données qu’il traite : tel est par exemple le cas, lors de l’envoi des justificatifs de déplacement professionnel qui contiennent des données personnelles et ne doivent être communiquées qu’aux seules personnes individuellement concernées.

Les demandes et recommandations des autorités sanitaires

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation, dans les limites de leurs compétences respectives. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Données personnelles des salariés

source: CNIL

cnil_logo-large

Dans le cadre de la gestion du recrutement, de la paie ou des carrières, employeurs et recruteurs ont fréquemment recours aux moyens informatiques. Ces outils contiennent de nombreuses informations concernant les candidats ou les salariés. Quelles informations peuvent être utilisées ? Dans quel cadre les utiliser ? Combien de temps les conserver ? Quel type de traitement est interdit ? Qui y a accès ? Quel droit pour les candidats et salariés ? Quels recours ont-ils ?

Quelles informations ? Pour quoi faire ?

Dans le cadre d’un recrutement, les données collectées ne doivent servir qu’à évaluer la capacité du candidat à occuper l’emploi proposé (qualification, expérience, etc.). Il est interdit de demander à un candidat à un emploi son numéro de sécurité sociale. Il est également interdit de collecter des informations sur ses parents, sa fratrie, ses opinions politiques ou son appartenance syndicale.

À l’embauche du candidat, l’employeur pourra collecter des informations complémentaires. Outre celles nécessaires au respect d’une obligation légale (exemple : déclarations sociales obligatoires),  l’employeur peut collecter des informations utiles :

  •  à la gestion administrative du personnel (par exemple, type de permis de conduire détenu ou coordonnées de personnes à prévenir en cas d’urgence),
  •  à l’organisation du travail (par exemple, photographie facultative de l’employé pour les annuaires internes et organigrammes),
  •  à l’action sociale prise en charge par l’employeur (par exemple, les informations concernant les ayants- droit de l’employé).

Les « zones commentaires » qui enregistrent des appréciations d’un employeur sur ses employés ne doivent comporter que des éléments pertinents et non excessifs. Les employés ont le droit d’y accéder.

Qui peut avoir accès aux données ?

Un accès limité

Seules les personnes intervenant dans le processus de recrutement peuvent accéder aux informations d’un can- didat. Outre les administrations informées de l’embauche (exemple :  assurance  chômage,  maladie,  retraite,  mutuelle…), seules les personnes  chargées  de la gestion  du personnel peuvent consulter les informations des employés. Les supérieurs hiérarchiques peuvent accéder aux informations nécessaires à l’exercice de leurs fonctions (exemple : données d’évaluations, rémunération…).

L’employeur ne peut révéler les coordonnées personnelles d’un employé que si la loi ou une décision de justice le prévoit (ex. : médecin contrôleur de la sécurité sociale, huissier disposant d’un titre exécutoire…).

 

Les délégués du personnel ont accès aux données figurant dans le registre unique du personnel (nom, nationalité, fonction occupée, date d’entrée dans l’organisme, etc.). Les autres instances (Comité d’entreprise, délégués syndicaux) peuvent obtenir certaines informations pour exercer leurs missions. Par exemple, l’employeur peut transmettre au Comité d’entreprise (CE), après information des employés, des données sur ceux qui ne s’y sont pas opposés. Ces in- formations permettront au CE de proposer  des activités et des prestations adaptées.

Les organisations syndicales peuvent, après accord avec l’employeur, adresser aux employés des messages d’information syndicale par courrier électronique. Les employés peuvent s’y opposer à tout moment.

Un accès contrôlé

L’employeur doit assurer la sécurité des informations et garantir que seules les personnes habilitées en prennent connaissance. Les actions sur les données effectuées par les personnes habilitées doivent  être enregistrées (savoir qui se connecte à quoi, quand et pour faire quoi).

Quelles garanties pour la vie privée ?

Le droit d’être informé

L’employeur doit informer les instances  représentatives du personnel avant d’utiliser des techniques d’aide au recrutement ou des fichiers de  gestion du  personnel. Candidats comme employés doivent être informés :

  •  de l’identité du responsable du fichier (cabinet de recrutement ou service des ressources humaines),
  •  de l’objectif poursuivi (gestion des candidatures ou gestion du personnel),
  •  de la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur),
  •  du caractère obligatoire ou facultatif des réponses ainsi que des conséquences à leur égard d’un défaut de réponse,
  • des destinataires des informations (autres cabinets de recrutements, par exemple),
  •  de la durée de conservation des données,
  •  des conditions d’exercice de leurs droits d’opposition (pour motif légitime), d’accès et de rectification,
  •  de la possibilité d’introduire une réclamation auprès de la CNIL.

Aucune information concernant un employé ne peut être collectée par un dispositif qui n’a pas été préalablement porté à sa connaissance.

Le droit d’accès d’un candidat à un emploi et d’un employé

Sur simple demande et sans avoir à la motiver, un candi- dat ou un employé peut obtenir une copie des données qui le concernent (recrutement, historique de carrière, rémunération, évaluation des compétences, dossier disciplinaire…).

Les valeurs de classement annuel ou de potentiel de carrière sont communicables lorsqu’elles ont servi à prendre une décision. L’employeur n’est pas tenu de les communiquer lorsqu’elles sont encore prévisionnelles.

Une durée de conservation limitée

En cas d’issue négative à une candidature, le recruteur devra informer le candidat qu’il souhaite conserver son dossier, afin de lui laisser la possibilité d’en demander la destruction.

Si un candidat ne demande pas la destruction de son dos- sier, les données sont automatiquement détruites 2 ans après le dernier contact. Seul l’accord formel du candidat permet une conservation plus longue.

Les données relatives à un employé sont conservées le temps de sa présence dans l’organisme.

Une fois l’employé parti, certaines informations doivent être conservées par l’employeur sur un support d’archive (par exemple, 5 ans après le départ du salarié pour les bulletins de paie).

Quelle formalité ?

Si l’employeur a désigné un Délégué à la protection des données (DPO), il doit être associé à la mise en oeuvre de tous ces fichiers.

Les différents fichiers de recrutement ou de gestion du personnel doivent  être inscrits au registre des activités de traitement tenu par l’employeur.

Quels recours ?

En cas de difficulté, vous pouvez saisir :

  • le service des plaintes de la CNIL, en cas de difficultés pour accéder à votre dossier personnel, de collecte excessive ou de défaut de sécurisation des données,
  • les services de l’inspection du Travail.
  • le procureur de la République

Les textes de référence

Le code civil :

  • Article 9 (protection de l’intimité de la vie privée)

Le code du travail :

Le code pénal :

Le Règlement européen sur la protection des données

Besoin de contacter l'UNSA Financo ? unsa.financo@gmail.com

Protection des données personnelles : ce règlement qui inquiète les entreprises

source: lepoint.fr

Le nouveau règlement européen expose les entreprises et acteurs du Net à de lourdes sanctions financières. Quels en sont les enjeux ? Comment s’y préparer ?

Par

pexels-photo-113885.jpeg

Les entreprises devront, d’ici le 25 mai 2018, être « RGPD compliant », autrement dit, s’être mises en conformité avec le Règlement général sur la protection des données des résidents de l’UE (RGPD). Ce texte européen renforce considérablement les droits des citoyens en leur donnant une plus grande visibilité sur leurs données et une meilleure maîtrise sur l’utilisation qui en est faite. Il impacte l’ensemble des acteurs proposant des biens et services sur le marché européen, du micro-entrepreneur au grand groupe en passant par les associations et organismes publics. Et l’enjeu, pour ces entreprises, dont beaucoup sont encore à la traîne, est de taille !

Lire aussi Données personnelles : la Commission presse les États d’agir

  • L’exemple du fichier des salariés…

L’employeur n’a pas à demander l’accord des salariés pour traiter leurs données. Il devra néanmoins les informer de l’existence d’un « traitement » et des données qu’il contient. « Jusqu’à présent, cette obligation n’était quasiment jamais respectée, Elle est désormais généralisée et lourdement sanctionnée puisque l’amende peut aller jusqu’à 4 % du chiffre d’affaires de l’entreprise », précise l’avocat Marc-Antoine Ledieu, associé du cabinet Bardehle Pagenberg. Ce n’est pas tout : l’employeur devra aussi indiquer à ses salariés sur quel fondement légal il traite leurs données. « Le RGPD prévoit plusieurs bases juridiques possibles, en l’occurrence, pour le fichier des salariés, la base adéquate pourrait être l’exécution d’un contrat (de travail) et le respect d’une obligation légale (qui consiste dans la transmission de ces informations aux caisses de retraite, d’assurance maladie, etc.) », ajoute l’avocat.

L’information des salariés porte aussi sur les droits dont ils disposent, à commencer par leur droit d’accès aux données. « Le salarié pourra exiger de son employeur qu’il lui adresse une copie intégrale de ses données », prévient Me Ledieu. Et ce document devra préciser la nature des données traitées, la finalité du traitement, la durée de conservation des données, leur localisation, etc.

  • Moyen de pression

Le salarié dispose par ailleurs d’un droit de rectification et d’un droit d’opposition à la prospection et au profilage. « Il peut s’opposer à tout traitement de données qui n’est pas destiné à la gestion de son contrat de travail et de sa carrière dans l’entreprise, par exemple un scoring de profilage pour l’évaluation de ses performances professionnelles. Cet article 21 du RGPD est un véritable tremblement de terre pour les entreprises qui ont l’obligation d’effacer la partie du traitement des données que le salarié refuse », souligne Me Ledieu. Par ailleurs, les données sensibles qui, par exemple, révèlent l’origine raciale, les convictions religieuses philosophiques ou l’orientation sexuelle des salariés, ne peuvent faire l’objet d’aucun traitement, sauf consentement « explicite » des personnes concernées, précise le règlement.

Et si le RGPD devenait une arme ou un moyen de pression juridique en cas de conflit avec l’entreprise ? « C’est déjà le cas, relève François-Pierre Lani, avocat associé au cabinet Derriennic Associés. Il arrive que des salariés invoquent, souvent avec succès, la non-conformité des éléments de preuve issus de fichiers non conformes à la loi informatique et libertés pour faire rejeter les arguments de l’employeur qui refuse de payer leurs heures supplémentaires. En prévision du RGPD, des entreprises commencent à recevoir de la part de salariés, de syndicats et d’institutions représentatives du personnel, des demandes de notification de la conformité de l’entreprise au RGPD. Elles portent, par exemple, sur les outils qui seront mis en place pour faire valoir leurs droits d’accès et de rectification. »

  • L’exemple des fichiers clients traités par les plateformes de vente en ligne

Les sites marchands qui traitent les données postales et bancaires des acheteurs n’ont pas à leur demander leur accord préalable s’agissant, en principe, d’un « traitement de données sans consentement » (autre fondement légal prévu par le règlement). « L’entreprise doit néanmoins informer ses clients de l’existence d’un tel traitement et leur notifier leur droit d’accès et de rectification de leurs données, ainsi que leur droit d’opposition à prospection et profilage, note Me Ledieu. Mais attention, dès lors que mon fournisseur de shampoing veut me vendre des algues pour le bain, je redeviens son prospect, ce qui implique un nouveau traitement de données basé par exemple sur les intérêts légitimes de l’entreprise. Ce concept anglo-saxon, repris dans le RGPD, autorise la prospection commerciale sans le consentement des intéressés, jusqu’à l’exercice du droit d’opposition du prospect. Cela vaut bien sûr pour nous, avocats qui adressons des newsletters à nos clients. »

L’internaute devra néanmoins être en mesure de s’opposer au traitement de ses données (via un lien de désabonnement pas exemple). Si tel est le ce cas, l’entreprise devra effacer immédiatement les données de prospection de sa base de données. « Les entreprises vont devoir effacer beaucoup de données, mais ce n’est qu’à cette condition que la confiance avec les consommateurs pourra se recréer, assure l’avocat. Dès lors que l’entreprise nous abordera de la sorte Cher prospect, si vous acceptez de recevoir mes offres et mes conseils, cochez la case « oui ». En échange du traitement de vos données, vous aurez un contenu personnalisé. Le jour où vous souhaitez que cela cesse, il vous suffit de vous désabonner tout ira mieux ! »

Fini l’affichage personnalisé imposé

Comment les sociétés qui pistent l’internaute dès que sa souris s’aventure sur l’écran, et qui utilisent ses données de navigation pour le profiler et lui faire des « recommandations » vont-elles redresser le tir ? Le traitement de ces données de navigation est « nécessaire aux intérêts légitimes de l’entreprise », dit le RGPD, soucieux de préserver l’équilibre entre les nécessités du commerce et les droits des personnes. Mais ces dernières doivent avoir la possibilité de refuser ces recommandations et l’entreprise devra respecter ce choix. Autrement dit, « le prospect se verra proposer des recommandations ou des publicités, mais celles-ci ne pourront pas prendre en compte les data qui permettent de les personnaliser. Ce sera alors de l’affichage standard et générique, comme les publicités sur les panneaux d’affichage dans les rues », explique Me Ledieu.

Moteurs de recherche

Nombre d’internautes s’interrogent sur la façon dont les rois de la « data » comme Google ou Facebook vont appliquer le RGDP. Google est actuellement poursuivi (notamment) par L’UFC que choisir pour non-respect de la loi informatique et libertés. L’association de défense des consommateurs lui reproche d’entretenir ses utilisateurs dans un flou artistique quant à l’utilisation de leurs données et aux ciblages qui en découlent. « Par la seule utilisation du service, on adhère à des règles dont on n’a pas conscience. L’internaute autorise le moteur de recherche, par le jeu des cookies, à le cibler et à revendre ses données de navigation à des sociétés qui font de la publicité sur Internet, souligne Me Lani. Je vous mets au défi d’aller trouver dans le service Google les options de confidentialité que Google assure avoir mis en place pour circonscrire l’exploitation de nos données ! »

En clair, la plateforme a de grands efforts à fournir pour devenir RGPD compatible. « Elle devra permettre à l’internaute d’effacer facilement toutes les traces laissées durant la navigation, et mettre en place des outils simples et accessibles pour faire valoir son droit d’opposition au profilage, etc. », précise Me Lani. Cette règle s’applique aussi aux réseaux sociaux qui « n’offrent pas encore les garanties suffisantes à l’internaute quant au recueil de son consentement explicite sur le traitement de ses données personnelles », assure l’avocat.


Les grandes lignes du règlement

– Principe de minimisation : la collecte des données doit se cantonner au strict nécessaire. Exemple : un vendeur de produits cosmétiques n’a pas à savoir si son client est un amateur de séries télévisées.

– Recueil du consentement de l’utilisateur (dans les cas où il est obligatoire, par exemple pour le recueil de données sensibles) : il doit être effectué par type d’usage et non de manière globale. Le consentement recueilli doit être explicite.

– Mise en place d’outils permettant à l’utilisateur d’exercer son droit d’accès aux données, son droit de les rectifier, son droit de s’opposer à certains types de traitements (profilage par exemple), son droit à la portabilité des données, qui lui permet de récupérer toutes les données communiquées à une plateforme (réseau social, site marchand, site de streaming…) soit pour les conserver, soit pour les transférer vers autre opérateur (une autre application par exemple).

– Privacy by design : l’entreprise doit dans la mesure du possible intégrer la protection de la vie privée dès la conception du logiciel ou du service et mettre en place les outils adéquats pour préserver la liberté de choix de l’utilisateur : possibilité de cocher ou décocher la géolocalisation dans un smartphone, bouton sur une enceinte connectée signalant qu’elle est allumée et enregistre les conversations…

– Accountability ou auto-responsabilisation : il appartient à l’entreprise de prendre toutes les mesures nécessaires pour remplir ses obligations de protection des données, et être capable de le démontrer à tout moment. À cet effet, elle devra tenir un registre recensant les catégories de données traitées, les finalités du traitement, les pays où elles sont transférées, la durée de conservation, etc. Les entreprises qui, notamment, traitent des données à grande échelle, devront désigner un délégué à la protection des données (DPO) dédié au contrôle de la conformité au GDPR. « Ce dernier va, par exemple, s’assurer que le DRH n’a pas conservé des fichiers de CV datant de plus de 2 ans ou que le système de pseudonymisation des données est effectif », explique l’avocat Gérard Haas, auteur de « Le RGPD expliqué à mon boss » (Éditions Kawa).

– Security by default : l’entreprise doit prendre les mesures nécessaires pour sécuriser les données, « notamment par le chiffrement ou la pseudonymisation. Elle doit aussi mettre en place des outils de détection de failles de sécurité, car elle a l’obligation de notifier ces failles à la personne concernée et à la Cnil », précise François-Pierre Lani. Elle doit aussi être en mesure de déceler les failles affectant ses fichiers.

– Droit à l’oubli numérique : le droit à l’effacement des données est le pendant du droit au déréférencement d’une information ou d’un lien par un moteur de recherche. La personne peut s’adresser directement au responsable de traitement dans le cas, par exemple, où l’entreprise a conservé ses données plus longtemps que nécessaire au vu des finalités annoncées. « Ce droit à l’effacement n’est pas absolu, par exemple, un salarié ne peut pas exiger de son ancien employeur qu’il efface ses données immédiatement après son départ, ce n’est qu’au bout de 5 ans qu’il doit les avoir purgées pour les traitements de la paie ou le contrôle des horaires », nuance Me Lani.

– Réparation des dommages et class action : Les associations dédiées à la protection des données pourront introduire des recours collectifs. L’objectif est de faire cesser le dommage causé par la violation du règlement. Un amendement examiné actuellement au parlement prévoit d’y ajouter la réparation du préjudice des personnes concernées.

– Étude d’impact : cette obligation concerne les entreprises qui peuvent être amenées à traiter des volumes de données en masse, par exemple les fabricants des technologies des voitures autonomes. « L’objectif est d’évaluer l’impact d’un système innovant sur les données personnelles des personnes concernées. Par exemple, des caméras placées dans le véhicule autonome vont photographier les piétons, les plaques d’immatriculation, etc. qui sont des données personnelles. L’étude va prendre en compte l’interdiction de collecter ces données et proposer des moyens techniques, voire juridiques pour adapter le système. Par exemple, indiquer à quel moment on floute le visage des piétons », explique Me Lani.

– Des amendes dissuasives en cas de manquement : l’entreprise encourt, selon le manquement constaté, jusqu’à 2 % ou 4 % du chiffre d’affaires mondial de l’entreprise dans la limite de 10 ou 20 millions d’euros.

– Cette réglementation s’appliquera à toutes les entreprises, quel que soit l’endroit où elles se trouvent dans le monde, dès lors qu’elles traitent des données de personnes résidant sur le territoire européen. Les Gafam (Google, Amazon…) ne peuvent donc s’y soustraire.

À savoir : la Cnil fournit un certain nombre d’outils pratiques pour accompagner les entreprises dans leur mise en conformité