Fidere 5/5 n°13
5 minutes pour 5 infos spécial RGPD : un an après
APRES LA SENSIBILISATION, LES SANCTIONS. Les premiers mois d’application du RGPD constituaient une période de « tolérance » pendant laquelle la CNIL souhaitait permettre aux entreprises d’assimiler les nouvelles obligations. Le 19 avril, la CNIL a annoncé que cette phase est révolue. Désormais, elletirera toutes les conséquences des manquements constatés en concentrant ses contrôles sur le respect des droits des personnes, la protection des mineurs et les responsabilités en cas de sous-traitance des données (ici).
AUGMENTATION DES PLAINTES. La CNIL a reçu 11 077 plaintes en 2018, soit une hausse de 32,5 % par rapport à l’année précédente. Pour la présidente de la CNIL, « cette augmentation s’explique par une médiatisation importante du RGPD et une plus grande sensibilité aux questions de protection des données » (ici). Preuve de l’intérêt, le site Internet de la CNIL a enregistré une fréquentation en hausse de 80 % avec plus de 8 millions de visiteurs en 2018.
VIOLATION DE LA REGLEMENTATION CNIL = MOYEN DE PREUVE ILLICITE. Des tickets de cantine ne peuvent être produits en justice pour justifier du respect des temps de pause lorsqu’ils mentionnent les habitudes alimentaires du salarié. En effet, selon la norme simplifiée 42 du 8 janvier 2002 les seules indications peuvent être « hors d’œuvres, plat, dessert, boisson ». (Cass. soc. 27 mars 2019, n°17-31.715)
PROTECTION DES DONNEES. Plusieurs chartes informatiques récentes intègrent le rôle du délégué à la protection des données et les précautions à prendre en matière de traitement informatique, notamment celles conclues chez Grandis (ici) et au sein des Transports Jacques Barré (ici). De son côté, Bein Sports France tient compte du RGPD dans son accord sur le vote électronique en listant les catégories de données enregistrées ainsi que leurs destinataires et précisantégalement les garanties à respecter par le prestataire de vote électronique(ici).
METTRE EN PLACE UN TRAITEMENT DE DONNEES : les grandes étapes
- Auditer le traitement : identifier la base juridique et, en cas de risque, faire une analyse d’impact (ici)
- Identifier les sous-traitants : insérer des clauses spécifiques dans les contrats (ici)
- Informer les salariés : des mentions obligatoires mais pas de support type (ici)
- Compléter le registre des activités de traitement : avec des aménagements en deçà de 250 salariés (ici)
- Permettre aux salariés d’exercer leurs droits : accès, rectification, oubli, portabilité… (ici)
- Gérer les durées de conservation : archivage, effacement des données qui ne sont plus traitées (ici)
DESIGNER UN DELEGUE A LA PROTECTION DES DONNEES : pour quoi faire ?
- La désignation d’un DPO est obligatoire pour les traitements à grande échelle. En pratique, il est conseillé de désigner un DPO dans toute entreprise (NB : 39 500 organismes ont déjà désigné un DPO).
- Le DPO conseille l’entreprise, veille au respect du RGPD et communique avec la CNIL (ici).
- Le DPO peut être désigné au niveau de l’entreprise ou du groupe, parmi les salariés ou en externe. Il n’a pas de statut protecteur. La CNIL a mis en place un dispositif de certification des compétences des DPO (ici).
Vous pouvez également télécharger la newsletter 5 sur 5 au format pdf ici.