Fidere 5/5 – 3 décembre 2024 spécial – Données personnelles
CAMERAS « AUGMENTEES » : LA CNIL FIXE DES POINTS DE VIGILANCE.
De plus en plus de sociétés de transport installent ou souhaitent installer des caméras « augmentées » embarquées dans les véhicules professionnels utilisés par leurs salariés, notamment pour détecter en temps réel la fatigue ou une distraction pouvant altérer la conduite. Compte tenu des risques élevés d’atteinte au respect de la vie privée de ces salariés, la Cnil a récemment publié une note à destination des employeurs (ici) énumérant les objectifs pouvant être poursuivis par de tels dispositifs, les bases légales mobilisables ou encore les garanties à mettre en place dans ce cadre. Le dispositif ne peut pas conduire à surveiller en continu les salariés.
LE BILAN DES VIOLATIONS DE DONNEES.
Cinq ans après l’entrée en application du RGPD, la Cnil a dressé un premier bilan chiffré (ici). Entre mai 2018 et mai 2023, la Cnil a reçu 17.483 notifications de violations de données, dont le nombre est croissant au fil des années. Par ailleurs, le secteur privé est à l’origine d’environ deux tiers des déclarations de violations à la Cnil, lorsque le secteur public représente 22 % des notifications. Enfin, 55 % des violations notifiées trouvent leur origine dans du piratage externe (rançongiciels, hameçonnages…), tandis que 20 % de ces violations sont causées par une erreur humaine en interne.
ILLICEITE D’UN SYSTEME DE GEOLOCALISATION AU TRAVAIL.
Par principe, l’utilisation d’un système de géolocalisation pour contrôler la durée du travail, laquelle n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, n’est pas justifiée pour localiser un conducteur en dehors du temps de travail. Par un arrêt du 14 février 2024 (ici), la Cour de cassation a rappelé qu’un système de géolocalisation ne pouvait être utilisé par l’employeur que pour les finalités qui ont été déclarées auprès de la Cnil, et portées à la connaissance des salariés. En l’espèce, l’immixtion du dispositif dans la vie personnelle des salariés, pourtant déclaré pour assurer le suivi des déplacements professionnels des chauffeurs, était illicite.
UN REFERENT DONNEES PERSONNELLES AU CSE.
En juillet dernier, la société EP France Management a conclu avec son CSE un accord permettant aux représentants du personnel de communiquer avec les salariés par le biais d’une messagerie électronique professionnelle, pour les seules questions relatives à la gestion des activités sociales et culturelles (ici). Dans ce cadre, l’accord impose au CSE la désignation d’un référent en charge de garantir le traitement des données personnelles au sein du CSE et la bonne utilisation des technologies de l’information.
LE DELEGUE A LA PROTECTION DES DONNEES (DPO)
Désignation | Si elle est toujours conseillée, la désignation d’un DPO s’impose pour : – les autorités ou organismes publics, – les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, – les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles. |
Compétences | Le DPO est désigné sur la base de ses qualités professionnelles et, en particulier : – ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et – sa capacité à accomplir ses missions. Il peut être interne ou externe à l’entreprise ou au groupe. |
Moyens d’action | L’organisme doit : – lui fournir les ressources nécessaires à l’exercice de ses missions (temps, formation…), – lui permettre d’agir de façon indépendante, – veiller à l’absence de conflit d’intérêts, – lui faciliter l’accès aux opérations et données de traitement. |
Statut | Le DPO n’est pas responsable en cas de non-respect de la réglementation. En outre, devant agir de façon indépendante, il bénéficie d’une protection suffisante dans l’exercice de ses missions. Mais il ne dispose pas d’un statut protecteur analogue à celui d’un représentant du personnel. |
Vous pouvez également télécharger la newsletter 5 sur 5 au format pdf ici.
Related Posts
5 minutes, 5 infos
Deux décrets, pris en application de la loi du 2 août 2021 pour renforcer la prévention en santé au travail [...]