C.N.I.L. : qui méconnait les règles sur les données personnelles ?

Commission nationale de l’informatique et des libertés

En 2018 un nouveau RGPD1 va entrer en vigueur, il concerne la réglementation des données à caractère personnel ou données personnelles dans l’Union européenne. Comme il s’agit d’un Règlement, il va s’appliquer directement et automatiquement dans les 27 États de l’Union à la date fatidique du 25 mai 2018. Vous étiez au courant vous ?… pas moi !

Ce RGPD1 est un nouveau règlement communautaire entré en vigueur en mai 2016, mais dont l’application a été différée de deux ans, au 25 mai 2018.

Wafae El Boujemaoui, responsable des questions sociales et RH à la C.N.I.L.2, explique que les entreprises doivent «vite» se mettre en conformité avec les règles de protection des données personnelles, notamment vis-à-vis de leurs salariés.

La finalité d’un traitement de données, quel qu’il soit, doit être légitime et déterminée dès le départ. Toute entreprise doit pouvoir justifier du besoin et de la pertinence des informations et s’assurer d’une durée de conservation adaptée et de leur sécurité. Elle se doit d’informer son salarié de son droit d’opposition, de rectification et d’accès. Ces principes de la loi Informatique et libertés sont aussi valables pour les données des clients et visiteurs du site Internet de l’entreprise.
En général une déclaration suffit (fichiers de gestion du personnel, dispositifs de géolocalisation, vidéosurveillance…). Il est parfois nécessaire d’obtenir l’autorisation préalable de la CNIL2, par exemple pour les dispositifs biométriques.

La collecte de données li »es à la santé, aux convictions religieuses ou politiques…, est interdite normalement mais il existe des exceptions et précautions renforcées selon des critères stricts.

En mai 2018, les formalités disparaîtront en partie avec le nouveau règlement européen de protection des données, au profit d’une logique de responsabilisation permanente des acteurs. Certains traitements devront faire l’objet d’une étude d’impact.

Beaucoup d’entreprises méconnaissent les règles

Les petites sociétés n’en ont pas ou peu connaissance. Elles ont l’habitude et la volonté de collecter un maximum d’informations en se disant que ça pourrait leur servir un jour à mieux appréhender leur clientèle ou leurs prospects.

Certaines entreprises commencent à se préparer au règlement européen mais de manière insuffisante et il faut qu’elles veillent dès à présent à l’intégration des nouvelles règles de protection des données personnelles.

Des sanctions renforcées à terme

Avec le règlement européen, le plafond des sanctions va être considérablement renforcé : les amendes pourrons aller jusqu’à 20 M€ ou 4 % du CA internationnal. Ce nouveau règlement reconnaît aussi la responsabilité des sous-traitants qui proposent des solutions intégrées aux entreprises. Ils vont avoir des obligations similaires aux responsables des procédures et pourront être sanctionnés de la même façon.

Certains outils ne respectent pas les droits des personnes, par exemple en aspirant directement des données personnelles sur internet. Sur les réseaux sociaux professionnels, il peut apparaître légitime pour un recruteur de consulter des informations. Mais la démarche est tout autre lorsqu’il s’agit de réseaux sociaux personnels. Une réflexion est en cours au sein de la C.N.I.L.2.

Pour que le RGPD entre dans les têtes, il revient désormais à chaque citoyen de faire son office et d’exiger son droit, saisir les tribunaux ou les autorités de contrôle pour faire sanctionner les récalcitrants.

1 Règlement Général sur la Protection des Données
2 Commission nationale de l’informatique et des libertés

Sources : AFP, Libération.fr, presse-citron.net