logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
L’essentiel à savoir sur le RGPD

xx Actualité sociale xx


DOSSIER

L’essentiel à savoir sur le RGPD

Panorama des nouvelles obligations des entreprises en matière de protection des données personnelles de leurs salariés.

14/01/2019 Les Cahiers Lamy du CE, n° 260

Le règlement européen sur la protection des données (RGPD), entré en application le 25 mai 2018, rénove le cadre vieillissant et inadapté mis en place par la directive de 1995 (1) . Il emporte de fait un changement radical dans l’approche adoptée jusqu’alors en Europe pour assurer la protection des données personnelles.

En effet, le RGPD érige le principe d’accountability, ou de responsabilité, en clé de voûte de la protection des données personnelles sur le territoire de l’Union européenne.

Ce dernier contraint désormais toute entité traitant des données personnelles à mettre en œuvre des mécanismes et des procédures internes permettant d’assurer et de démontrer, à tout instant, tant le respect des règles relatives à la protection des données (2) que la sûreté effective des données personnelles traitées. En faisant de l’accountability un principe sous-tendant l’ensemble de la protection des données personnelles, le règlement entend faire de la responsabilisation des acteurs en présence un élément incontournable.

Sous l’empire de la directive de 1995 et de la loi du 6 janvier 1978, dans sa version antérieure au 20 juin 2018 (3) , la protection se fondait essentiellement sur des formalités préalables et des obligations déclaratives. Désormais, le responsable du traitement (4) doit garantir la protection des données personnelles traitées à tout moment par la stricte conformité des traitements effectués.

Remarque
Sans conteste, l’adoption du principe d’« accountability » constitue un apport majeur du RGPD. Auparavant, les entreprises se contentaient de notifier la mise en place d’un traitement à la Cnil.
Elles doivent maintenant assurer la conformité des traitements au long cours et être capables de justifier de chaque mesure prise.

Afin de garantir concrètement le respect de ce principe, le RGPD maintient ou renforce les obligations existantes, tout en créant de nouvelles.

On retiendra, en particulier :

  • l’obligation de tenir un registre des traitements ;
  • l’obligation, sous conditions, de réaliser une étude d’impact ;
  • la désignation d’un délégué à la protection des données personnelles (DPD), qui, quoique non obligatoire dans toutes les hypothèses, n’en reste pas moins vivement conseillée ;
  • l’obligation de notification des violations des données personnelles.


FOCUS SUR LES DONNÉES PERSONNELLES VISÉES
Le RGPD est consacré au traitement de données personnelles et à son fil conducteur, la protection de la vie privée des personnes concernées.
Dans ce cadre, est une « donnée personnelle » toute information se rapportant à une personne physique identifiée ou identifiable (nom, adresse IP, données de santé, revenus, centres d’intérêt, date de naissance, situation familiale, etc.).
Sont concernés tous les traitements (collecte, enregistrement, utilisation, conservation, diffusion, effacement, etc.) appelés à figurer dans un fichier. Il faut à cet égard bien comprendre que toute manipulation d’une donnée sera considérée comme un traitement.
Ce traitement peut d’ailleurs être automatisé ou manuel, sous forme informatique ou non. En effet, par fichier de données, il faut comprendre une réalité plus étendue que ce que l’on pourrait penser, un simple dossier papier suffisamment organisé et structuré est un fichier au sens du RGPD.

UN PRÉALABLE NÉCESSAIRE, IDENTIFIER LA BASE LÉGALE DU TRAITEMENT

Pour être licite, un traitement de données personnelles doit respecter l’une des six bases légales énoncées par l’article 6 du RGPD. Ce point est fondamental puisque, depuis l’entrée en vigueur de ce règlement le 25 mai dernier, le responsable du traitement doit indiquer aux personnes concernées le fondement légal de la collecte des données.

Selon le RGPD, le traitement ne peut alors être licite que s’il repose sur au moins l’une des bases légales suivantes :

  • le consentement de la personne dont les données sont collectées ;
  • l’exécution d’un contrat ou de mesures précontractuelles (par exemple, pour le contrat de travail, les coordonnées bancaires, le numéro de sécurité sociale, les documents d’identité, etc.) ;
  • un texte légal qui rend obligatoire certains fichiers (par exemple, le registre unique du personnel) ;
  • l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique (par exemple, la constitution de fichiers de police, de l’administration fiscale, etc.) ;
  • la sauvegarde des intérêts vitaux d’une personne (en cas d’épidémie, dans les situations de catastrophe naturelle ou d’origine humaine, etc.) ;
  • la poursuite d’un intérêt légitime (par exemple, la prévention de la fraude, les transferts au sein d’un groupe, la protection des locaux de l’entreprise, la sécurité des réseaux, etc.), sauf si les intérêts ou les libertés fondamentales de la personne concernée prévalent.

Si le consentement a été très largement mis en avant depuis l’entrée en vigueur du RGPD comme la base légale privilégiée des traitements de données personnelles, c’est en réalité un fondement que l’on ne saurait trop déconseiller dans le cadre des relations de travail. En effet, le consentement doit être la manifestation d’une volonté libre (5) . Or, on ne peut pas considérer que ce dernier est donné librement lorsqu’il existe un déséquilibre des rapports de force, tel que c’est le cas dans les relations employeurs/ employés. C’est d’ailleurs la position retenue par le « Groupe de travail de l’article 29 » (G29) (6) .

Ce n’est qu’à de très rares exceptions que l’on pourra considérer le consentement d’un salarié comme libre.

Remarque
Il ressort des développements ci-dessus que le recours au consentement doit être tout à fait exceptionnel dans le monde du travail, étant donné le rapport de force employeur/employé.

Par exemple, lors du tournage d’un spot publicitaire au sein de l’entreprise, l’employeur devra recueillir le consentement des salariés dès lors qu’ils risquent de se trouver en arrière-plan de la vidéo. Le refus d’être filmé ne doit alors en aucun cas entraîner quelque conséquence que ce soit pour les salariés concernés.

Il faut en réalité bien comprendre qu’en matière de gestion des ressources humaines, il est globalement possible de fonder les traitements de données personnelles soit sur l’exécution du contrat de travail (c’est notamment le cas pour tout ce qui est en lien avec la gestion de la paie), soit en raison de l’existence d’un texte légal en droit interne (comme par exemple l’obligation faite aux entreprises de communiquer des informations relatives à ses salariés à l’administration fiscale) ou encore sur la poursuite d’un intérêt légitime (7) (même s’il est vrai qu’à ce jour ce dernier critère reste vague et non défini avec précision).

Il faut alors bien distinguer le consentement, qui est à déconseiller dans le cadre des relations de travail, de l’information qui doit être désormais faite aux salariés en ce domaine.

Celle-ci est fondamentale. Il faut en effet systématiquement informer les salariés des traitements envisagés à leur égard et de leurs droits, lesquels sont renforcés par le RGPD (8) .

Cette information pourrait, par exemple, être matérialisée par une décharge signée du salarié dès son embauche, qui viendrait préciser la finalité du traitement (gestion de la paie, gestion de carrière, etc.) et les différents droits pouvant être exercés par lui, ou constituer une mention supplémentaire en liminaire des contrats de travail.

Au-delà, il est conseillé aux entreprises de faire parvenir à l’ensemble de leurs salariés, y compris ceux déjà en poste, une notice les informant du traitement de leurs données (via intranet, remise d’une notice d’information contre signature, etc.).

Un document type ou général est à proscrire. En effet, pour pouvoir établir une telle notice et/ou décharge, il faut au préalable faire une analyse de l’existant et donc recenser tous les traitements de l’entreprise, car ce document doit être adaptée à cet existant.

Lorsqu’il est établi que le traitement des données personnelles est fondé sur une base juridique adéquate, il convient ensuite, pour le responsable du traitement, de mettre en œuvre un certain nombre d’obligations permettant de garantir la protection des données personnelles.

TENIR UN REGISTRE

Entreprises concernées

La tenue d’un registre des traitements est imposée par l’article 30 du RGPD.

Une première remarque s’impose, car de nombreux auteurs et praticiens ont relevé que la tenue du registre ne s’imposait qu’aux organismes publics et entreprises comptant au moins 250 salariés.

En réalité, toutes les entités, qu’elles soient publiques ou privées, sont concernées par cette obligation, peu important leur effectif.

Il est vrai en revanche qu’il existe une dispense, restreinte à certains traitements, concernant les entités regroupant moins de 250 salariés, lesquelles ne doivent inscrire au registre que les traitements :

  • susceptibles de comporter un risque pour les droits et libertés des personnes, tels que les systèmes de géo-localisation, de vidéo-surveillance, etc. ;
  • non occasionnels (exemple : gestion de la paie, gestion des clients / prospects et des fournisseurs, etc.) ;
  • portant sur des données sensibles telles que l’état de santé, les infractions, etc.


Contenu du registre

Il n’y a aucune obligation de respecter une forme particulière pour le registre. Il peut s’agir d’un fichier papier, d’un fichier Word ou d’un fichier Excel.

Le responsable du traitement va devoir recenser l’ensemble des traitements mis en œuvre au sein de son entreprise et établir une fiche de registre par traitement identifié.

Outre le nom de l’entreprise, de son représentant et éventuellement de son DPD, le registre doit impérativement comporter les éléments suivants :

  • les finalités du traitement, l’objectif en vue duquel sont collectées ces données ;
  • les catégories de personnes concernées (client, prospect, employé, etc.) ;
  • les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, données de localisation, etc.) ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez ;
  • les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
  • les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation ou, à défaut, les critères permettant de la déterminer ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre par l’entreprise.

Il faut alors bien comprendre que la première obligation qui s’impose en ce domaine aux entreprises est de cartographier les traitements et les risques.

En effet, afin de prouver la conformité des traitements mis en œuvre, les entreprises doivent d’abord « documenter » en interne lesdits traitements.

La première étape consiste alors à effectuer une cartographie des traitements au moyen, par exemple, d’un questionnaire.

Ce n’est qu’une fois cette cartographie effectuée qu’il sera possible de préparer le registre des traitements.

Il s’agit alors de s’interroger sur l’existant en distinguant chaque domaine (par exemple, gestion des ressources humaines, recrutement, contrôle des TIC, etc.).

- Pour un exemple, voir page suivante.

Une fois cette cartographie faite, il faut mettre en place le registre des traitements.

Afin d’aider les entreprises, et en particulier les PME et TPE, la Cnil a mis à disposition sur son site internet, un modèle de registre (voir modèle en page 19 et s.), auquel il est bien évidemment recommandé de se reporter (9) .

 

Exemple
Chaque entreprise devrait, sous forme de tableau, se poser les questions suivantes :
1. En matière de gestion des ressources humaines :
Détenez-vous des données personnelles ? Si, oui savez-vous comment elles sont collectées ? Sur quel support sont-elles conservées ? Connaissez-vous les durées de conservation des données collectées ?
Avez-vous effectué des déclarations auprès de la Cnil ? Si oui, de quel(s) type(s) ?
2. En matière de process de recrutement :
Détenez-vous des données personnelles ? Si, oui savez-vous comment elles sont collectées ? Sur quel support sont-elles conservées ? Connaissez-vous les durées de conservation des données collectées ?
Avez-vous effectué des déclarations auprès de la Cnil ? Si oui, de quel(s) type(s) ?


PROCÉDER À UNE ÉTUDE D’IMPACT

Champ d’application

Introduite par l’article 35 du RGPD (10) , l’analyse d’impact relative à la protection des données doit permettre de déterminer avec certitude la nécessité du traitement, sa proportionnalité et aider à la gestion des risques potentiels pour les droits et libertés des personnes.

Remarque
Il va de soi que l’étude d’impact doit être menée avant la mise en œuvre du traitement et, comme au demeurant, le registre être mise à jour régulièrement.

En revanche, la conduite de cette analyse n’est obligatoire qu’en cas de traitement présentant un risque élevé concernant les droits et libertés des personnes physiques concernées.

Afin d’accompagner les responsables du traitement, les autorités européennes de contrôle réunies au sein du G29, dont la Cnil, ont élaboré une liste de neufs critères.

Dès lors que deux d’entre eux sont remplis par le traitement envisagé, il convient de mener une étude d’impact (11) :

évaluation et notation (y compris le profilage) ;
décision automatique avec effet légal ou similaire ;
surveillance systématique ;
collecte de données sensibles (12) ;
collecte de données personnelles à large échelle ;
croisement de données ;
personnes vulnérables ;
usage innovant (utilisation d’une nouvelle technologie) ;
exclusion du bénéfice d’un droit / contrat.

Remarque

Hors ces hypothèses, et quoi qu’il en soit, on notera que les salariés font partie des personnes vulnérables au sens du RGPD (13) .

Au moins un de ces neuf critères est toujours rempli les concernant.

Dès lors, une entreprise qui met en place un système de contrôle de l’activité de ses salariés par des badgeuses, une géo-localisation ou encore la mise en place de la vidéo-surveillance devra mener une étude d’impact relative à la protection des données, par exemple.

Le 7 novembre 2018, la Cnil a publié la liste des types de fichiers de données personnelles liés aux ressources humaines qui exigent, selon elle, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) (voir Annexe en fin d’article).

Méthode

S’il n’existe pas de méthode unique pour mener une étude d’impact, a minima, toute étude doit comporter les éléments suivants :

  • une description systématique des opérations de traitement envisagées, les finalités du traitement et l’intérêt légitime poursuivi par le responsable du traitement ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques sur les droits et libertés des personnes concernées ;
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Aux fins d’illustrations, il est possible de se reporter aux guides pratiques édités par la Cnil (14) .

Très complets, ils peuvent servir de modèles pour formaliser l’étude d’impact et dans le même temps acquérir le savoir nécessaire à la conduite d’une telle analyse.

Par ailleurs, le G29 a publié des lignes directrices portant spécifiquement sur l’analyse d’impact (15) . Celles-ci, particulièrement didactiques, constituent un outil précieux à disposition des responsables du traitement. Par exemple, en annexe 2 de ces dernières, on retrouve les critères d’acceptabilité d’une analyse d’impact sur la protection des données, c’est-à-dire un outil qui permet de déterminer si l’analyse est suffisamment complète ou non.

S’il convient de ne pas perdre de temps pour mener une telle étude qui, suivant les structures, peut prendre plusieurs mois, la Cnil a accordé un sursis dans certains cas aux entreprises.

En effet, elle a d’ores et déjà assuré que les traitements qui ont fait l’objet de formalités préalables avant le 25 mai 2018 et déjà mis en œuvre à cette date n’ont pas à faire l’objet d’une étude d’impact dans l’immédiat. Ce sursis, qui doit rester raisonnable, vaut pour une durée de trois ans à compter du 25 mai 2018.

Il en va de même pour les traitements consignés au registre d’un correspondant « informatique et liberté ».

Enfin, la Cnil a mis à disposition sur son site internet un « logiciel PIA » (16) afin d’aider les responsables de traitement dans leur démarche. Il s’agit d’un logiciel prêt à l’emploi en open source (17) , corrigé et mis à jour régulièrement.

DÉSIGNER UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES (DPD)

Entreprises concernées

La désignation d’un délégué à la protection des données personnelles (18) est obligatoire dans certains cas et simplement fortement recommandée dans d’autres.

Doivent obligatoirement désigner un DPD :

  • les organismes publics ;
  • les entités dont les activités de base (19) les mènent à réaliser un suivi régulier et systématique (20) des personnes à grande échelle ;
  • les entités dont les activités de base les mènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.


Par exemple, les hôpitaux, dans le cadre de leur activité de base, qui est de dispenser des soins, vont traiter à grande échelle des dossiers médicaux. Ils sont ainsi dans l’obligation de désigner un DPD.

Les juridictions, notamment pénales, vont dans le cadre de leur activité de base instruire et juger des affaires, traiter des données relatives à des condamnations et/ou infractions pénales.

Une entreprise de sécurité privée assurant la surveillance de centres commerciaux devra, de la même façon, désigner un DPD.

Remarque
Si en dehors des trois cas obligatoires listés ci-dessus, la désignation du DPD n’est que « recommandée », y procéder (21) est un moyen d’avoir à sa disposition un expert en matière de protection des données s’assurant dès lors de la conformité des traitements mis en œuvre.

Missions du DPD

S’il est souvent assimilé à l’ancien correspondant informatique et libertés (« CIL »), les missions et fonctions du DPD sont en réalité beaucoup plus étendues.

Il est en particulier chargé (22) :

  • d’informer et conseiller le responsable du traitement ou le sous-traitant, ainsi que leurs employés ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Les missions du DPD doivent couvrir l’ensemble des traitements utilisés dans son entreprise.

S’il doit conseiller et alerter le responsable du traitement, il n’est toutefois jamais personnellement responsable de la non-conformité des traitements mis en œuvre. Cette responsabilité incombe toujours au responsable du traitement lui-même ou au sous-traitant.

Pour mener à bien cette mission, il doit posséder un bagage à la fois juridique et technique en matière de protection des données personnelles tout en ayant une connaissance suffisante du secteur d’activité au sein duquel il opère.

Choix du DPD

Le RGPD renvoie en grande partie aux législations nationales en ce qui concerne la désignation et les qualifications du DPD et le législateur français n’a pas apporté beaucoup plus d’informations.

Il n’est pas obligatoire que l’intéressé soit salarié de l’entreprise.

Il doit pouvoir, dans tous les cas, agir en toute indépendance, c’est-à-dire être protégé contre les sanctions et ne pas avoir à faire face à quelque conflit d’intérêt que ce soit (23) .

De ce point de vue, certaines fonctions sont susceptibles de présenter un conflit d’intérêt avec les fonctions de DPD. Tel est le cas, par exemple (24) , du directeur général, du directeur opérationnel, du directeur financier, du médecin-chef, du responsable du département marketing, de celui des ressources humaines ou du service informatique...

Il peut par ailleurs y avoir conflit d’intérêt si un DPD externe est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données... est ici visé l’avocat (25) .

Si le DPD n’est pas obligatoire dans de nombreux cas (voir ci-dessus), il est en réalité un atout indéniable pour les entreprises dans leur démarche de mise en conformité.

Remarque
La désignation du DPD se fait en ligne sur le site de la Cnil par le responsable du traitement ou son représentant légal. Il n’y a pas d’autre formalité nécessaire à cet égard, cette fonction ne devant notamment pas être insérée dans le contrat de travail du DPD et n’entraînant, selon nous, aucune modification de ce dernier.

NOTIFIER À LA CNIL LES CAS DE VIOLATIONS DE DONNÉES

Enfin, au côté des obligations de « protection » des données personnelles, il est désormais prévu aux articles 33 et 34 du RGPD une obligation de notification en cas de violation des données. Cette notification doit se faire à l’autorité de contrôle (26) et, dans certains cas, à la personne dont les données ont été violées.

Il y a violation au sens du RGPD quand, en présence d’un traitement de données personnelles, celles-ci ont été détruites, perdues, altérées, divulguées... (27) accidentellement, ou volontairement par des procédés illicites comme la perte d’une clé USB contenant des fichiers clients ou des informations relatives aux salariés de l’entreprise telles que leur adresse postale ou leur numéro de téléphone.

Lorsque « la violation des données à caractère personnel est susceptible d’engendrer un risque élevé pour ses droits et libertés », cette notification doit également être adressée à la personne concernée (28) .

Ces violations doivent par ailleurs être documentées en interne. Il faut donc matérialiser la violation en l’inscrivant sur un registre des traitements. Ainsi, en cas de violation de données, le fichier fera état de la notification de la violation et permettra la parfaite information du salarié.

La notification à la Cnil doit avoir lieu dans les meilleurs délais et si possible dans les 72 heures suivant la prise de connaissance de la violation et contenir les éléments suivants :

  • la nature de la violation ;
  • si possible, les catégories et le nombre approximatif de personnes concernées par la violation ;
  • les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • une description des conséquences probables de la violation de données ;
  • une description des mesures prises ou que l’entreprise envisage de prendre pour éviter que cet incident ne se reproduise ou pour atténuer les éventuelles conséquences négatives.

Le document de notification adressé à la Cnil permet de répondre à l’obligation de documenter en interne les violations. Cet aspect est d’autant plus important que la Cnil a mis en place sur son site internet un téléservice de notification des violations (29) .

On ne saurait que trop conseiller de se reporter aux lignes directrices publiées par le G29 qui comportent en annexes l’organigramme des notifications de violations et un tableau détaillant les violations des données personnelles concernées par l’obligation de notification (30) .

Une démarche de bon sens doit être adoptée s’agissant du traitement des données personnelles des salariés. À cette fin, il est judicieux de se poser les bonnes questions : pourquoi un tel traitement ? Dans quelles conditions ? Pour combien de temps... ?

Cela suppose, pour les entreprises, d’inventorier et de cartographier l’ensemble de leurs traitements et de remettre en question leur pertinence. Si la tâche est ingrate et laborieuse, elles peuvent compter sur la Cnil, mais aussi sur leur conseil habituel pour les appuyer dans leur mise en conformité.


Léonie CHABAUD, Juriste Fromont Briens Avocats

Anne-Laure COTTIN, Advocat Fromont Briens Avocats 


Notes :
(1) Dir. no 95/46/CE, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Définition énoncée par le glossaire de la Cnil.
(3) L. no 2018493, 20 juin 2018 relative à la protection des données personnelles adoptée en vue d’assurer la conformité de la loi du 6 janvier 1978 au nouveau règlement sur la protection des données personnelles, le règlement (UE) no 2016/679.
(4) « Le responsable d’un traitement de données à caractère personnel est en principe la personne, l’autorité publique, la société ou l’organisme qui détermine les finalités et les moyens de ce fichier, qui décide de sa création. En pratique, il s’agit généralement de la personne morale (entreprise, collectivité, etc.) incarnée par son représentant légal (président, maire, etc.). C’est lui qui doit accomplir, lorsque cela est nécessaire, les formalités déclaratives auprès de la Cnil » (définition issue du site internet de la Cnil).
(5) Pour les conditions applicables au consentement, voir article 7 du RGPD.
(6) Le G29 est un organe consultatif européen indépendant sur la protection des données et de la vie privée. Son organisation et ses missions sont définies par les articles 29 et 30 de la directive no 95/46/CE, dont il tire sa dénomination sur la protection des données. Il est depuis l’entrée en vigueur du RGPD remplacé par le Comité européen de la protection des données.
(7) Voir l’avis no 06/2014 du G29 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la Directive no 95/46/CE.
(8) Si ces droits ne sont pas l’objet du présent article, on retiendra ici l’obligation d’informer les salariés de leur droit d’accès, d’opposition, de rectification, à l’oubli, à la portabilité, à la limitation, etc.
(9) Modèles mis en ligne par la CNIL : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement.
(10) Cette obligation se retrouve également à l’article 704 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée par la loi no 2018493 du 20 juin 2018 (art. 30) et à l’article 1101 du décret no 20051309 du 20 octobre 2005 pris pour l’application de la loi no 7817 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés tel que modifié par le décret no 2018687 du 1er août 2018.
(11) On retrouve ces critères de façon très détaillée dans les lignes directrices du Groupe de travail de l’« article 29 » sur la protection des données, WP 248 rév. 01.
(12) Une donnée sensible « est une information qui révèle les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne physique ». Site internet de la Cnil.
(13) Lignes directrices du G29 sur la protection des données, WP 248 rév. 01.
(14) Les guides sont téléchargeables à l’adresse suivante : https://www.cnil.fr/fr/nouveautes-sur-le-pia-guides-outilpiaf-etude-de-cas.
(15) Lignes directrices du G29 sur l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » au sens du règlement (UE) 2016/679WP 248 rév. 01.
(16) Private impact assessment.
(17) Outil PIA : https://www.cnil.fr/fr/outil-pia-telechargez-etinstallez-le-logiciel-de-la-cnil.
(18) Le RGPD traite du DPD en sa section 4 des articles 37 à 39. La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée par la loi no 2018493 du 20 juin 2018 (art. 30) le traite en son article 7017 et le décret no 20051309 du 20 octobre 2005 pris pour l’application de la loi no 7817 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés tel que modifié par le décret no 2018687 du 1er août 2018 en son titre III (art. 42 à 44).
(19) Le G29 précise qu’il s’agit des activités principales et non accessoires du responsable de traitement ou du sous-traitant.
(20) Constituent un suivi régulier et systématique des personnes concernées l’exploitation d’un réseau de télécommunications, la fourniture de services de télécommunications, la géolocalisation par des applications mobiles...
(21) Lignes directrices du G29 concernant les délégués à la protection des données, WP 243 rév. 01.
(22) RGDP, art. 39.
(23) Pour autant, ce n’est pas un salarié protégé au sens du droit interne français.
(24) Exemples mentionnés dans les lignes directrices précitées
(25) Exemple cité dans les lignes directrices précitées.
(26) RGPD, art. 33.
(27) RGPD, art. 4.
(28) RGPD, art. 34.
(29) https://noifications.cnil.fr/notifications/index.
(30) Lignes directrices du G29 sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, WP 250rev01.



« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »