Continuer sans accepter

Bonjour et bienvenue sur le site d’AEF info
Vos préférences en matière de cookies

En plus des cookies strictement nécessaires au fonctionnement du site, le groupe AEF info et ses partenaires utilisent des cookies ou des technologies similaires nécessitant votre consentement.

Avant de continuer votre navigation sur ce site, nous vous proposons de choisir les fonctionnalités dont vous souhaitez bénéficier ou non :

  • Mesurer et améliorer la performance du site
  • Adapter la publicité du site à vos centres d'intérêt
  • Partager sur les réseaux sociaux
En savoir plus sur notre politique de protection des données personnelles

Vous pourrez retirer votre consentement à tout moment dans votre espace « Gérer mes cookies ».
Revenir en haut de la page
Home| Social / RH| Ressources humaines| Dépêche n°578441

Projet de loi relatif à la protection des données personnelles : les dispositions qui concernent les RH

Le projet de loi relatif à la protection des données personnelles, adopté en Conseil des ministres le 13 décembre 2017, adapte le droit français aux nouvelles exigences européennes en la matière, issues notamment du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (lire sur AEF info). Certaines de ses dispositions concernent les employeurs, dans la mesure où ils possèdent des fichiers relatifs à leurs salariés. Le texte revoit en particulier les missions de la Cnil en réduisant les formalités préalables à la mise en place d’un traitement de données et en renforçant en contrepartie les pouvoirs de contrôle et de sanction de la commission. Il maintient la possibilité pour les employeurs de détenir des données biométriques sous certaines conditions malgré l’interdiction de principe de collecte de ce type de données.

   Merci de découvrir AEF info !

Cette dépêche est en accès libre.

Retrouvez tous nos contenus sur la même thématique.

Tester AEF info pendant 1 mois
Test gratuit et sans engagement
  • Thématiques
  • Coordonnées
  • Création du compte

Thématiques

Vous demandez à tester la ou les thématiques suivantes*

sur5 thématiques maximum

1 choix minimum obligatoire
  • Social / RH
  • 👁 voir plus
    ✖ voir moins

Fréquence de réception des emails*

Un choix minimum et plusieurs sélections possibles. Vous pourrez modifier ce paramétrage une fois votre compte créé

Un choix minimum obligatoire

* Champs obligatoires

Coordonnées

Renseignez vos coordonnées*

Veuillez remplir tous les champs
Votre numéro de téléphone n'est pas valide

* Champs obligatoires

Création de compte

Tous les champs sont obligatoires
Votre adresse e-mail n'est pas valide
Seulement les adresses e-mails professionnelles sont acceptées

Cette adresse vous servira de login pour vous connecter à votre compte AEF info

Votre mot de passe doit contenir 8 caractères minimum dont au moins 1 chiffre
Ces mots de passe ne correspondent pas. Veuillez réessayer

Votre mot de passe doit contenir 8 caractères minimum dont 1 chiffre

En validant votre inscription, vous confirmez avoir lu et vous acceptez nos Conditions d’utilisation, la Licence utilisateur et notre Politique de confidentialité

* Champs obligatoires

Valider

Merci !

Nous vous remercions pour cette demande de test.

Votre demande a été enregistrée avec l’adresse mail :

Nous allons rapidement revenir vers vous pour vous prévenir de l’activation de votre nouvel accès.

L’équipe AEF info


Une erreur est survenue !

Une erreur est survenue lors de l'envoi du formulaire. Toutes nos excuses. Si le problème persiste, vous pouvez nous contacter par téléphone ou par email :
 service.clients@aefinfo.fr  01 83 97 46 50 Se connecter

Voici les principales dispositions du projet de loi relatif à la protection des données personnelles qui intéressent les ressources humaines.

Missions de la Cnil

Le règlement européen relatif à la protection des données personnelles "uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes" aux individus, rappelle l’exposé des motifs du projet de loi. "Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle a priori de la Cnil, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques. En contrepartie, la Cnil voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné."

Droit souple. "Dans ce nouvel environnement juridique, la Cnil devra notamment accompagner plus encore les acteurs, notamment les petites et les moyennes entreprises qui doivent s’adapter aux nouvelles obligations en matière de protection des données." Aussi, l’article 1er du projet de loi, "tirant les conséquences de la nouvelle logique de responsabilisation" des responsables de traitement, "confie de nouvelles missions à la Cnil […] pour accompagner ces responsables et favoriser un environnement juridique sécurisé à travers des instruments de droit souple dont la normativité est graduée : établissement et publication de lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité et l’évaluation préalable des risques par les responsables de traitement et des sous-traitants, publication de méthodologies de référence pour les traitements de données de santé, encouragement à l’élaboration de codes de conduite, établissement et publication de règlements types en vue d’assurer la sécurité des systèmes, pouvant contenir des prescriptions techniques et organisationnelles supplémentaires pour le traitement de certaines données (données biométriques, génétiques et de santé, données d’infraction)".

Certification. Aux termes de l’article 1er du projet de loi, la Cnil pourrait également "agréer des organismes certificateurs […] et certifier des personnes, des produits, des systèmes ou des procédures aux fins d’en démontrer la conformité avec le règlement et le droit national".

Litiges. L’article 1er prévoit également "que la Cnil peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement" européen et de la loi Informatique et libertés.

Contrôle. Le projet de loi précise "le cadre d’intervention des agents et membres de la Cnil en cas de contrôle de la mise en œuvre des traitements" (art. 4). Il "précise, en premier lieu, la nature des locaux dans lesquels" peuvent être réalisés des contrôles sur place, "tout en préservant l’exclusion du domicile privé et les garanties entourant les contrôles (droit d’opposition du responsable à la visite, autorisation du juge des libertés et de la détention en cas d’opposition, assistance d’un conseil, recours contre l’autorisation et le déroulement des opérations)". Concrètement, il supprime la mention de l’usage professionnel des locaux, afin d’autoriser les contrôles dans les parties communes d’immeuble (halls d’immeuble ou couloirs pouvant contenir des imprimantes, par exemple).

L’article 4 prévoit en outre que les agents ou membres de la Cnil, lors d’un contrôle, "peuvent demander communication de tous documents, quel qu’en soit le support, et en prendre copie et peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles".

De plus, le texte clarifie le régime d’opposabilité des secrets professionnels, en indiquant "expressément que le secret ne peut être opposé aux membres et agents de la commission sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, dans certaines situations, le secret médical", selon l’étude d’impact.

Enfin, l’article 4 prévoit "la possibilité d’utilisation d’une identité d’emprunt lors des contrôles en ligne, sans que celle-ci n’ait une incidence sur la régularité de la procédure". En effet, la Cnil peut d’ores et déjà réaliser des contrôles en ligne. Mais l’utilisation d’une adresse électronique @cnil.fr peut alerter le responsable de traitement, qui risque de modifier son traitement "uniquement pour les besoins du contrôle", relève l’étude d’impact. Il s’agit donc de permettre aux agents de contrôle de "créer une fausse identité d’un utilisateur lambda pour un contrôle effectif", comme le peuvent déjà les agents de l’Autorité des marchés financiers.

Mesures correctrices et sanctions. "L’article 6 traite des mesures correctrices et sanctions que la Cnil peut prendre en application de l’article 58 du règlement en cas de méconnaissance par le responsable de traitement ou le sous-traitant de ses obligations découlant du règlement ou de la loi." Le texte adapte les mesures et sanctions prévues par la loi pour les mettre en conformité avec le règlement européen, tout en maintenant "l’articulation actuelle entre les pouvoirs d’instruction et de mise en demeure du président de la Cnil et les pouvoirs de sanction de la formation restreinte".

De plus, le projet de loi augmente sensiblement le montant des amendes encourues en cas de manquement à la loi. Depuis la loi pour une République numérique du 7 octobre 2016, ce montant s’élève à 3 millions d’euros maximum (contre 150 000 auparavant). En application du règlement européen, ce montant est porté à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, voire 20 millions d’euros ou 4 % du chiffre d’affaires en cas de non-respect d’une injonction.

Données sensibles

Interdiction de principe. La loi "Informatique et libertés" pose déjà "le principe de l’interdiction de collecter ou de traiter 'des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci'", rappelle l’étude d’impact. Il s’agit en effet "de données qui touchent à l’intimité de la personne ou sont susceptibles de donner lieu à des discriminations". La loi prévoit cependant certaines exceptions, par exemple à des fins statistiques, ou lorsque la personne a donné son accord exprès.

Le projet de loi maintient cette interdiction de principe en modifiant partiellement l’énumération des données dites sensibles, en conformité avec le nouveau règlement européen. Outre des différences sémantiques (convictions politiques ou religieuses plutôt qu’opinions, origine au singulier et non au pluriel), le règlement ajoute surtout au champ des données sensibles les données biométriques et les données génétiques.

Données biométriques. Or, les employeurs et administrations peuvent mettre en place des traitements de données biométriques à des fins de contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés ou aux agents. Une nouvelle dérogation est donc prévue pour ces types de fichiers.

allégement des formalités préalables

Régimes de déclaration et d’autorisation. Aujourd’hui, "les traitements de données à caractère personnel sont, par principe, soumis à un régime déclaratoire", rappelle l’exposé des motifs. Pour certains traitements, notamment ceux portant sur des données sensibles, "un régime d’autorisation est prévu". Or, "la nouvelle logique de responsabilisation prévue par le règlement conduit à supprimer la plupart des formalités préalables". Aussi, l’article 9 supprime "le régime de déclaration préalable" ainsi que la plupart des autorisations. Des régimes d’autorisation sont néanmoins maintenus pour deux types de traitements de données, dont les traitements qui mettent en œuvre le NIR (Numéro d’inscription au répertoire), utilisés par exemple dans le cadre de la gestion de la paie, des déclarations sociales, des déclarations d’embauche.

Analyse d’impact. "Les responsables de traitement devront donc mener une analyse d’impact afin de mesurer le risque en matière de protection des données, et, le cas échéant, consulter la Cnil lorsque le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque." Ils devront également tenir un registre d’activités des traitements.

Autres mesures

Décisions administratives automatisées. L’article 14 vise à "ouvrir plus largement la possibilité pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme), dans le seul champ des décisions administratives individuelles (et non pour toute décision ayant un effet significatif sur la personne)", et "à la condition d’offrir d’importantes garanties en contrepartie, en matière d’information pleine et entière des personnes, de droits de recours et de données traitées et de maîtrise par le responsable du traitement algorithmique et de ses évolutions".

Voies de recours. L’article 16 vise à "prévoir qu’une personne concernée peut mandater une association ou une organisation aux fins d’exercer en son nom une réclamation auprès de la Cnil, un recours juridictionnel contre la Cnil ou contre un responsable de traitement ou un sous-traitant".

Consulter le dossier législatif

à lire aussi
Fermer
Bonjour

Vous souhaitez contacter

Lucie Prusak, journaliste