OK
Accueil > Marchés > Cotation Cac 40 > Actus Cac 40

Données personnelles: beaucoup d'entreprises méconnaissent les règles


Actualité publiée le 24/07/17 08:38

L'entreprise doit justifier du besoin et de la pertinence d'un traitement de données au regard de l'objectif poursuivi (AFP/Archives/LIONEL BONAVENTURE)

Les entreprises doivent "vite" se mettre en conformité avec les règles de protection des données personnelles, notamment vis-à-vis de leurs salariés, explique Wafae El Boujemaoui, responsable des questions sociales et RH à la Commission nationale de l'informatique et des libertés (Cnil).

QUESTION: Qu'est-ce qu'une entreprise a le droit de collecter comme information sur un salarié?

REPONSE: La finalité d'un traitement de données, quel qu'il soit, doit être légitime et déterminée dès le départ. L'entreprise doit justifier du besoin et de la pertinence des informations au regard de l'objectif poursuivi, s'assurer d'une durée de conservation adaptée et de leur sécurité. Elle est également tenue d'informer le salarié de son droit d'opposition, de rectification et d'accès. Ces principes de la loi Informatique et libertés sont aussi valables pour les données des clients.

Dans de nombreux cas, une déclaration suffit (fichiers de gestion du personnel, dispositifs de géolocalisation, vidéosurveillance, etc.). Parfois, l'autorisation préalable de la Cnil est nécessaire (dispositifs biométriques, données sur des infractions commises par des salariés).

La collecte de données sensibles (santé, convictions religieuses ou politiques, appartenance syndicale...) est en principe interdite, sauf exceptions et précautions renforcées.

En mai 2018, les formalités disparaîtront en partie avec le nouveau règlement européen de protection des données, au profit d'une logique de responsabilisation permanente des acteurs. Certains traitements devront faire l'objet d'une étude d’impact.

Q: Les règles sont-elles connues et respectées des entreprises?

R: Tout dépend. Des petites sociétés n'en ont pas connaissance. Beaucoup ont à tort le réflexe de vouloir collecter un maximum d'informations en se disant que ça pourrait leur servir un jour.

Les outils classiques de gestion du personnel ne posent généralement pas de difficulté. On est surtout amené à intervenir sur ceux permettant un contrôle de l'activité des salariés. Défaut d'information et difficultés d'accès sont des cas fréquents de plaintes de salariés et syndicats.

Les entreprises commencent à se préparer au règlement européen mais pas suffisamment. Il faut vraiment qu'elles réagissent très vite pour intégrer les règles de protection des données personnelles dès la conception des traitements. Cela veut dire aussi des processus pour gérer les plaintes et des mesures de sécurité mises à jour régulièrement.

Nous estimons que 80.000 organismes, publics et privés, devront avoir nommé un délégué à la protection des données (DPO) en 2018 pour conseiller et contrôler en interne le respect des règles. Actuellement, un peu plus de 4.700 correspondants "informatique et libertés" aident 17.725 acteurs.

Q: Quelles sanctions encourent-elles?

R: Avec le règlement européen, le plafond des santions va être considérablement renforcé: l'amende pourra aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.

Le règlement reconnaît aussi la responsabilité des sous-traitants qui fournissent des solutions clef en main aux entreprises. Ils auront des obligations similaires aux responsables de traitements et pourront être sanctionnés comme eux.

Nous travaillons en ce moment avec des éditeurs pour publier des règles et bonnes pratiques en matière de big data RH car certains outils ne respectent pas les droits des personnes, par exemple en aspirant directement des données personnelles sur internet. Sur les réseaux sociaux professionnels, il peut apparaître légitime pour un recruteur de consulter des informations, compte-tenu de leur finalité. La question se pose différemment lorsqu'il s'agit de réseaux sociaux personnels. La réflexion est en cours. En tout état de cause, en vertu du code du travail, les seules informations pertinentes qu'un recruteur a le droit de collecter sont celles permettant d'apprécier les compétences d'un candidat.

© 2017 AFP

Vous avez aimé cet article ? Partagez-le avec vos amis avec les boutons ci-dessous.

Twitter Facebook Linkedin email

Soyez le premier à réagir à cet article

Pour poster un commentaire, merci de vous identifier.

VLuWbEwDiKrwTTEo35eTxEpaNte9u3UDa64eJJRkMy1iBJ6MrBcwclVah0sv7lLy
logiciel chart 365 Suivez les marchés avec des outils de pros !

Chart365 par ABC Bourse, est une application pour suivre les marchés et vos valeurs favorites dans un environnement pensé pour vous.