Publié 19 Nov 2020 · Par charles · Wedoofood

Quelles sont les obligations de l’employeur en matière de protection des données personnelles des salariés ?

La protection des données personnelles des employés représente à la fois un sujet essentiel en entreprise et une inquiétude de la part des salariés.
Cependant quelles sont les obligations de l’employeur concernant la protection des données personnelles de ses salariés ?
Et quels sont les droits des salariés vis-à-vis de leurs données personnelles et quelles mesures peuvent être prises à l’encontre d’un employeur qui aurait été amené à violer ces données récoltés ?

 

1. Qu’est-ce que le règlement général concernant la protection des données (RGPD) ?

A. Qu’est-ce que le RGPD ? 

 

L’acronyme RGPD signifie “Règlement Général sur la Protection des Données”, ce règlement permet d’encadrer le traitement et la circulation des données à caractère personnel sur l’ensemble du territoire de l’Union européenne. L’objectif principal de la mise en place de ce règlement  est de renforcer la protection des données pour les individus au sein de l’Union européenne. 

Le RGPD est entré en vigueur dans l’ensemble des états membres de l’Union européenne le 25 mai 2018. 

 

B. Qui sont concernés par le RGPD ? 

 

Le RGPD s’applique à toute sorte d’organisme au sein de l’Union européenne traitant des données personnelles pour un usage à son compte ou non. Peu importe la taille de l’organisme, du moment qu’il soit présent sur le territoire de l’Union européenne ou que son activité ait un lien avec des résidents européens alors il est concerné.  

 

La responsabilité du respect du RGPD revient à l’employeur. Ainsi, il doit absolument faire preuve de vigilance quant à cette mise en conformité au sein de son entreprise. 

 

C- Qu’est ce qu’une donnée personnelle ? 

 

Selon la Commission National de l’Informatique et des Libertés (CNIL) une donnée personnelle correspond à :

Toute information se rapportant à une personne physique identifiée ou identifiable CNIL

L’identification d’une personne physique peut se faire de deux manières :

D’une manière directe : Nom, Prénom, Adresse postale.

D’une manière indirecte : Identifiant, Adresse IP, Numéro de téléphone, Données de localisation.

Mais aussi, sont considérés comme personnelles, les données qui permettent d’identifier une personne comme la date de naissance, le sexe, la ville d’habitation, les diplômes engrangés. 

 

2. Quelles sont les obligations de l’employeur concernant la protection des données personnelles de ses salariés ? 

 

L’employeur qui exploite des données personnelles est tenu respecter plusieurs obligations qui sont : 

– Recueillir l’accord de la personne concernée. 

– Informer la personne concernée de son droit d’accès, de modification et de suppression des informations collectées.

– Il doit veiller à la sécurité des systèmes d’information

– Il doit assurer la confidentialité des données personnelles 

– Il doit assurer une durée de conservation des données personnelles selon les dispositions légales fixées par la CNIL

 

L’objectif de la collecte d’informations doit être précis et les données doivent être partagée en accord avec cette finalité.

En ce qui concerne les données qui présentent un risque élevé pour les droits et les libertés des personnes, l’employeur est tenu de mettre en place une analyse d’impact sur la vie privée pour évaluer l’origine, la nature, la particularité  et la gravité de ce risque. Cette étude doit être présentée à la Commission Nationale de l’Informatique et des Libertés.

 

Tous les organismes qui traitent des données personnelles ont pour obligation de tenir un registre de traitement des données personnelles. 

Les entreprises de moins de 250 salariés doivent seulement inscrire au registre :

– Les traitements de données non occasionnels.

– Les traitements de données susceptibles de comporter un risque pour les droits et libertés des personnes.

– Les traitements qui portent sur des données sensibles. 

 

3. Quels sont les droits des salariés vis-à-vis de leurs données personnelles ? 

A. Les différents droits des salariés

 

Un droit d’accès à leurs données et la possibilité de rectifier ou s’opposer à leur utilisation. 

Un droit à la portabilité des données : toute personne a la possibilité de récupérer sous forme réutilisable les données qu’elle a fournies et les transférer à un tiers (sur un réseau social par exemple). 

Un droit à l’oubli : Toute personne a droit à la suppression de ses données ainsi qu’au droit de demander la suppression de certains résultats associés à son nom ou prénom apparaissant sur internet. 

Un droit à la notification : En cas de violation de la sécurité des données comportant un risque pour les personnes, le responsable est dans l’obligation d’avertir la personne concernée. Il doit également le notifier à la CNIL dans les 72 heures. 

Un droit à la répartition du dommage matériel ou moral : Toute personne qui a subi un dommage, qu’il soit matériel ou moral, du fait de la violation du règlement européen est dans son droit pour obtenir la réparation de son préjudice. 

 

B. La carte déjeuner : La sécurité renforcée

 

L’employeur n’est pas condamné à internaliser la totalité de ses actions de manière à éviter une potentielle violation des données personnelles de ses employés. La carte déjeuner dématérialisée, qui est amenée à remplacer totalement les titres-restaurant papiers, présente un système de sécurisation des données personnelles efficace. 

Plusieurs caractéristiques propres à la carte restaurant dématérialisée prouve qu’il est tout à fait possible d’allier sécurité et confiance tout en proposant une simplicité maximale. 

 

Plusieurs idées reçues sur la carte restaurant dématérialisée se révèlent être fausses :

– “ Mon employeur va pouvoir espionner mes dépenses : La confidentialité et la sécurité des données personnelles sont soumises à une réglementation stricte contrôlée par la Commission Nationale de l’Informatique et des Libertés (CNIL).

– “Il est facile de pirater une carte-restaurant dématérialisée” : À l’aide de multiples sécurités, la carte-restaurant s’avère être très difficile de piratage. Elle est conforme aux normes EMVco (Europay Mastercard Visa), un standard international de sécurité des cartes de paiement, qui est chargé de fixer un ensemble de spécificités techniques concernant l’utilisation de la puce sur les cartes de paiement.  

– “Lors d’une transaction, mes données sont transmises par la carte à puce” : Les données transmises par la carte lors d’une transaction sans contact sont moindres. Ni le code confidentiel, ni le cryptogramme visuel, ni même les noms et prénoms ne pourront être interceptés.

– “En cas de perte de ma carte, une personne pourra accéder à mon solde et mes informations personnelles” : En cas de perte ou vol, vous pouvez très rapidement faire opposition sur votre carte via le site internet ou l’application mobile. Le titulaire rendra alors son solde indisponible. Une nouvelle carte sera alors envoyée rapidement en remplacement de l’ancienne et contenant le solde disponible avant l’opposition. 

 

4. Quelle mesures peuvent être prises contre l’employeur en cas de violation des données personnelles des salariés ? 

 

Si une violation des données personnelles est constatée et qu’il est probable que cette violation engendre un risque pour les droits et libertés de la personne, il est très important de notifier la CNIL au plus tard 72 heures après avoir pris connaissance de la violation.

La CNIL sera chargée de prononcer des sanctions administratives et/ou judiciaire à l’encontre de l’employeur en cas de manquement aux obligations édictées par le règlement. 

La CNIL est habilitée à prononcer des mesures correctrices à l’encontre des entreprises ayant commis une violation des données personnelles de ses salariés. Parmis ces sanctions nous pouvons retrouver :

– Un avertissement.

– Une mise en demeure de l’entreprise.

– La suspension du flux des données. 

– La limitation temporaire ou définitive d’un traitement de données.

– Ordonner l’entreprise en question de satisfaire aux demandes d’exercice des droits des personnes concernées.

– Ordonner la rectification, la limitation ou l’effacement des données.

Selon la gravité de l’infraction constatée, il n’est pas impossible que des sanctions administratives particulièrement lourdes peuvent être prononcées. Le montant de ces sanctions peut aller jusqu’à plusieurs dizaines de millions d’euros. Des poursuites judiciaires peuvent être aussi envisagées contre l’entreprise et l’employeur fautif. 

 

Points à retenir :

– La tenue d’un registre est obligatoire pour les entreprise de plus de 250 salariés concernant les données personnelles traitées par tous les organismes.

– La carte restaurant dématérialisée présente un système de sécurisation des données personnelles très efficace. 

– En cas de constatation d’une violation des données personnelles, il est très important de notifier la CNIL au plus tard 72 heures après avoir pris connaissance de la violation.

 

Inscrire mon entreprise

Fermer

Mes premiers pas avec Wedoogift

Fermer

Je suis...

Je suis déjà utilisateur de Wedoofood

Me connecter