Le traitement informatisé de données personnelles (fichiers comportant des noms, prénoms, photos ou vidéos de personnes, données biométriques, etc.) fait l’objet d’une protection qui impose actuellement aux entreprises procédant à ce type de traitement de les déclarer au préalable à la Commission nationale informatique et libertés (Cnil). Un règlement européen du 27 avril 2016[1] réforme cette protection notamment en supprimant la plupart des déclarations, mais il n’en découle pas pour autant un allègement des obligations pour les entreprises.
Cette réforme concerne les employeurs qui peuvent pour de multiples raisons traiter des données personnelles par informatique : gestion administrative des ressources humaines (gestion des dossiers du personnel, tenue d’un annuaire interne, d’un organigramme), contrôle et surveillance (écoute et enregistrement des appels téléphoniques, système de vidéosurveillance, utilisation de données biométriques, de la géolocalisation, contrôle de l’accès aux locaux), etc.
À compter du 25 mai 2018, les contrôles préalables systématiques de la Cnil seront supprimés (sauf pour certaines données sensibles qui restent à définir) pour être remplacés par une logique de conformité qui impose aux entreprises d’analyser leurs traitements de données personnelles en amont, afin de mesurer leur impact sur la vie privée.
En cas de contrôle par la Cnil, elles devront démontrer la conformité de leurs traitements avec les règles en vigueur, ce qui nécessitera la tenue d’une documentation interne à jour sur les traitements qu’elles mettent en œuvre.
À défaut, elles s’exposeront à des sanctions. Or, le rapport de la Cnil pour 2016 relève que 14 % des plaintes ont concerné les ressources humaines. Les sanctions prises peuvent être pénales (de 3 à 5 ans de prison et de 100 000 € à 300 000 € d’amende, selon l’’infraction constatée[2]). Il peut aussi s’agir de sanctions pécuniaires appliquées par la Cnil hors de toute procédure pénale. Le montant maximal de ces sanctions a été récemment porté à 3 millions d’euros[3]. À terme, elles pourront atteindre 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires mondial, le plus élevé de ces montants étant retenu.
Afin d’aider les entreprises à appréhender cette réforme, la Cnil incite à désigner un délégué à la protection des données (DPO), dans les cas où il n’est pas obligatoire, et propose des outils pour aider les entreprises à se préparer à ce changement (https://www.cnil.fr/fr/reglement-europeen-encore-un-pour-se-preparer). Il est à noter que le DPO peut être une personne interne ou externe à l’entreprise et qu’il peut être mutualisé.
Ce règlement européen, d’application directe, prendra effet à compter du 25 mai 2018, ce qui laisse moins d’un an aux entreprises pour se mettre en conformité.
[1] Règlement européen 2016/679 du 27 avril 2016
[2] Art. 226-16 et s. C. pén.
[3] Loi n° 2016-1321 du 7 octobre 2016