search

Quelles obligations simposent au responsable de traitement et ou au Sous

1 ans depuis
commentaires: 0
Vues: 48

Parmi les nombreuses réglementations et obligations qui s’imposent aux employeurs en matière de gestion des RH, celles en lien avec la RGPD peuvent sembler anecdotiques, voire négligeables. Et pourtant, les risques sont bien réels et les conséquences peuvent être extrêmes lourdes pour les entreprises.

Show

En matière de traitement des données personnelles, depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (dit RGPD) le 23 mai 2018 et la révision de la Loi Informatiques et Libertés du 6 janvier 1978, les obligations relatives à la protection des données personnelles sont nombreuses.

Elles peuvent parfois être longues et fastidieuses, comme la tenue d’un registre de traitement régulier, la mise en place d’une analyse d’impact, etc.

Ou coûteuses, dès lors qu’il faut revoir l’intégralité du système de sécurité des données personnelles, sécuriser le matériel informatique, faire appel à des consultants pour mettre notre entreprise aux normes légales et s’assurer de sa conformité.

La tentation peut donc apparaître d’être un peu plus laxiste par moments, de détourner le regard ou de se dire que la Commission Informatiques et Libertés (dite la « CNIL ») n’en saura jamais rien.

Après tout, quel est le pire qui puisse arriver ? Qu’est-ce que je risque vraiment si je n’assure pas cette conformité ?

Pour vous convaincre d’assurer vos obligations légales au sein de l’entreprise, nous ferons dans cet article un petit tour justement du « pire » et des sanctions que risque votre entité en cas de non-conformité aux dispositions légales.

  • Cadre général
    • Que dit le RGPD ?
    • Le pouvoir de la CNIL
  • La responsabilité pénale
  • Les sanctions de la CNIL
    • Types de sanctions
    • Quelques exemples

Cadre général

Depuis 1978, le droit à la protection des données à caractère personnel a été institué comme un droit indépendant, fort, qui se distingue du droit à la protection de la vie privée.

On comprendra donc aisément que, comme pour la protection de n’importe quel droit, des sanctions soient applicables en cas de violation de ce droit.

Que dit le RGPD ?

L’article 32 du RGPD rappelle que chaque entité traitant des données personnelles doit garantir un niveau de sécurité adéquat, adapté à ses moyens et à ses besoins. Une obligation non-négligeable quand on sait qu’un nouveau virus serait lancé dans le monde toutes les 15 secondes et qu’en 2017, plus d’un milliard d’attaques informatiques ont été dénombrées !

En outre, le RGPD dispose que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » (art. 82). Dans le cas où cette réparation ne serait pas effectuée, c’est aux autorités de contrôle nationales de veiller au respect du RGPD en imposant des amendes administratives (article 83). En France, c’est à la CNIL que revient cette lourde tâche.

À lire également :

  • Veille sociale – Janvier 2022
  • Actualité jurisprudentielle – Décembre 2021
  • Comment bien préparer un contrôle URSSAF ?

Le pouvoir de la CNIL

Cette dernière a tout pouvoir pour imposer des amendes dont le montant dépend de plusieurs critères :

  • La nature et la gravité des faits, ainsi que le niveau de dommage et la nature des données concernées (une violation relative à des données sensibles coûtera plus cher qu’une violation sur des données classiques !).
  • Si la violation a été commise délibérément ou par négligence.
  • Si le responsable de traitement a pris des mesures pour remédier au problème – ainsi que son degré de responsabilité – ou si au contraire, il a laissé les choses en l’état.

Pris tous ensemble, ces critères peuvent donner lieu à l’application d’amendes salées ! Jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial, étant entendu que le montant le plus élevé sera retenu !

Advertisements

Quelles obligations simposent au responsable de traitement et ou au Sous

Cette amende peut monter à 20 millions d’euros ou 4% du CA annuel mondial si la violation concerne les droits des personnes, un non-respect du consentement ou en cas de transfert non autorisé de données personnelles en dehors de l’Union Européenne.

On ne rigole plus donc, avec nos données personnelles !

La responsabilité pénale

Il n’y a pas qu’en application du RGPD que la responsabilité peut être engagée. D’un point de vue national, tout manquement à la loi Informatique et Libertés peut être punissable sur le plan pénal.

En application des articles 226-16 et suivants du Code pénal, les sanctions en cas d’atteinte aux données personnelles peuvent aller jusqu’à 5 ans d’emprisonnement et 300.000 € d’amende !

On comprend mieux donc la nécessité, notamment pour les services RH traitant au quotidien des données personnelles (et plus particulièrement celles en lien avec les candidatures et l’onboarding), de veiller à l’application des dispositions légales et réglementaires !

Les sanctions de la CNIL

Quelles obligations simposent au responsable de traitement et ou au Sous

Types de sanctions

L’amende ou la condamnation pénale n’est pas forcément la sanction appliquée immédiatement par l’autorité compétente. En la matière la formation restreinte de la CNIL peut prononcer l’une ou plusieurs des mesures suivantes :

  • Un rappel à l’ordre : il s’agit d’un avertissement de la CNIL de prendre les mesures qui s’imposent pour corriger la défaillance.
  • Une injonction de se mettre en conformité, qui peut être assortie d’une astreinte pouvant aller jusqu’à 100.000 € par jour de retard.
  • Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation (à l’exception des traitements qui concernent la sûreté de l’État).
  • Le retrait d’une certification.
  • La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale.
  • L’amende administrative.

Quelques exemples

Voici quelques exemples d’entreprises ayant reçu une amende administrative pour non-respect des dispositions légales en matière de données personnelles de leurs salariés.

En 2020, SPARTOO a été condamné au paiement d’une amende de 250.000 euros pour l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client, sans en avertir ces derniers, et de façon excessive.

En 2019, Union Trad Company a reçu de la CNIL une amende de 20.000 euros pour vidéosurveillance excessive de ses salariés sans que ces derniers en soient informés.

En 2012, une entreprise a reçu une amende de 10.000 € pour refus de l’employer d’accéder à la demande du salarié de lui fournir un accès et de prendre copie de l’ensemble des données le concernant.

En 2017, une entreprise s’est vue prononcer une sanction pécuniaire de 10.000 € pour avoir mis en œuvre illégalement un système biométrique de reconnaissance de l’empreinte digitale à des fins de contrôle des horaires de ses salariés.

À lire également :

  • Onboarding RH, la checklist pour intégrer un nouveau collaborateur.
  • Offboarding RH, définition, enjeux, processus …
  • Salariés démotivés les signes qu’il faut prendre en compte.

Notez le

Rated 4.5 / 5 based on 185 reviews

Partager l'article

Vous pourriez également être intéressé par

Sarah Benhammou

Avocate au Barreau de Paris, j'interviens aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats, droit du travail et droit des sociétés. Je suis également spécialisée en Droit des données personnelles et j'assiste les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D.

Quelles obligations s'imposent au responsable de traitement et ou au Sous

Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement : doit documenter, en interne sous forme d'un registre, la violation qui vient de se produire ; doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h.

Quelles sont obligations du responsable du traitement ?

Les obligations du responsable de traitement Application de mesures organisationnelles et techniques pour sécuriser les données, Coopération avec l'autorité de contrôle, Respect des droits dont disposent les utilisateurs quant à la consultation et à la modification de leurs données.

Quelles sont les obligations incombant aux responsables de traitements de données personnelles ?

Obligation générale de sécurité et de confidentialité Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.

Quelles sont obligations et les responsabilités spécifiques du Sous

Le sous-traitant doit être en mesure d'assurer à la structure cliente que les données qui lui ont été confiées sont bien en sécurité. L'ensemble du personnel traitant ces données personnelles est en outre soumis à une obligation de confidentialité vis-à-vis de ces informations.

exemple sous-traitant rgpd Article 28 RGPD Article 32 RGPD

Articles Similaires

Quelles autorités assurent la protection des données personnelles France
Quelles autorités assurent la protection des données personnelles France

Quelle est la différence entre un signal numérique et un signal discret?
Quelle est la différence entre un signal numérique et un signal discret?

Comment l'innovation peut contribuer à la Soutenabilite de la croissance ?
Comment l'innovation peut contribuer à la Soutenabilite de la croissance ?

Quels sont les moyens aujourdhui mis en œuvre pour favoriser l'adaptation au changement climatique et pourquoi ces actions Sont
Quels sont les moyens aujourdhui mis en œuvre pour favoriser l'adaptation au changement climatique et pourquoi ces actions Sont

Quelle couche OSI envoie des segments à encapsuler dans un paquet ipv4 ou ipv6 * ?
Quelle couche OSI envoie des segments à encapsuler dans un paquet ipv4 ou ipv6 * ?

Le progrès technique peut engendrer des inégalités de revenus Dissertation
Le progrès technique peut engendrer des inégalités de revenus Dissertation

Quelles autorités assurent la protection des données personnelles en Europe ?
Quelles autorités assurent la protection des données personnelles en Europe ?

Quelles sont les obligations en matière de traitement des données personnelles ?
Quelles sont les obligations en matière de traitement des données personnelles ?

Quelle est la principale loi appliquée la protection des données personnelles ?
Quelle est la principale loi appliquée la protection des données personnelles ?

Quelles autorités assurent la protection des données personnelles dans ces différents Paysen Belgique ?
Quelles autorités assurent la protection des données personnelles dans ces différents Paysen Belgique ?

Publicité

DERNIÈRES NOUVELLES

Taille en cm de liphone 11
1 ans depuis . par AdvantageousDugout
Sauce avec du lait sans crème
1 ans depuis . par RealSpectacle
Combien coûte liphone 13 pro
1 ans depuis . par ThoughtlessPendulum
Comparatif iphone 11 vs 11 pro
1 ans depuis . par DemureBrewer
Mot anglais avec le son e
1 ans depuis . par GoldenRiches
Pourquoi mon iPhone ne s’allume
1 ans depuis . par NonprofitWaitress
Ecran d accueil iphone ios 14
1 ans depuis . par FatefulArdor
Pourquoi pdf souvre avec chrome
1 ans depuis . par TerritorialSnapshot
Prix iphone 8 128 go neuf
1 ans depuis . par IrreversibleAdage
Prix iphone 8 32 go neuf
1 ans depuis . par AnnualDeflation

Publicité

Populer

Publicité

À propos de

Juridique

Aider

Sociale

homeendefrjakoptzhhiittr
droits d'auteur © 2024 paraquee Inc.