FR EN

Toute l'actualité du social

23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
22.03.2024 10:34

DEEP FAKES PORNOGRAPHIQUES : Que dit la loi ?

La diffusion de deepfakes pornographiques mettant en scène la chanteuse Taylor Swift à la fin du...


Cat: Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Droit Social, Veille Juridique
12.02.2024 16:49

Congés payés : Les règles d’acquisition ont changé !

Le Conseil constitutionnel s’est prononcé à son tour (2/2)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Les essentiels, Veille Juridique
10.01.2024 14:55

Droit social : Attention à la rédaction de l’avis d’inaptitude !

A la suite d’un avis d’inaptitude d’un salarié, l’employeur est dispensé de toute recherche de...


Cat: Droit Social, Contentieux prud'homal et licenciements , Hygiène, Santé et sécurité , Relations individuelles et contrat de travail, Veille Juridique
10.01.2024 10:39

Proposition d’un CDI à l’issue d’un CDD : une nouvelle formalité incombe aux employeurs

Depuis le 1er janvier 2024, une nouvelle procédure est en vigueur pour les employeurs souhaitant...


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Gestion des départs négociés , Relations individuelles et contrat de travail, Veille Juridique
26.12.2023 16:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 3 : La recherche de la vérité au prisme de la déloyauté de la preuve (3/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
25.12.2023 15:23

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 2 : Production des bulletins de paie (2/3)


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
24.12.2023 10:22

Droit à la preuve face à la protection des données personnelles : peut-on tout utiliser comme moyen de preuve ?

Épisode 1 : Enregistrement vocal de l’employeur à son insu (1/3)


Cat: Droit Social, Contentieux prud'homal et licenciements , Droit pénal du travail , Relations individuelles et contrat de travail, Veille Juridique
voir les archives ->
< Compte rendu du colloque "Marques et Internet"
11.07.2017 09:05 Il y a: 7 yrs
Categorie: Droit des Technologies Avancées, Droit des sociétés , Informatique, libertés et vie privée
Auteur : Me F. Charruyer - Avocat Toulouse

RGPD : le nouveau règlement européen sur la protection des données personnelles


Les Master Class d’ALTIJ : Intervention du 30 juin 2017 avec la participation de Monsieur Jean-Luc SAURON, président de l’association Dataring, et animée par Me France CHARRUYER, avocat associé fondateur du Cabinet ALTIJ Vous êtes tous concernés par la compliance et la gouvernance de vos données au sein de votre entreprise. Il s’agit d’un enjeu majeur pour les individus en matière de libertés publiques fondamentales mais également pour les entreprises puisque l’Europe contraint les acteurs économiques à un nouvel arsenal règlementaire fondé sur la responsabilité de l’entreprise via le concept d’accountability, le consentement et la protection renforcée du citoyen internaute. Le nouveau règlement de l’Union Européenne (« UE »)[1] conserve pour partie les principes posés par la précédente directive de 1995[2] en les assortissant de sanctions. Le choix de passer d’une directive à un règlement n’est pas anodin puisqu’un règlement est d’application directe dans les Etats membres (sous réserve des 57 renvois au droit national[3], notamment sur les données sensibles). Des dispositions nationales peuvent être adoptées pour la prise en compte des besoins TPE/PME : par exemple, Dublin et le Luxembourg prévoient une règlementation assez souple pour favoriser les opérateurs économiques et les GAFAM[4].

NB : 80% des entreprises qui n’ont pas démarré le processus de mise en conformité ne seront pas prêtes.

Quoi ?

  • Toutes les données personnelles se rapportant à des personnes physiques identifiées ou identifiables
  • « Le traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier » (art. 3 du RGPD).
  • Pas de distinction qu'il s'agisse d’un traitement mis en oeuvre par une personne physique ou une personne morale de droit public ou privé
  • Exceptions : caractère exclusivement privé (activité domestique) ainsi que les traitements mis en œuvre par les Etats aux fins de prévention et de détection des infractions pénales[5].typo3/

Qui ?

  • Principe : À tous les organismes qui traitent des « données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union européenne » (art. 3 du RGPD).
  • Critère de l'établissement : Applicable aux responsables du traitement et à tous les sous-traitants établis sur le territoire de l'UE.
  • Tous les responsables de traitement (« RT ») et/ou sous-traitant (« ST ») mettant en œuvre des traitements visant à fournir des biens et services à des citoyens de l’Union Européenne, même gratuitement, à traiter leurs DP ou à suivre leur comportement au sein de l'UE (critère du ciblage).
  • Exemple :  SAMSUNG, en Corée du Sud, devra appliquer le RGPD s'il traite des données personnelles (« DP ») de citoyens européens
 

Où ?

  • Champ d'application territorial (art. 3 RGPD) : s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union européenne.
  • Champ d'action extraterritorial : s’applique aux entreprises établies hors de l’UE si elles traitent des données de personnes situées sur le territoire de l’Union Européenne.
Il est principalement à craindre que le nouveau règlement européen ne sanctionne que les organisations et entreprises européennes avec une culture faible de la gestion des risques alors même que le citoyen hyper connecté et sensibilisé à la protection des libertés fondamentales, n’hésite pas à utiliser les voies juridictionnelles directement ou par l’intermédiaire d’associations de consommateurs, de protection de la vie privée, voire de syndicats pour faire plier les opérateurs économiques. Les GAFAM, plus affûtés sur la culture du risque juridique, se sont préparés et ont fait leur mea culpa (Facebook et Apple) et annoncent que la vie privée est un de leurs enjeux essentiels voire leur business model. Au-delà de cette posture que certains moqueront comme les nouveaux Tartuffe, la protection des DP ne doit pas être considérée en Europe comme une mesure ou comme un épouvantail cosmétique mais bien comme une réelle opportunité pour les entreprises de s’approprier la gouvernance des données.

Les dix commandements de la mise en conformité

 

Le rétro planning de la mise en conformité

 

Opportunités

 

Pôle Data Altij

  Le DPO étant une fonction transverse, nous avons structuré notre pôle autour d’un ingénieur en informatique rompu à la cybersécurité et formé au RGPD, assisté par une équipe d’avocats dont le domaine d’expertise est les nouvelles technologies.

typo3/ [1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, ci après-dénommé RGPD, ou GDPR. Disponible sur : https://www.cnil.fr/fr/reglement-europeen-protection-donnees
[2] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Consultable sur : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML
[3] « Les renvois du règlement au droit national sont assez divers, rendant complexe une présentation synoptique, indique la CNIL. Le chapitre IX a pour objet d’énumérer des champs d’intervention dans lesquels les Etats membres peuvent préciser ou déroger au règlement : traitements journalistiques, traitements et accès du public aux documents officiels, traitement du NIR, traitements des données au travail, traitement des données à des fins de recherche historique, scientifique ou statistique, obligations de secret. Mais il existe aussi des dispositions disséminées, qui renvoient le soin aux Etats membres de fixer les mesures et garanties appropriées ou de compléter les règles existantes. » Consultable sur : https://www.cnil.fr/en/node/23472typo3/ [4] Il s’agit de l’acronyme des géants du web : Google, Apple, Facebook, Amazon et Microsoft.
[5] Directive (UE) 2016/680 du Parlement européen et du conseil du 27 avril 2016. Consultable sur : http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0089.01.FRA