Archives par tags: données personnelles

Droit des nouvelles technologies,Droit des sociétés,Droit du travail,Droit marocain

Vidéosurveillance dans les lieux de travail

Posté le par bennani
25
Juil

La mise en place d’un système de vidéosurveillance sur les lieux de travail peut porter atteinte à la vie privée du salarié et représenter pour l’employeur un moyen d’exercer un contrôle sur celui-ci.

Il est donc nécessaire de trouver un équilibre entre la décision légitime de l’employeur d’exercer une surveillance dans son entreprise, afin d’assurer la sécurité des biens et des personnes, et la protection de la vie privée des salariés, d’où la réaction de la CNDP à travers une délibération fixant les conditions de mise en place de tels dispositifs et l’obligation de déclaration.

Décision de la CNDP

La Commission nationale de contrôle de la protection des données à caractère personnel a émis la Délibération n°350-2013 du 31/05/2013 portant sur les conditions nécessaires à la mise en place d’un système de vidéosurveillance dans les lieux de travail et dans les lieux privés communs par laquelle elle prévoit les conditions d’installation d’un système de vidéosurveillance dans les lieux de travail : deliberation-n-350-2013-31-05-2013

Les caméras peuvent être installées dans tout emplacement permettant la sécurité des biens et/ou des personnes, dans le respect de leur vie privée : entrées et sorties des bâtiments, couloirs, entrepôts de marchandises,  parkings, face à des coffres forts, à l’entrée et à l’intérieur des salles techniques, etc. Une déclaration au niveau de la CNDP est bien évidemment obligatoire.

Les informations à afficher

Les entreprises ou employeurs doivent prévoir une affiche ou un pictogramme, placé à l’entrée des établissements surveillés afin d’informer les personnes concernées, indiquant :

  • Le nom du responsable de traitement ;
  • Le fait que l’établissement est placé sous vidéosurveillance ;
  • La finalité de ce dispositif (la sécurité des biens et des personnes) ;
  • Les coordonnées du contact pour l’exercice, par les personnes concernées, des droits d’accès, de rectification et d’opposition ;
  • Le numéro du récépissé de la déclaration déposée auprès de la CNDP.

La durée de conservation des informations

La durée de conservation des images ne doit pas dépasser trois mois.

Droit commercial,Droit de la consommation,Droit des nouvelles technologies,Droit du travail

La géolocalisation des véhicules et outils des salariés

Posté le par bennani
04
Jan

De nombreuses entreprises utilisent les nouvelles technologies pour suivre la performance de leurs salariés et pour pouvoir augmenter la productivité et améliorer les conditions de travail.

Il s’agit notamment de la géolocalisation des véhicules professionnels, des outils informatiques ou de badges utilisés par les salariés pour tracer leur déplacement dans l’entreprise.

Dans la mesure où cela présente un risque de violation de la vie privée de ces salariés, il convient de s’assurer de la conformité des mécanismes mis en place aux obligations relatives au respect des données personnelles et au respect de la vie privée.

Le respect de la vie privée

Ce principe s’applique au profit du salarié, que ce soit pendant ou en dehors des heures de travail et sur le lieu de travail ou hors de ce lieu.

Tout contrôle qu’exercerait l’entreprise à l’égard du salarié, rendu possible par son pouvoir de direction, doit répondre au principe de proportionnalité, à un devoir d’information et de loyauté : « Attendu cependant que si l’employeur a le pouvoir de contrôler et de surveiller l’activité de son personnel pendant le temps de travail, il ne peut mettre en oeuvre un dispositif de contrôle clandestin et à ce titre déloyal ; » / « Attendu, en troisième lieu, que l’employeur a le droit de contrôler et de surveiller l’activité de ses salariés pendant le temps du travail ; que seul l’emploi de procédé clandestin de surveillance est illicite ; que la cour d’appel, qui a relevé que les salariés avaient été dûment avertis de ce que leurs conversations téléphoniques seraient écoutées, a pu décider que les écoutes réalisées constituaient un mode de preuve valable ; »

Il convient d’informer dûment les salariés de manière claire sur le traitement envisagé. Il s’agit d’une information similaire à celles prévues dans le RGPD (identité du responsable de traitement, la finalité poursuivie par le traitement, de la base légale du dispositif, etc.).

Sachant que les salariés peuvent s’opposer à l’installation d’un tel dispositif de géolocalisation dans leur véhicule professionnel, s’il ne respecte pas les conditions légales applicables.

Le respect des obligations relatives aux données personnelles

Il s’agit de définir l’objectif pour lequel l’usage des données personnelles est mis en place.

La CNIL publie un référentiel en la matière (ns51). Ainsi, des dispositifs de géolocalisation peuvent être installés dans des véhicules utilisés par des employés pour:

  •  » Suivre, justifier et facturer une prestation de transport de personnes, de marchandises ou de services directement liée à l’utilisation du véhicule. Par exemple : les ambulances dans le cadre de la dématérialisation de la facturation de l’assurance maladie.
  •  Assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge, et notamment retrouver le véhicule en cas de vol (par exemple, avec un dispositif inerte activable à distance à compter du signalement du vol).
  •  Mieux allouer des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence. Par exemple : identifier l’employé le plus proche d’une panne d’ascenseur ou l’ambulance la plus proche d’un accident.
  •  Accessoirement, suivre le temps de travail, lorsque cela ne peut être réalisé par un autre moyen.
  •  Respecter une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés.
  •  Contrôler le respect des règles d’utilisation du véhicule. »

L’employeur doit respecter la durée de conservation des donnés, et les mesures prévues par le RGPD, sous peine de voir sa responsabilité engagée.

Pour aller plus loin :

https://bennani.legal/2019/03/14/application-du-rgpd-aux-societes-etablies-hors-de-lunion-europeenne-2/

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Droit des nouvelles technologies,Droit marocain

Mentions type recommandées par la CNDP – Maroc

Posté le par bennani
07
Jan

Dans un contrat de travail :

L’employeur collecte et  traite les données personnelles du salarié en vue  d’assurer la gestion administrative de son dossier (paie, gestion de carrière).  Afin de permettre à l’employeur de répondre à ses obligations légales, ces données peuvent être transmises  aux organismes de la prévoyance sociale (la CNSS, la CIMR,..) au service des impôts et aux compagnies d’assurance.

Ce traitement a fait l’objet d’une déclaration / demande d’autorisation auprès de  la CNDP sous le numéro ……………

Le salarié peut s’adresser à ………………………………….pour exercer ses droits d’accès, de rectification et d’opposition conformément aux dispositions de la loi 09-08.

Assurance

Les données personnelles demandées par l’assureur ont un caractère obligatoire pour obtenir la souscription du présent contrat et l’exécution de l’ensemble des services qui y sont rattachés. Elles sont utilisées exclusivement à cette fin par les services de l’assureur et les tiers autorisés.

La durée de conservation de ces données est limitée à la durée du contrat d’assurance et à la période postérieure pendant laquelle leur conservation est nécessaire pour permettre à l’assureur de respecter ses obligations en fonction des délais de prescription ou en application d’autres dispositions légales.

Par ailleurs, la communication des informations de l’assuré/souscripteur est limitée aux communications obligatoires en fonction des obligations légales et réglementaires qui s’imposent à l’assureur et aux tiers légalement autorisés à obtenir les dites informations.

L’assureur garantit notamment le respect de la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Les données sont protégées aussi bien sur support physique qu’électronique, de telle sorte que leur accès soit impossible à des tiers non autorisés.

L’assureur s’assure que les personnes habilitées à traiter les données personnelles connaissent leurs obligations légales en matière de protection de ces données et s’y tiennent.

Les données à caractère personnel peuvent à tout moment faire l’objet d’un droit d’accès, de modification, de rectification et d’opposition auprès : (…..indiquer le service et le contact..).

De manière expresse, l’assuré/souscripteur autorise l’assureur à utiliser ses coordonnées à des fins de prospections commerciales en vue de proposer d’autres services d’assurance. Il peut s’opposer par courrier à la réception de sollicitations.

Formulaire

En cas d’utilisation d’un formulaire papier ou électronique pour la collecte des données :

Support : Formulaire papier ou électronique utilisés pour la collecte des données personnelles.

Par le biais de ce formulaire, (le nom du responsable du traitement) collecte vos données personnelles en vue …………(indiquer  la finalité du  traitement). Ce traitement a fait l’objet d’une déclaration / demande d’autorisation auprès de la CNDP sous le numéro…………   Les données personnelles collectées peuvent être transmises à …………(indiquer tous les destinataires potentiels en précisant s’ils sont au Maroc ou à l’étranger) conformément à la demande de transfert déposée auprès de la CNDP.

Vous pouvez vous adresser à ………………………………….pour exercer vos droits d’accès, de rectification et d’opposition conformément aux dispositions de la loi 09-08

Sous-traitance

Exemple de clause d’obligations de sécurité :

« Afin de garantir le secret, la sécurité et la confidentialité des données, le prestataire s’engage à :

  • prendre toutes précautions utiles, afin de préserver la sécurité des données, notamment empêcher qu’elles ne soient déformées, endommagées et empêcher tout accès qui ne serait pas préalablement autorisé par la société X ;
  • ne traiter les données que dans le cadre des instructions et de l’autorisation reçues de la société X ;
  • ne traiter les informations qu’entièrement et exclusivement en son sein et dans le cadre du présent contrat ;
  • s’assurer de la licéité des traitements réalisés dans le cadre de la mission confiée ;
  • ne pas recourir aux services d’un sous-traitant, sauf à ce que ce dernier soit préalablement et expressément habilité par la société X et agisse sous sa responsabilité et le contrôle du prestataire, dans le cadre d’un contrat soumis à la validation préalable de la société X et permettant d’assurer le respect des obligations souscrites par le prestataire ;
  • respecter son obligation de secret, de sécurité et de confidentialité, à l’occasion de toute opération de maintenance et de télémaintenance, réalisée au sein des locaux du prestataire ou de toute société intervenant dans le cadre du traitement ;
  • prendre toutes mesures de sécurité, notamment matérielle et logique, pour assurer la conservation et l’intégrité des données traitées ;
  • prendre toutes mesures permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse des données traitées ;
  • procéder, en fin de contrat, à la destruction des données, fichiers informatisés ou manuels, figurant sur tout support.

Par ailleurs, le prestataire s’interdit :

  • de divulguer, sous quelque forme que ce soit, tout ou partie des informations contenues dans des fichiers informatisés ou manuels, ou figurant sur tout support transmis par la société X ou concernant les informations recueillies au cours de l’exécution du présent contrat ;
  • d’utiliser les supports ou documents qui lui ont été confiés, par quelque moyen ou finalité que ce soit, pour son compte ou pour le compte de tiers, à des fins professionnelles, personnelles ou privées autres que celles définies au présent contrat, tout ou partie des informations contenues sur lesdits supports ou recueillies par elle au cours de l’exécution du présent contrat ;
  • de prendre copie ou stocker, quelles qu’en soient la forme et la finalité, tout ou partie des informations contenues sur les supports ou documents qui lui ont été confiés ou recueillies par elle au cours de l’exécution du présent contrat.

Le prestataire s’engage :

  • à première demande de la société X à apporter la preuve qu’il dispose des moyens organisationnels, techniques et financiers permettant de garantir le respect et l’effectivité de l’obligation de secret, de confidentialité et de sécurité résultant du contrat ;
  • à coopérer avec la société X dans toutes circonstances mettant en jeu l’obligation de secret, de confidentialité et de sécurité ;
  • à permettre la réalisation par la société X ou toute personne mandatée par cette dernière et sous réserve que les vérificateurs ne soient pas des concurrents directs du prestataire, de toute vérification lui paraissant utile de l’exécution des obligations par le prestataire. Le prestataire s’engage à coopérer de bonne foi et sans réserve avec les vérificateurs dès lors qu’il sera avisé de la réalisation d’un audit ;
  • à mettre en œuvre à ses frais et sans délai toutes mesures correctives soulignées dans le rapport de vérification.

Le prestataire reconnaît :

  • qu’en cas de non-respect des obligations souscrites dans le cadre du présent contrat, sa responsabilité pourra être engagée pénalement ;
  • qu’il pourra être tenu responsable envers la société X des dommages qui seraient causés par suite d’un manquement aux obligations résultant du présent contrat, ainsi qu’au versement de réparations du préjudice subi ;
  • que la société X pourra prononcer la résiliation immédiate du contrat de prestation de services, sans indemnité en faveur du prestataire, en cas de non-respect du secret, de la confidentialité et de la sécurité des données. »

Vidéosurveillance

En cas d’utilisation d’un dispositif de vidéosurveillance :Support : Panneau d’affichage visible sur lequel sera inscrite la mention suivante : La société (nom du responsable de traitement) a doté cet établissement d’un système de vidéosurveillance qui a fait l’objet d’une déclaration auprès de  la CNDP sous le numéro ……………Vos données personnelles sont traitées pour des raisons de sécurité.Vous pouvez vous adresser à ………………………………….pour exercer vos droits d’accès, de rectification et d’opposition conformément aux dispositions de la loi 09-08. 

Voir :

Déclaration de traitement de données personnelles

Délibération 350/2013 sur la vidéosurveillance

Droit commercial,Droit de la consommation,Droit des nouvelles technologies

Le RGPD et l’Avocat Data Protection Officer

Posté le par bennani
27
Déc

Le règlement général n° 2016/679 sur la protection des données prévoit des obligations applicables depuis le 25 mai 2018. Il consacre le statut de Data Protection Officer (DPO), chargé de s’assurer de la conformité de la collecte et la gestion des données à la réglementation Informatique et libertés.

Le DPO peut être interne à l’organisme concerné, comme ce service peut être externalisé, notamment en confiant cette mission à votre avocat.

L’avocat Data Protection Officer vous fera bénéficier de son expertise et sa connaissance de la réglementation Informatique et libertés et du Règlement européen sur la protection des données.

Nous pouvons intervenir à tous niveaux de l’exécution des dispositions du RGPD, et notamment dans le cadre des prestations suivantes :

  • audit des traitements ;
  • élaboration du plan de conformité au règlement général sur la protection des données ;
  • élaboration et mise en place des procédures internes prenant en compte les obligations issues du RGPD ;
  • sensibilisation et formation des équipes ;
  • traitement des réclamations ;
  • communication avec les autorités de contrôle ;
  • gestion des contrôles ;
  • labellisation et certification.

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Droit commercial,Droit de la consommation,Droit des nouvelles technologies

Application du RGPD aux sociétés établies hors de l’Union Européenne

Posté le par bennani
02
Juin

Le RGPD (le Règlement (UE) n°2016/679 du Parlement européen et du Conseil, du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE » (Règlement Général sur la Protection des Données) est paru au journal officiel de l’Union européenne entrera en application le 25 mai 2018. Ce texte vient mettre en conformité la réglementation applicable aux nouvelles réalités du numérique. Les traitements déjà mis en œuvre à cette date devront d’ici là être mis en conformité avec les dispositions du règlement

Il s’agit de renforcer la protection des droits des personnes, de responsabiliser les acteurs amenés à effectuer un traitement des données et de crédibiliser la régulation par une meilleure coopération entre les autorités chargées de la protection des données, les sanctions étant renforcées.

Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres.

Toutefois, le RGPD s’applique également au-delà des frontières de l’Union Européenne, ce dont résultent des obligations et un risque de sanction à l’encontre des sociétés hors UE devant se conformer aux dispositions du nouveau texte.

Définition du traitement de données à caractère personnel

Aux fins du règlement, on entend par :

1- « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2- « traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Application du RGPD au-delà du territoire de l’Union Européenne

Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les cibler.

Le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Ainsi, selon l’article 3 du RGPD :

« 1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

  1. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
  2. a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
  3. b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
  4. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public»

Autrement dit, le règlement s’applique dès qu’un résident européen sera visé par un traitement de données quelque soit le lieu d’implantation du responsable de traitements ou du sous-traitant.

Alors que le droit de la protection des données personnel antérieur au RGPD concerne principalement les responsables de traitements, le règlement étend aux sous-traitants une large partie des obligations imposées y prévues.

Conséquences de l’application du RGPD au-delà du territoire de l’Union Européenne

Le RGPD impose la mise à disposition d’une information claire et aisément accessible aux personnes concernées par le traitement de données qui doivent exprimer un consentement explicite et positif au traitement en question.

Les droits des personnes concernées

Le RGPD impose un consentement explicite et positif de la part de la personne concernée par le traitement des données. Ce consentement doit être éclairé en raison de l’obligation d’information préalable. La charge de la preuve repose sur le responsable de traitement (article 7 du RGPD).

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

« Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. Dans un tel cas, l’information doit être rédigée en des termes clairs et simples que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale.

Par ailleurs, la personne concernée a le droit de retirer son consentement à tout moment et d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant (droit à l’oubli).

Le RGPD reconnaît un nouveau droit, le droit à la portabilité des données, qui permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable (« dans un format structuré, couramment utilisé et lisible par la machine »), et, le cas échéant, de les transférer à un tiers. Il s’agit de redonner aux personnes la maîtrise de leurs données.

Les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles. Les responsables du traitement et sous-traitants seront ainsi tenu, en vertu d’actions individuelles ou collectives, à la réparation de tout préjudice matériel ou moral subi par toute personne du fait de la violation du RGPD.

Les nouvelles obligations

Le RGPD prévoit de nouvelles obligations à la charge du responsable du traitement ou du sous-traitant centrées sur la responsabilisation des acteurs en allégeant les obligations déclaratives et en imposant de nouveaux outils visant à garantir le respect du règlement.

  • Protection des données dès la conception: le règlement impose aux sociétés de prendre en compte les exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant des données à caractère personnel (« Privacy by design »).
  • Un allègement des formalités administratives et une responsabilisation des acteurs: Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability). D’où la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
  • la tenue d’un registre des traitements mis en œuvre
  • la notification de failles de sécurité (aux autorités et personnes concernées)
  • la certification de traitements
  • l’adhésion à des codes de conduites
  • Les études d’impact sur la vie privée: lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, le responsable du traitement doit effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données.
  • La nomination d’un « Data Protection Officer » ou délégué à la protection des données : lorsque le traitement est effectué par une autorité publique ou un organisme public (à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle), lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ou en un traitement à grande échelle de catégories particulières de données.
  • Notification en cas de violation des données à caractère personnel: le responsable du traitement doit notifier la violation en question à l’autorité de contrôle compétente 72 heures au plus tard après en avoir pris connaissance.

Les sanctions de la violation du RGPD

En plus de la réparation du préjudice subi par la personne concernée par le traitement, les responsables de traitement et les sous-traitants soumis au RGPD peuvent faire l’objet d’une panoplie de sanctions administratives selon la gravité des infractions : avertissement, mise en demeure, limitation des traitements, suspension des flux de données, ordre de rectifier, limiter ou effacer les données, amende ou encore retrait de la certification délivrée.

L’amende administrative s’élève à :

  • 10 millions d’euros (ou 2% du chiffre d’affaires mondial annuel s’il s’agit d’une personne morale), notamment en cas de violations aux obligations relatives au consentement des enfants, violations relatives à la sécurité des données personnelles, etc ;
  • 20 millions d’euros (ou 4% du chiffre d’affaires), notamment en cas de violation des dispositions relatives à la portabilité des données, violation des principes de base, violation des dispositions relatives au consentement et non-respect d’une injonction émise par l’autorité de contrôle.