Archives par tags: rgpd

Droit commercial,Droit de la consommation,Droit des nouvelles technologies,Droit du travail

La géolocalisation des véhicules et outils des salariés

Posté le par bennani
04
Jan

De nombreuses entreprises utilisent les nouvelles technologies pour suivre la performance de leurs salariés et pour pouvoir augmenter la productivité et améliorer les conditions de travail.

Il s’agit notamment de la géolocalisation des véhicules professionnels, des outils informatiques ou de badges utilisés par les salariés pour tracer leur déplacement dans l’entreprise.

Dans la mesure où cela présente un risque de violation de la vie privée de ces salariés, il convient de s’assurer de la conformité des mécanismes mis en place aux obligations relatives au respect des données personnelles et au respect de la vie privée.

Le respect de la vie privée

Ce principe s’applique au profit du salarié, que ce soit pendant ou en dehors des heures de travail et sur le lieu de travail ou hors de ce lieu.

Tout contrôle qu’exercerait l’entreprise à l’égard du salarié, rendu possible par son pouvoir de direction, doit répondre au principe de proportionnalité, à un devoir d’information et de loyauté : « Attendu cependant que si l’employeur a le pouvoir de contrôler et de surveiller l’activité de son personnel pendant le temps de travail, il ne peut mettre en oeuvre un dispositif de contrôle clandestin et à ce titre déloyal ; » / « Attendu, en troisième lieu, que l’employeur a le droit de contrôler et de surveiller l’activité de ses salariés pendant le temps du travail ; que seul l’emploi de procédé clandestin de surveillance est illicite ; que la cour d’appel, qui a relevé que les salariés avaient été dûment avertis de ce que leurs conversations téléphoniques seraient écoutées, a pu décider que les écoutes réalisées constituaient un mode de preuve valable ; »

Il convient d’informer dûment les salariés de manière claire sur le traitement envisagé. Il s’agit d’une information similaire à celles prévues dans le RGPD (identité du responsable de traitement, la finalité poursuivie par le traitement, de la base légale du dispositif, etc.).

Sachant que les salariés peuvent s’opposer à l’installation d’un tel dispositif de géolocalisation dans leur véhicule professionnel, s’il ne respecte pas les conditions légales applicables.

Le respect des obligations relatives aux données personnelles

Il s’agit de définir l’objectif pour lequel l’usage des données personnelles est mis en place.

La CNIL publie un référentiel en la matière (ns51). Ainsi, des dispositifs de géolocalisation peuvent être installés dans des véhicules utilisés par des employés pour:

  •  » Suivre, justifier et facturer une prestation de transport de personnes, de marchandises ou de services directement liée à l’utilisation du véhicule. Par exemple : les ambulances dans le cadre de la dématérialisation de la facturation de l’assurance maladie.
  •  Assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge, et notamment retrouver le véhicule en cas de vol (par exemple, avec un dispositif inerte activable à distance à compter du signalement du vol).
  •  Mieux allouer des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence. Par exemple : identifier l’employé le plus proche d’une panne d’ascenseur ou l’ambulance la plus proche d’un accident.
  •  Accessoirement, suivre le temps de travail, lorsque cela ne peut être réalisé par un autre moyen.
  •  Respecter une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés.
  •  Contrôler le respect des règles d’utilisation du véhicule. »

L’employeur doit respecter la durée de conservation des donnés, et les mesures prévues par le RGPD, sous peine de voir sa responsabilité engagée.

Pour aller plus loin :

https://bennani.legal/2019/03/14/application-du-rgpd-aux-societes-etablies-hors-de-lunion-europeenne-2/

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Droit des nouvelles technologies,Droit marocain,Expatriés

Application du RGPD aux sociétés établies hors de l’Union Européenne

Posté le par bennani
14
Mar

Le RGPD (le Règlement (UE) n°2016/679 du Parlement européen et du Conseil, du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE » (Règlement Général sur la Protection des Données) est paru au journal officiel de l’Union européenne entrera en application le 25 mai 2018. Ce texte vient mettre en conformité la réglementation applicable aux nouvelles réalités du numérique. Les traitements déjà mis en œuvre à cette date devront d’ici là être mis en conformité avec les dispositions du règlement.

Il s’agit de renforcer la protection des droits des personnes, de responsabiliser les acteurs amenés à effectuer un traitement des données et de crédibiliser la régulation par une meilleure coopération entre les autorités chargées de la protection des données, les sanctions étant renforcées.

Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres.

Toutefois, le RGPD s’applique également au-delà des frontières de l’Union Européenne, ce dont résultent des obligations et un risque de sanction à l’encontre des sociétés hors UE devant se conformer aux dispositions du nouveau texte.

Définition du traitement de données à caractère personnel

Aux fins du règlement, on entend par :

1- « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2- « traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Application du RGPD au-delà du territoire de l’Union Européenne

Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor).

En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Ainsi, selon l’article 3 du RGPD :

« 1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

3. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public»

Autrement dit, le règlement s’applique dès qu’un résident européen sera visé par un traitement de données quelque soit le lieu d’implantation du responsable de traitements ou du sous-traitant.

Alors que le droit de la protection des données personnel antérieur au RGPD concerne principalement les responsables de traitements, le règlement étend aux sous-traitants une large partie des obligations imposées y prévues.

Conséquences de l’application du RGPD au-delà du territoire de l’Union Européenne

Le RGPD impose la mise à disposition d’une information claire et aisément accessible aux personnes concernées par le traitement de données qui doivent exprimer un consentement explicite et positif au traitement en question.

Les droits des personnes concernées

Le RGPD impose un consentement explicite et positif de la part de la personne concernée par le traitement des données. Ce consentement doit être éclairé en raison de l’obligation d’information préalable. La charge de la preuve repose sur le responsable de traitement (article 7 du RGPD).

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

« Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. Dans un tel cas, l’information doit être rédigée en des termes clairs et simples que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale.

Par ailleurs, la personne concernée a le droit de retirer son consentement à tout moment et d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant (droit à l’oubli).

Le RGPD reconnaît un nouveau droit, le droit à la portabilité des données, qui permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable (« dans un format structuré, couramment utilisé et lisible par la machine »), et, le cas échéant, de les transférer à un tiers. Il s’agit de redonner aux personnes la maîtrise de leurs données.

Les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles. Les responsables du traitement et sous-traitants seront ainsi tenu, en vertu d’actions individuelles ou collectives, à la réparation de tout préjudice matériel ou moral subi par toute personne du fait de la violation du RGPD.

Les nouvelles obligations

Le RGPD prévoit de nouvelles obligations à la charge du responsable du traitement ou du sous-traitant centrées sur la responsabilisation des acteurs en allégeant les obligations déclaratives et en imposant de nouveaux outils visant à garantir le respect du règlement.

  • Protection des données dès la conception : le règlement impose aux sociétés de prendre en compte les exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant des données à caractère personnel (« Privacy by design »).
  • Un allègement des formalités administratives et une responsabilisation des acteurs : Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability). D’où la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
  • la tenue d’un registre des traitements mis en œuvre
  • la notification de failles de sécurité (aux autorités et personnes concernées)
  • la certification de traitements
  • l’adhésion à des codes de conduites
  • Les études d’impact sur la vie privée : lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, le responsable du traitement doit effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données.
  • La nomination d’un « Data Protection Officer » ou délégué à la protection des données : lorsque le traitement est effectué par une autorité publique ou un organisme public (à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle), lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ou en un traitement à grande échelle de catégories particulières de données.
  • Notification en cas de violation des données à caractère personnel : le responsable du traitement doit notifier la violation en question à l’autorité de contrôle compétente 72 heures au plus tard après en avoir pris connaissance.

Les sanctions de la violation du RGPD

En plus de la réparation du préjudice subi par la personne concernée par le traitement, les responsables de traitement et les sous-traitants soumis au RGPD peuvent faire l’objet d’une panoplie de sanctions administratives selon la gravité des infractions : avertissement, mise en demeure, limitation des traitements, suspension des flux de données, ordre de rectifier, limiter ou effacer les données, amende ou encore retrait de la certification délivrée.

L’amende administrative s’élève à :

  • 10 millions d’euros (ou 2% du chiffre d’affaires mondial annuel s’il s’agit d’une personne morale), notamment en cas de violations aux obligations relatives au consentement des enfants, violations relatives à la sécurité des données personnelles, etc ;
  • 20 millions d’euros (ou 4% du chiffre d’affaires), notamment en cas de violation des dispositions relatives à la portabilité des données, violation des principes de base, violation des dispositions relatives au consentement et non-respect d’une injonction émise par l’autorité de contrôle.

Liens externes :

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Droit commercial,Droit de la consommation,Droit des nouvelles technologies

Le RGPD et l’Avocat Data Protection Officer

Posté le par bennani
27
Déc

Le règlement général n° 2016/679 sur la protection des données prévoit des obligations applicables depuis le 25 mai 2018. Il consacre le statut de Data Protection Officer (DPO), chargé de s’assurer de la conformité de la collecte et la gestion des données à la réglementation Informatique et libertés.

Le DPO peut être interne à l’organisme concerné, comme ce service peut être externalisé, notamment en confiant cette mission à votre avocat.

L’avocat Data Protection Officer vous fera bénéficier de son expertise et sa connaissance de la réglementation Informatique et libertés et du Règlement européen sur la protection des données.

Nous pouvons intervenir à tous niveaux de l’exécution des dispositions du RGPD, et notamment dans le cadre des prestations suivantes :

  • audit des traitements ;
  • élaboration du plan de conformité au règlement général sur la protection des données ;
  • élaboration et mise en place des procédures internes prenant en compte les obligations issues du RGPD ;
  • sensibilisation et formation des équipes ;
  • traitement des réclamations ;
  • communication avec les autorités de contrôle ;
  • gestion des contrôles ;
  • labellisation et certification.

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Droit commercial,Droit de la consommation,Droit des nouvelles technologies

Application du RGPD aux sociétés établies hors de l’Union Européenne

Posté le par bennani
02
Juin

Le RGPD (le Règlement (UE) n°2016/679 du Parlement européen et du Conseil, du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE » (Règlement Général sur la Protection des Données) est paru au journal officiel de l’Union européenne entrera en application le 25 mai 2018. Ce texte vient mettre en conformité la réglementation applicable aux nouvelles réalités du numérique. Les traitements déjà mis en œuvre à cette date devront d’ici là être mis en conformité avec les dispositions du règlement

Il s’agit de renforcer la protection des droits des personnes, de responsabiliser les acteurs amenés à effectuer un traitement des données et de crédibiliser la régulation par une meilleure coopération entre les autorités chargées de la protection des données, les sanctions étant renforcées.

Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres.

Toutefois, le RGPD s’applique également au-delà des frontières de l’Union Européenne, ce dont résultent des obligations et un risque de sanction à l’encontre des sociétés hors UE devant se conformer aux dispositions du nouveau texte.

Définition du traitement de données à caractère personnel

Aux fins du règlement, on entend par :

1- « données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2- « traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Application du RGPD au-delà du territoire de l’Union Européenne

Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les cibler.

Le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Ainsi, selon l’article 3 du RGPD :

« 1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

  1. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
  2. a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
  3. b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
  4. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public»

Autrement dit, le règlement s’applique dès qu’un résident européen sera visé par un traitement de données quelque soit le lieu d’implantation du responsable de traitements ou du sous-traitant.

Alors que le droit de la protection des données personnel antérieur au RGPD concerne principalement les responsables de traitements, le règlement étend aux sous-traitants une large partie des obligations imposées y prévues.

Conséquences de l’application du RGPD au-delà du territoire de l’Union Européenne

Le RGPD impose la mise à disposition d’une information claire et aisément accessible aux personnes concernées par le traitement de données qui doivent exprimer un consentement explicite et positif au traitement en question.

Les droits des personnes concernées

Le RGPD impose un consentement explicite et positif de la part de la personne concernée par le traitement des données. Ce consentement doit être éclairé en raison de l’obligation d’information préalable. La charge de la preuve repose sur le responsable de traitement (article 7 du RGPD).

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

« Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. Dans un tel cas, l’information doit être rédigée en des termes clairs et simples que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale.

Par ailleurs, la personne concernée a le droit de retirer son consentement à tout moment et d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant (droit à l’oubli).

Le RGPD reconnaît un nouveau droit, le droit à la portabilité des données, qui permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable (« dans un format structuré, couramment utilisé et lisible par la machine »), et, le cas échéant, de les transférer à un tiers. Il s’agit de redonner aux personnes la maîtrise de leurs données.

Les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles. Les responsables du traitement et sous-traitants seront ainsi tenu, en vertu d’actions individuelles ou collectives, à la réparation de tout préjudice matériel ou moral subi par toute personne du fait de la violation du RGPD.

Les nouvelles obligations

Le RGPD prévoit de nouvelles obligations à la charge du responsable du traitement ou du sous-traitant centrées sur la responsabilisation des acteurs en allégeant les obligations déclaratives et en imposant de nouveaux outils visant à garantir le respect du règlement.

  • Protection des données dès la conception: le règlement impose aux sociétés de prendre en compte les exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant des données à caractère personnel (« Privacy by design »).
  • Un allègement des formalités administratives et une responsabilisation des acteurs: Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability). D’où la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
  • la tenue d’un registre des traitements mis en œuvre
  • la notification de failles de sécurité (aux autorités et personnes concernées)
  • la certification de traitements
  • l’adhésion à des codes de conduites
  • Les études d’impact sur la vie privée: lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, le responsable du traitement doit effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données.
  • La nomination d’un « Data Protection Officer » ou délégué à la protection des données : lorsque le traitement est effectué par une autorité publique ou un organisme public (à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle), lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ou en un traitement à grande échelle de catégories particulières de données.
  • Notification en cas de violation des données à caractère personnel: le responsable du traitement doit notifier la violation en question à l’autorité de contrôle compétente 72 heures au plus tard après en avoir pris connaissance.

Les sanctions de la violation du RGPD

En plus de la réparation du préjudice subi par la personne concernée par le traitement, les responsables de traitement et les sous-traitants soumis au RGPD peuvent faire l’objet d’une panoplie de sanctions administratives selon la gravité des infractions : avertissement, mise en demeure, limitation des traitements, suspension des flux de données, ordre de rectifier, limiter ou effacer les données, amende ou encore retrait de la certification délivrée.

L’amende administrative s’élève à :

  • 10 millions d’euros (ou 2% du chiffre d’affaires mondial annuel s’il s’agit d’une personne morale), notamment en cas de violations aux obligations relatives au consentement des enfants, violations relatives à la sécurité des données personnelles, etc ;
  • 20 millions d’euros (ou 4% du chiffre d’affaires), notamment en cas de violation des dispositions relatives à la portabilité des données, violation des principes de base, violation des dispositions relatives au consentement et non-respect d’une injonction émise par l’autorité de contrôle.