Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La loi pour une République numérique : un renforcement de la protection des données à caractère personnel auquel les entreprises doivent être sensibilisées

octobre 2016 par Blandine Allix, Avocat associée au sein du cabinet Flichy Grangé Avocats

La loi du 7 octobre 2016 pour une République numérique qui vient d’être adoptée a pour objectif de favoriser la circulation des données et du savoir, d’œuvrer pour la protection des individus dans la société du numérique et de garantir l’accès au numérique à tous les individus (cf. exposé des motifs de la loi).

Si cette loi ne bouleverse pas fondamentalement les obligations de l’employeur qui traite des données de ses salariés à caractère personnel (comme par exemple nom et prénom du salarié, numéro de sécurité sociale, etc.), elle contient néanmoins certaines dispositions qui doivent attirer son attention, principalement les suivantes.

En premier lieu, cette loi réforme la procédure de sanctions de la Commission Nationale de l’Informatique et des Libertés (CNIL) en cas de manquement constaté à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, loi qui vise à protéger les données à caractère personnel. Désormais, toute sanction de la CNIL (sanction pécuniaire, injonction de cesser le traitement, retrait de l’autorisation mais aussi dorénavant avertissement) devra être précédée d’une mise en demeure de faire cesser le manquement. Cette mise en demeure préalable n’aura cependant pas lieu d’être lorsque la sanction constatée ne peut pas faire l’objet d’une mise en conformité. Le délai pendant lequel le responsable de traitement doit faire cesser ledit manquement est fixé par le Président de la CNIL, étant précisé qu’il peut être réduit à 24 heures en cas d’extrême urgence. Enfin, la CNIL peut désormais ordonner que les personnes sanctionnées informent individuellement et à leurs frais les personnes concernées du prononcé de la sanction.

En deuxième lieu, cette loi augmente le montant de la sanction pécuniaire pouvant être infligée par la CNIL. Précédemment, le plafond de la sanction était fixé à 150 000 euros et pouvait, en cas de récidive, atteindre 300 000 euros ou s’agissant d’une entreprise 5% du chiffre d’affaires H.T. La loi relève le plafond à 3 millions d’euros. A cet égard, il est intéressant de noter que la loi fixe des critères permettant à la CNIL d’apprécier le montant de l’amende. Ainsi, la CNIL doit tenir compte des avantages tirés par l’entreprise du manquement concerné (en effet, la loi précise que la sanction pécuniaire doit être « proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement »). Elle doit également prendre en compte d’autres critères tels que le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, les catégories de données à caractère personnel concernées, le degré de coopération avec la CNIL pour remédier au manquement. Ces dispositions anticipent sur l’application du Règlement Européen relatif à la protection des données personnelles. En effet, l’article 83 du Règlement général sur la protection des données n°2016/ 679 du 27 avril 2016, qui sera applicable dans moins de deux ans (plus précisément le 25 mai 2018), prévoit des critères similaires permettant à l’Autorité de contrôle de personnaliser l’amende administrative.

En troisième lieu, cette loi comporte de nouveaux droits aux personnes dont les données à caractère personnel font l’objet d’un traitement. Ainsi, l’article 57 de la loi impose au responsable du traitement d’indiquer, aux personnes auprès desquelles sont relevées des données à caractère personnel, leur durée de conservation ou, en cas d’impossibilité, « des critères utilisés permettant de déterminer cette durée ». L’article 58 de la loi ajoute que le responsable de traitement doit permettre aux personnes, dont les données à caractère personnel sont collectées, d’exercer par voie électronique leurs droits sur ces données (droit d’opposition, information sur la finalité du traitement, droit de rectification, etc.), lorsque cela est possible. Il s’agit, là-encore, d’une anticipation prise sur l’application du Règlement Européen.

Notons une autre particularité de la loi : la modification de la sixième partie du Code du travail relative à la formation professionnelle. Désormais, les actions en faveur de l’apprentissage et du développement des compétences numériques font partie de la formation professionnelle tout au long de la vie (cf. article L. 6111-2 modifié du Code du travail) et peuvent donc être insérées au plan de formation élaboré par l’employeur pour assurer l’adaptation des salariés à leur poste de travail (cf. article L. 6321-1 modifié du Code du travail). Cette mesure vise d’après les débats parlementaires à lutter contre « l’illettrisme numérique » des salariés. On peut s’étonner de cette disposition car l’illettrisme ne doit pas être si fréquent compte-tenu de l’implantation du numérique dans le monde du travail depuis plusieurs années.

L’objectif de la loi du 7 octobre 2016 pour une République numérique est donc clairement de renforcer la protection des données à caractère personnel et de sensibiliser encore plus les entreprises sur le sujet en alourdissant les sanctions en cas de manquement.

Les entreprises n’ont de toutes les façons pas le choix que d’être sensibles à cette question puisqu’elles devront, à la date du 25 mai 2018, avoir des traitements de données à caractère personnel en tous points conformes au Règlement Européen. Elles doivent donc dès à présent se mettre en ordre de marche en dressant tout d’abord un état des lieux de leurs traitements avant de mettre en place les mesures nécessaires pour qu’ils soient conformes à la date du 25 mai 2018.


Voir les articles précédents

    

Voir les articles suivants