Conformité RGPD – Ces questions que vous posez fréquemment – 7

Se conformer au RGPD n’est pas une tâche aisée, et les collaborateurs se perdent parfois dans la réglementation et les interdits. 

Fort de 5 ans d’expérience dans le domaine de la protection des données personnelles, Datanaos vous propose dans une série d’articles un petit tour des questions les plus fréquemment posées à nos délégués à la protection des données externalisés. 

Cet article est le septième de la série commencée en février 2024.

Votre question ne se trouve pas dans cet article ? Peut-être la trouverez vous dans l’un de nos articles précédents : 

• Conformité RGPD – Ces questions que vous posez fréquemment
• Conformité RGPD – Ces questions que vous posez fréquemment – 2
• Conformité RGPD – Ces questions que vous posez fréquemment – 3
• Conformité RGPD – Ces questions que vous posez fréquemment – 4
• Conformité RGPD – Ces questions que vous posez fréquemment – 5
• Conformité RGPD – Ces questions que vous posez fréquemment – 6

Dois-je prévoir un canal spécifique pour recevoir les demandes de droit de mes salariés ? 

Vos salariés et stagiaires, en tant que personnes concernées par plusieurs traitements de données que vous mettez en oeuvre (les traitements de données des Ressources Humaines), disposent de tous les droits prévus par le RGPD et la Loi Informatique et Libertés, par exemple le droit d’accès.

Le RGPD vous impose de prévoir des canaux de réception des demandes d’exercice de droit RGPD afin de pouvoir les qualifier et les traiter dans un délai de 30 jours. 

Le RGPD ne vous impose en revanche pas de prévoir des canaux de réception spéciaux pour certaines catégories de personnes concernées. Ainsi, vous pouvez utiliser les mêmes canaux (généralement une adresse postale, et une adresse e-mail) pour quiconque souhaiterait exercer ses droits RGPD auprès de votre organisme. 

Quid des données des entreprises ?  

Les données relatives exclusivement à l’entreprise ne sont pas protégées par le RGPD ni par la Loi Informatique et Libertés. 

Peuvent ainsi être traitées librement et sans durée de conservation : 

• les informations comme la dénommination sociale ou les numéros d’identification (Siret / Siren) ; 
• les informations relatives aux activités de l’entreprise (secteur, chiffre d’affaires, résultats, …) ; 
• les informations de contact non nominatives (numéros de standard téléphonique, adresses génériques comme contact@entreprise.com, …). 

Attention cependant, les informations permettant d’identifier les actionnaires, les dirigeants, chefs de direction / service, collaborateurs etc. et notamment leurs noms, prénoms, et adresses e-mails professionnelles, sont des données à caractère personnel et doivent donc être traitées conformément aux règles du RGPD (information des personnes, durées de conservation limitées, …). 

Puis-je me passer de récolter le consentement des personnes au traitement de leurs données ? 

Comme nous l’avions déjà abordé succintement dans le premier article de cette série, le consentement des personnes n’est pas le seul fondement sur lequel un organisme peut baser son traitement. 

Bien entendu, le choix du fondement de licéité de votre traitement dépend directement et fortement de ses finalités, et parfois seul le consentement sera un choix valide. 

Lorsque la loi vous impose de traiter des données (récolte, transfert, etc.) ou que vous avez signé un contrat avec la personne concernée, et que le traitement de ses données est nécessaire pour que vous respectiez vos obligations contractuelles, vous pouvez traiter les données de la personne concernée sans récolter son consentement. 

Il existe encore d’autres fondements, comme la sauvegarde de la vie humaine, la mission de service public dont est investi l’organisme, ou son intérêt légitime (qui doit être justifié). 

Puis-je me retourner contre un salarié qui ne respecte pas mes directives en matière de sécurité ? 

Le RGPD impose aux organismes d’assurer la sécurité des données qu’ils traitent. Cela passe, bien entendu, par l’application en interne de mesures de sécurité (charte informatique, logiciels de sécurité, directives spécifiques, …). 

En cas d’une violation de données (violation de la sécurité ayant un impact sur les données personnelles) qui aurait pour origine le non respect par un salarié d’une directive de sécurité, votre organisme sera responsable administrativement (auprès de la CNIL) et civilement (en cas de demande de dommages et intérêts). 

Votre organisme peut ensuite se retourner contre le salarié sur le fondement du droit du travail (non respect des directives et ordres), sur le fondement du droit civil (l’organisme a subi lui-même un dommage, et peut donc demander réparation) ou du droit pénal. 

Ceci conclut notre septième article sur les questions qui nous sont fréquemment posées. A bientôt pour plus de questions/réponses ! 

Depuis maintenant 5 ans Datanaos accompagne de nombreuses entreprises, associations et organismes publics dans leur conformité au RGPD. Audits, mise en conformité, formations, délégué à la protection des données externalisé, nous proposons un large éventail de prestations de qualité. N’hésitez pas à nous contacter pour vos projets !