Traitement des données personnelles et analyse d’impact sur la protection des données
Les entreprises qui ont mis en place un système de traitement de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées doivent mettre en œuvre une analyse d'impact sur la protection des données
Il y a trois ans, la CNIL avait accordé un délai aux entreprises pour mettre en œuvre une analyse d’impact sur la protection des données (AIPD) lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Ce délai s’est terminé le 25 mai 2021 et il y a dorénavant obligation de mettre en œuvre une AIPD pour tout traitement RH qui le nécessite, sauf pour les traitements déjà mis en œuvre au 25 mai 2018 qui avaient fait l’objet d’une formalité préalable auprès de la Cnil avant cette date.
Cette analyse doit être menée avant la mise en œuvre du traitement et ne pas la respecter est sanctionné par une amende dont le montant peut s'élever jusqu'à 10 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (art. 83(4)(a)).
A partir du 26 mai 2021 les responsables de traitement doivent avoir effectué une analyse d’impact pour les traitements de données présentant un risque élevé pour la vie privée.
La CNIL a établi une liste des traitements devant faire l’objet au préalable d’une analyse d’impact > Délibération CNIL n° 2018-327, 11 oct. 2018.
On retiendra trois principaux traitements susceptibles d'impacter les RH :
- Les traitements établissant des profils de personnes physiques à des fins de gestion RH (ex. : traitement de détection et de gestion des « hauts potentiels » , traitement facilitant le recrutement grâce à un algorithme de sélection) ;
- Les traitements ayant pour finalité de surveiller constamment l'activité de salariés (ex. : dispositif de cyber surveillance tels que ceux procédant à une analyse de flux de courriel sortant, de vidéosurveillance portant sur des salariés manipulant de l'argent) ;
- Les traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire.
Attention, il y a des traitements pour lesquels l’analyse d’impact n’est pas requise > Délibération CNIL, n° 2019-118, 12 sept. 2019.
Vous noterez que parmi ceux-ci, les traitements destinés à la gestion des activités des CSE sont exonérés de DPAI.
Pour plus de précisions sur l’AIPD > page CNIL.
Vous avez besoin d’un soutien au fonctionnement de votre CSE, consultez notre page « assistance »
liens & téléchargements
à lire ensuite
-
SSCT
Gestion des vagues de chaleur
Face aux vagues de chaleur, les employeurs doivent intégrer les risques dans le document unique d'évaluation des risques et mettre en oeuvre des mesures adaptéesConsulter
-
SSCT
L’eau chaude peut être supprimée temporairement des lavabos dans les locaux professionnels
Pour répondre à des objectifs de sobriété énergétique, un décret du 24 avril 2023 permet aux employeurs, jusqu’au 30 juin 2024, de mettre à disposition des travailleurs de l’eau dont la température n’est pas réglableConsulter
-
SSCT
Le CSE est acteur à part entière dans l’établissement et la mise à jour du DUERP
Depuis le 31 mars 2022 le CSE doit être consulté sur l'élaboration et la mise à jour du document unique d'évaluation des risque professionnelsConsulter
-
SSCT
Une loi du 2 août 2021 renforce la prévention en santé au travail et les prérogatives du CSE sont élargies
Une loi du 2 août 2021 apporte des nouveautés en ce qui concerne le rôle du CSE dans l'élaboration du document unique d'évaluation des risques et la durée de formation des membres du CSEConsulter