Géolocalisation, mails…pouvez-vous surveiller vos salariés?
Si techniquement, il est possible de traquer les déplacements et l’activité numérique de ses collaborateurs, toute surveillance reste encadrée par la loi.
Le sujet est d’actualité : Sylvain Lagrange vient de mettre à jour son règlement intérieur et sa charte informatique sur ces questions. « Entre ce que permet le numérique et le nouveau Règlement général sur la protection des données (RGPD), je me suis penché sur ces questions pour nos clients mais aussi mes propres collaborateurs », confie l’associé et responsable social du groupe CAEC. Comme tout dirigeant d’entreprise, j’ai une sensibilité sur ce sujet et l’obligation de prendre certaines précautions. »
Surveiller numériquement vos salariés : l’accès aux emails
Un premier rappel utile concerne l’accès aux emails des salariés.
Document à téléchargerRGPD: quelles implications pour votre association?
Le règlement général sur la protection des données (RGPD), entré en vigueur le 24 mai 2016, sera applicable dès le 25 mai 2018. Les associations ayant régulièrement une activité économique et qui collectent, traitent et stockent des données personnelles devront s’y conformer.
Tous les acteurs manipulant des données doivent appliquer cette nouvelle réglementation. Conçue pour renforcer les droits des citoyens en matière de protection des données, responsabiliser les structures utilisant ces informations et harmoniser les lois, les associations, même si elles ne sont pas la cible principale de ce règlement, sont aussi soumises à la loi et susceptibles d’être contrôlées.
Aucune exception
Les associations ayant une activité économique, les fondations, les entreprises, les collectivités, etc. doivent avoir un plan d’actions pour sécuriser leurs données. Les « données à caractère personnel » sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4 du RGPD). Par exemple, la liste de vos membres, salariés, bénévoles, adhérents ou donateurs et leurs informations personnelles (nom, prénom, adresse, courriel, adresse postale, téléphone, etc.), les fichiers de contacts à qui vous envoyez des mails ou des newsletters…
Pour garantir la protection des données
– Faire le tri des données personnelles pour ne garder que celles qui sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (art.5).
– Obtenir le consentement des personnes (avec possibilité de modification ou d’effacement).
– Inscrire les mentions légales obligatoires sur tout document récoltant des informations personnelles : identité et coordonnées de la structure, mention des droits des personnes au regard de leurs données (droit d’accès, de rectification ou de retrait), usage et délai de conservation de ces données.
– Si votre base a été piratée, vous devrez informer la CNIL et les personnes concernées dans les 72 heures.
Le droit à l’oubli peut-il concerner les entreprises?
Informations personnelles
Depuis 2014, les citoyens européens peuvent demander aux moteurs de recherche de supprimer les informations personnelles les concernant sur le Web. Un « droit à l’oubli » dont les entreprises ne peuvent se prévaloir.
En février dernier, Google publiait un bilan des demandes effectuées par des internautes dans le cadre du « droit à l’oubli », instauré par un arrêt de la Cour européenne de justice (CUEJ) en mai 2014. Il révèle qu’un peu plus de deux millions de liens ont fait l’objet d’une demande de suppression. Un déréférencement accepté pour environ 900 000 d’entre eux, soit 44 %. Si la grande majorité de ces requêtes étaient le fait de particuliers, un peu plus de 17 % émanaient de personnes morales, et en particulier d’entreprises… exclues du cadre du droit à l’oubli.
Le droit à l’oubli pour les données personnelles
« Ce droit concerne les données personnelles, et donc uniquement les personnes physiques. Impossible pour les entreprises de demander le déréférencement d’un lien conduisant à des données qu’elles jugent préjudiciables à leur réputation », rappelle Jérémie Courtois, avocat au sein du cabinet Cornet Vincent Ségurel. Et cela d’autant que le moteur de recherche se révèle intransigeant dans son interprétation du droit à l’information et de l’intérêt général. Idem, d’ailleurs, lorsqu’une société demande directement à l’éditeur d’un site ou à son hébergeur de supprimer des données. Sauf dans le cas où le contenu est manifestement illégal, comme par exemple l’utilisation illicite d’une marque déposée.
RGPD: quelles conséquences pour les PME?
Mieux encadrer la collecte et l’utilisation des données personnelles : tel est l’objectif du Règlement général sur la protection des données personnelles (RGPD) entrant en vigueur le 25 mai. Un texte qui s’impose à toutes les entreprises, PME et TPE comprises.
Un prénom et un nom, une adresse postale, un identifiant de connexion à un site internet, un numéro de sécurité sociale, des éléments concernant les habitudes d’achats, des données de santé… Autant d’éléments qui constituent des données personnelles, permettant d’identifier des individus, dont la collecte et le traitement sont désormais encadrés par le Règlement général sur la protection des données personnelles (RGPD). Un cadre juridique commun à l’ensemble de l’Union européenne qui s’impose à toutes les structures, y compris les entreprises étrangères dès lors qu’elles traitent des données de ressortissants du Vieux Continent.
RGPD – Réglement général sur la protection des données: tous concernés!
Alors que les données à caractère personnel sont aujourd’hui qualifiées de « nouvel or noir » ou encore de « trésor caché des entreprises », le 25 mai 2018, entrera en vigueur le Règlement européen 2016/619 relatif à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données dit « RGPD ».
Les administrations, les associations, les grands groupes, les PME et les startups, quel que soit leur niveau de développement, sont contraints de s’intéresser aux apports du RGPD mais surtout, elles doivent prendre les mesures nécessaires pour se mettre en conformité.
Les obligations mises à la charge des organismes par le RGPD sont nombreuses et ambitieuses et visent à améliorer la protection et la confidentialité des informations que votre organisme est susceptible de détenir sur des personnes physiques notamment les clients, prospects ou encore les salariés.
Le RGPD a également pour objectif :
D’uniformiser la règlementation au niveau européen,
De renforcer le droit des personnes dont les données sont collectées avec notamment la consécration
de nouveaux droits comme le droit à l’effacement ou à la portabilité des données,
De responsabiliser davantage les entreprises en développant l’auto-contrôle.
Bulletin France Défi Associations avril-mai 2018
Pour vous tenir informés de toutes les évolutions législatives et réglementaires.
Les associations sont soumises à un certain nombre d’obligations qu’elles ignorent parfois mais auxquelles elles ne peuvent cependant se soustraire.
Dans ce numéro de FDA Associations, nous faisons le point sur deux d’entre elles : le compte emploi annuel des ressources qui concerne les associations dépassant un certain niveau de dons ;
Le RGPD (Le règlement général sur la protection des données) d’autre part. Si elles peuvent paraître comme des contraintes administratives un peu
lourdes, ces obligations sont aussi une façon de jouer la transparence dans la gestion de son association.