RGPD Règlement européen sur la protection des données : Un cadre juridique unifié pour l’ensemble de l’UE

Un champ d’application étendu

Le critère du ciblage

Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor).

En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

La responsabilité des sous-traitants

Par ailleurs, alors que le droit de la protection des données actuel concerne essentiellement les « responsables de traitements », c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement.

Un guichet unique : le « one stop shop »

Les entreprises seront en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal », désignée comme l’autorité « chef de file ». Cet établissement sera soit le lieu de leur siège central dans l’Union, soit l’établissement au sein duquel seront prises les décisions relatives aux finalités et aux modalités du traitement.  Les entreprises bénéficieront ainsi d’un interlocuteur unique pour l’Union européenne en matière de protection des données personnelles, lorsqu’elles mettront en œuvre des traitements transnationaux.

Une coopération renforcée entre autorités pour les traitements transnationaux

Toutefois, dès lors qu’un traitement sera transnational – donc qu’il concernera les citoyens de plusieurs États membres –, les autorités de protection des données des différents États concernées seront juridiquement compétentes pour s’assurer de la conformité des traitements de données mis en œuvre.

Afin d’assurer une réponse unique pour l’ensemble du territoire de l’Union, l’autorité « chef de file » coopérera avec les autres autorités de protection des données concernées dans le cadre d’opérations conjointes. Les décisions seront adoptées conjointement par l’ensemble des autorités concernées, notamment en termes de sanctions.

Les autorités de protection nationales sont réunies au sein d’un Comité européen de la protection des données (CEPD), qui veille à l’application uniforme du droit sur la protection des données. Il a vocation à remplacer l’actuel G29.

En pratique, l’autorité « chef de file » propose les mesures ou décisions (constatant la conformité d’un traitement ou proposant une sanction, par exemple). Les autorités européennes concernées par le traitement disposent alors d’un délai de quatre semaines pour approuver cette décision ou, au contraire, soulever une objection. Si l’objection n’est pas suivie, la question est portée devant le CEPD qui rend alors un avis. Cet avis est contraignant et doit donc être suivi par l’autorité « chef de file ».

Que le CEPD soit ou non saisi, l’autorité « chef de file » portera la décision ainsi partagée par ses homologues. Il y aura donc une décision conjointe, susceptible de recours devant le juge des décisions de l’autorité « chef de file ».

Ce mécanisme permet ainsi aux autorités de protection des données de se prononcer rapidement sur la conformité d’un traitement ou sur un manquement au règlement et garantit une sécurité juridique élevée aux entreprises en leur assurant une réponse unique sur l’ensemble du territoire de l’Union.

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD  ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article

Attention aux démarchages trompeurs « Mise en conformité RGPD »

D’après des témoignages récents, après avoir appelé au numéro indiqué sur leur document affichant fièrement une bande bleu / blanc / rouge, ils ont posé quelques questions sur l’entreprise puis envoyé par mail un facture proforma demandant de s’en acquitter sous 72h. Les escrocs vont même jusqu’à dire qu’en payant cette facture, la CNIL fera une « levée de contrôle et de sanction » sur votre société.
Puis, une fois le paiement effectué, vous aurez un entretien de 15 minutes durant lequel 50 questions vous seront posées puis  sous 30 jours un « délégué syndical du département» prendra contact et clôturera définitivement la mise a jour.

Tous ces arguments sont strictement faux !

La mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps. Il est nécessaire, avant tout engagement, de chercher en ligne des informations sur la société qui prend contact avec vous. Si le doute persiste, vous pouvez contacter la CNIL au 01 53 73 22 22.

Pour vous rassurer, Denis JACOPINI et son équipe réalisent des démarches de mise en conformité des établissements avec la réglementation relative aux données à caractère Personnel depuis 2012. Plus d’informations ici

Nos conseils

Mettre en conformité nécessitera dans la plupart des cas une analyse de vos process, une sensibilisation du personnel, des interviews personnalisés et nous recommandons a minimas une rencontre. Ces organismes ne semblent pas répondre à ces recommandations.

Au regard de pratiques commerciales trompeuses, la DGCCRF et la CNIL formulent plusieurs recommandations qui visent à :

• vérifier l’identité des entreprises démarcheuses qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD ;
• vérifier la nature des services proposés :
  • la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps ;
  • Dans certains cas, il peut aussi s’agir de manœuvres pour collecter des informations sur une société en vue d’une escroquerie ou d’une attaque informatique.

Principaux réflexes à avoir en cas de démarchage
Si vous recevez ce type de sollicitations, vous devez :

• demander des informations sur l’identité de l’entreprise démarcheuse permettant de faire des vérifications sur internet ou auprès des syndicats de votre profession ;
• demander le numéro SIRET de l’organisme ;
• demander les conditions générales de vente de l’organisme ou les termes du contrat que vous devrez signer ;
• consulter le site internet et vérifier les mentions légales ;
• vérifier l’ancienneté du nom de domaine (un nom de domaine récent indique la création récente du service avec un risque de manque d’expérience ou la création d’un nom de domaine spécialement pour l’arnaque.
• vous méfier de telles communications prenant les formes d’une information officielle émanant d’un service public ;
• lire attentivement les dispositions contractuelles ou pré-contractuelles ;
  prendre le temps de la réflexion et de l’analyse de l’offre ;
• diffuser ces conseils de vigilance auprès de vos services et des personnels qui sont appelés à traiter ce type de courrier dans l’entreprise ;
• ne payer aucune somme d’argent au motif qu’elle stopperait une éventuelle action contentieuse…

Pour vous aider dans votre mise en conformité au RGPD, la CNIL publie des contenus pratiques. Vous pouvez notamment consulter « RGPD : ce qui change pour les pros » ainsi que le nouveau « Guide de sensibilisation pour les petites et moyennes entreprises » élaboré en partenariat avec la BPI.

• « Comment se mettre en conformité avec le RGPD ? »
• « Mise en conformité RGPD : Accompagnement personnalisé par un Expert »
• « Formation RGPD pour TPE / PME / DPO / Délégué à la Protection des Données et formation RGPD pour SSII, ESN, Avocats, Experts comptables et consultants ».

Je me présente : Denis JACOPINI. Je suis Expert de justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel), consultant depuis 1996 et formateur depuis 1998. J’ai bientôt une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, j’ai été ensuite Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur.

“Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD.”

Comment retirer des publications gênante sur les réseaux sociaux ? Les conseils de la CNIL

Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable». Sur une publication, vous pouvez être identifié :

• directement (exemple : nom, prénom, etc.)
• ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à votre identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi votre voix ou votre image).

Votre identification peut être réalisée :

• à partir d’une seule de vos données (exemple : numéro de sécurité sociale, etc.)
• à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

1. Signaler la publication à effacer

En fonction du réseau social, vous devez vous rendre sur la page appropriée qu’il a mis à votre disposition à cet effet.

Twitter : Signaler la divulgation d’informations privées

Instagram : Signaler une photo ou vidéo pour violation de vos droits de confidentialité sur Instagram

Facebook : Utiliser le lien  » Signaler « 
situé à côté de la publication, de la photo ou du commentaire

Snapchat :  Signaler la publication ou Utiliser ce formulaire en ligne ou Utiliser le formulaire de droit à l’image

LinkedIn : Signaler le harcèlement d’un utilisateur ou un problème de sécurité

Youtube : Réclamer une atteinte à la vie privée

Dailymotion : Sous chaque vidéo figure un bouton  » Signaler cette vidéo »
en cliquant dessus, vous aurez à remplir un formulaire.

2. Si le réseau social ne fait pas partie de cette liste

• Rendez-vous vous en bas de la page d’accueil du réseau social ;
• Identifiez une page « politique de confidentialité » ou « données personnelles » ou « vie privée » ;
• Dans cette page, recherchez les coordonnées du service ou le formulaire qui répondra à votre demande ;
• Envoyez si besoin un modèle à personnaliser qui comprend les références aux textes de loi et vous permet d’indiquer un motif.

Quelle réponse attendre du réseau social ?

Le réseau social doit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois mois. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation dans le délai d’un mois.

En parallèle de cette démarche d’effacement – et si ce contenu est référencé dans les moteur de recherche – exercez votre droit au déréférencement de manière à ce que ce contenu ne soit plus associé à votre nom et prénom dans les résultats d’un moteur de recherche.

En cas de réponse insatisfaisante – ou d’absence de réponse sous un mois – de la part du réseau social ou du moteur de recherche, vous pouvez saisir la CNIL.

Des solutions pour la sensibilisation et formation des salariés face à la Cybercriminalité

Il importe donc pour les entreprises d’encourager leurs collaborateurs à se comporter de manière cohérente, en respectant des processus et procédures communiqués clairement, dont la conception et la surveillance sont centralisées et qui couvrent la totalité des équipements en usage. Cela n’évitera peut-être pas toute tentative d’attaque mais renforcera certainement la sécurité de l’entreprise.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : Denis JACOPINI et http://www.globalsecuritymag.fr/Les-entreprises-revoient-leur,20150826,55304.html

Mise en conformité RGPD : Accompagnement personnalisé par des Experts

Intervenant sur des missions RGPD depuis 2012, après avoir identifié différents types d’attentes, nous avons adapté nos offres pour qu’elles correspondent au mieux à vos besoins.

Ainsi, nous pouvons vous accompagner dans la mise en conformité de votre structure de plusieurs manières :

1. Vous recherchez l’autonomie ?
   Nous pouvons vous accompagner pour apprendre l’essentiel de la réglementation Européenne relative à la Protection des Données à Caractère Personnel et le nécessaire pour comprendre et démarrer une mise en conformité. Une fois la formation achevée, vous êtes autonome mais pourrez toujours compter sur notre soutien soit sous forme de formation personnalisée, soit sous forme d’accompagnement personnalisés ;
   A l’issue de cette formation, nous vous remettons une attestation prouvant la mise en place d’une démarche de mise en conformité de votre établissement avec le RGPD (Règlement Général sur la Protection des Données). Pour information, nous sommes référencés auprès de la CNIL.
2. Vous souhaitez être accompagné pour la mise en place de la mise en conformité ?
   Nous réalisons pour vous l’audit qui mettra en exergue les points à améliorer. Au terme de cette étape vous pourrez, si vous le souhaitez, réaliser la mise en conformité ou nous laisser procéder aux améliorations que vous aurez validées ;
   A l’issue de cet audit, nous vous remettons un compte rendu prouvant la mise en place de corrections dans le cadre de votre démarche de mise en conformité de votre établissement avec le RGPD (Règlement Général sur la Protection des Données).
3. Vous souhaitez confier la totalité de votre mise en conformité ?
   De manière parfaitement complémentaire avec votre prestataire informatique et éventuellement avec votre service juridique, nous pouvons nous charger de la totalité de la démarche de mise en conformité de votre établissement avec le RGPD (Règlement Général sur la Protection des Données) et les différentes réglementations relatives à la protection des Données à Caractère Personnel.
   De l’audit au suivi, vous pourrez compter sur notre expertise à la fois technique et pédagogique pour que votre établissement soit accompagné de manière externalisée.

Afin de vous envoyer une proposition personnalisée adaptée à la fois aux besoins de votre structure, conforme à votre stratégie et à vos priorités, nous souhaiterions que vous répondiez à ces quelques questions :

Denis JACOPINI est notre Expert qui vous accompagnera dans votre mise en conformité avec le RGPD

Je me présente : Denis JACOPINI. Je suis Expert en informatique assermenté et spécialisé en RGPD (protection des Données à Caractère Personnel) et en cybercriminalité. Consultant depuis 1996 et formateur depuis 1998, j’ai une expérience depuis 2012 dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données (DPO n°15845), en tant que praticien de la mise en conformité et formateur, je vous accompagne dans toutes vos démarches de mise en conformité avec le RGPD.

« Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD. »

Cybersécurité : Aller plus loin dans la formation des salariés

• Le chiffrement : toutes les données, qu’elles soient stockées ou en transmission, doivent être protégées, les premières avec au minimum un chiffrement AES 128 bits et les secondes en ajoutant au moins le protocole TLS. Point important : il faut bien évidemment que les messages de tous les interlocuteurs, externes compris, soient cryptés.

• Le pare-feu : attention à ne pas tomber dans le piège d’une solution qui exposent des applications, des serveurs ou des équipements hors du pare-feu. De plus, il faut s’assurer que les solutions gèrent correctement le parcours des données au travers des serveurs d’authentification déjà en place.

• Les mises à jour : puisque les mises à jour de firmwares et autres logicielles corrigent essentiellement des vulnérabilités ou apportent des dispositifs de sécurité plus robustes, il est primordial qu’elles se fassent de manière automatique pour s’assurer que le SI est protégé le plus tôt possible. Une des approches consiste à passer par une solution en Cloud, automatiquement mise à jour par le fournisseur lui-même mais à manier avec précaution car si vous avez déjà opté pour le Cloud, avez-vous la certitude que seuls les utilisateurs autorisés accèdent à cet espace de stockage externalisé ? Qui peut bien se connecter pendant que vous dormez ?

• La sécurité physique : où se situent les données que stocke la solution de communication ? Il est essentiel d’avoir la garantie que le datacenter du fournisseur soit protégé 24/7 et qu’il soit régulièrement audité et protégé contre les intrusions physiques.

• Changer les paramètres par défaut : Changer tous les identifiants et mots de passe de ceux proposés par défaut pour quelque chose de plus complexe est une règle d’or en matière de cybersécurité.
  « Parmi les nombreuses cyberattaques survenues en 2016, la plus célèbre fut celle lancée par le botnet Mirai qui ciblait les webcams. Or, si cette attaque a autant réussi, c’est parce que les mots de passe administrateurs par défaut de ces équipements étaient toujours actifs », dit-il.

• Sécuriser le réseau, jusqu’aux utilisateurs : Un segment non sécurisé du réseau est une porte d’entrée par laquelle peuvent passer les cyber-attaques pour atteindre tout le SI d’une entreprise. Les méthodes pour sécuriser le réseau comprennent l’application de restrictions d’accès, le blocage au niveau du pare-feu de certaines pièces attachées et le test régulier des failles de sécurités connues. Mais Gustavo Villardi prévient qu’il ne s’agit là que de résoudre une partie du problème. « Selon une étude récente menée par Verizon sur les failles de sécurité, l’erreur humaine continue d’être la cause principale des cyber-attaques. Les collaborateurs sont le maillon faible et les entreprises se doivent de former leur personnel pour qu’ils restent protégés en ligne et depuis quelque appareil que ce soit », témoigne-t-il.

• L’usage à domicile : les collaborateurs en télétravail ne bénéficient pas de l’encadrement de la DSI pour sécuriser leur accès domestique. Il est donc nécessaire de leur indiquer comment sécuriser une box pour activer le chiffrement du Wifi et passer par un VPN.

• Les mots de passe : des bonnes pratiques doivent être appliquées pour que les mots de passe de chaque salarié soient impossibles à deviner ; cela comprend aussi bien de la complexité dans l’enchaînement des caractères que la fréquence de remplacement des mots de passe.

• L’accès : les collaborateurs devraient toujours éteindre un équipement lorsqu’ils ne s’en servent pas, afin d’éviter que quelqu’un ne se connecte sur les services restés ouverts

• Le mode privé : l’utilisation d’un système de visioconférence uniquement avec les paramètres du mode privé évite que quelque des personnes extérieures puissent se greffer sur une conférence.

[lire l’intégralité de l’article source]

• FORMATIONS / SENSIBILISATION (utilisateurs / chefs d’entreprises / DSI) :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• MISE EN CONFORMITÉ RGPD / CNIL
  • ÉTAT DES LIEUX RGPD de vos traitements)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Réagissez à cet article

Dispositif biométrique d’#accès à la cantine : quelles formalités à la CNIL ?

Les établissements qui souhaitent installer ce type de dispositifs doivent faire une déclaration simplifiée, en sélectionnant dans l’onglet « Finalité » l’autorisation unique AU-009.

Le responsable du dispositif s’engage ainsi à se conformer aux caractéristiques décrites dans ce texte.

Les autres dispositifs biométriques (réseaux veineux, empreintes digitales, reconnaissance faciale, etc.) doivent faire l’objet d’une demande d’autorisation préalable auprès de la CNIL.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=D5FEF7DD5664BF01E19E95AF8AF7782F

RGPD : Qu’est-ce qu’une donnée à caractère personnel ?

Le règlement (article 4) les défini comme étant toute information se rapportant à une personne physique identifiée ou identifiable.

Le règlement précise également ce qu’est une personne physique identifiable : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En pratique, il faut comprendre de cette définition que, toute donnée se rapportant à votre personne et permettant, même indirectement de vous identifier est une donnée personnelle.

Ainsi, votre nom, prénom, âge, date et lieu de naissance, une photo de vous, un pseudonyme, un numéro de téléphone ou de sécurité sociale, une adresse IP, etc. constituent des données à caractère personnel.

…[lire la suite]

Coronavirus (Covid-19) : Ce que les employeurs doivent faire (ou pas) vis à vis de la CNIL

Ce qu’il ne faut pas faire

Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

• des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
• ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

• sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
• faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
• favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

• la date et l’identité de la personne suspectée d’avoir été exposée ;
• les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Comment démarrer une mise en conformité avec le RGPD ? Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….

PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).