L'ACTU DES PÔLES
La législation RGPD oblige les organisations, y compris donc les entreprises unipersonnelles et les PME, à faire preuve de prudence lors du traitement de données à caractère personnel sensibles. La collecte de données à des fins de marketing est soumise à des règles strictes. Qu’est-ce qui est autorisé et qu’est-ce qui est interdit ? Nous répondons ci-dessous à six questions fréquemment posées au sujet du RGPD.
Le General Data Protection Regulation (GDPR) ou, en français, Règlement général sur la protection des données (RGPD) est une réglementation européenne qui fixe les règles que doivent respecter les organisations lors du traitement de données à caractère personnel sensibles. Chaque organisation doit ainsi pouvoir prouver quelles données à caractère personnel elle collecte et comment celles-ci sont traitées et sécurisées. Les organisations qui ne se conforment pas à ces règles s’exposent à des amendes et à des sanctions pouvant s’élever jusqu’à 20 millions d’euros ou 4 pour cent du chiffre d’affaires annuel mondial.
Les entreprises sont autorisées à informer les clients existants du lancement de nouveaux produits ou services pour autant que ces derniers soient similaires à ceux précédemment achetés. Une personne qui achète un vélo ne peut donc recevoir des e-mails contenant des informations concernant une imprimante. Le client doit en outre pouvoir à tout moment se désinscrire de la réception d’e-mails. Attention, car le RGPD distingue trois types de marketing direct qui sont chacun régis par des règles spécifiques : le marketing direct numérique, le télémarketing et le courrier postal publicitaire.
Oui. Si quelqu’un vous remet une carte de visite, vous disposez automatiquement de l’autorisation de l’utiliser aux fins pour lesquelles elle a été éditée. Attention, vous ne pouvez pas remettre cette carte à vos collègues sans y être autorisé. Il vous est, par conséquent, interdit de sauvegarder les coordonnées de cette personne dans le système CRM central de votre entreprise.
Non, car vos contacts LinkedIn ne vous ont pas donné l’autorisation expresse de le faire. En revanche, vous pouvez leur demander, via une mise à jour de statut publique ou un message privé, s’ils souhaitent recevoir des e-mails de votre entreprise. Veillez, dans ce cas, à insérer un lien dans ce message de manière à ce que vos relations puissent s’y inscrire elles-mêmes.
Non. Les personnes doivent s’inscrire sur la liste en connaissance de cause. Il est interdit de cocher des cases alors que l’utilisateur n’a pas encore marqué son accord. En l’occurrence, l’adage « qui ne dit mot consent » n’est pas d’application.
La réglementation RGPD ne s’applique qu’aux cookies de suivi. Ceux-ci permettent aux organisations de suivre le comportement en ligne des visiteurs et de créer ainsi des profils d’utilisateur. Les visiteurs d’un site internet doivent expressément consentir au placement de ces cookies. Les conditions suivantes doivent être réunies :
Le règlement général sur la protection des données (RGPD) s’applique également aux relations entre l’employeur et ses travailleurs. Cela signifie, par exemple, que les informations relatives à l’état de santé d’un travailleur doivent être examinées lors de réunions restreintes et non divulguées à tout vent.
Madame A travaille pour la société X et est mise en incapacité de travail pour cause de maladie.
Durant une réunion du département auquel elle est affectée, le chef dudit département informe les collaborateurs que madame A est absente depuis un certain temps et annonce son départ. Il donne lecture d’un document rédigé par le service de prévention qui indique que madame A n’est plus apte à travailler pour la société X.
Contactée par des collègues souhaitant avoir de ses nouvelles, madame A est mise au courant des informations divulguées.
Madame A apprend, un peu plus tard, que tout ce qui a été dit lors de cette réunion a été consigné dans le procès-verbal de cette dernière. Le procès-verbal mentionne qu’elle est absente depuis plusieurs semaines, que dans son rapport, le conseiller en prévention la déclare inapte au travail et qu’il est mis fin à la collaboration. Le procès-verbal a été envoyé par e-mail à plusieurs collaborateurs d’autres départements et finit par être publié sur un serveur auquel ont accès tous les collaborateurs de l’entreprise.
Ce dossier est porté devant l’Autorité de protection des données (APD) qui est en quelque sorte le tribunal de première instance en matière de RGPD. Devant l’APD, le responsable du département déclare pour sa défense qu’au cours de la réunion en question, vu le caractère délicat du rapport du service de prévention, il a préféré lire le texte mot pour mot plutôt que de le paraphraser. Cette réunion avait précisément pour objectif d’informer son équipe.
L’APD se réfère à la directive RGPD de 2016 sur laquelle sont basées les législations RGPD nationales. Cette directive européenne contient deux dispositions essentielles. Le RGPD s’applique entre autres :
Il ne fait en l’espèce aucun doute que les données divulguées répondent à ces deux définitions. Le bien-être (physique ou mental) d’un membre particulier du personnel a été abordé lors d’une réunion d’équipe au cours de laquelle son nom a été mentionné. Son absence durant plusieurs semaines y a également été évoquée. La personne était donc incontestablement identifiable.
Tel qu’il ressort du procès-verbal, une partie de la réunion a d’ailleurs été consacrée à la question de savoir qui occuperait son bureau et ce qu’il fallait faire de ses effets personnels.
Il ne fait aucun doute non plus que des données relatives à la santé de madame A ont été partagées puisqu’il a été donné lecture du rapport du service de prévention. Ce document contient des informations concernant le fait que madame A a été déclarée inapte au travail. Aucune explication n’a été donnée concernant la pathologie physique ou psychique proprement dite de madame A. Le service de prévention n’est d’ailleurs pas autorisé à divulguer ce type de données. Il n’empêche que des informations concernant la santé de madame A ont été partagées, et c’est là un élément suffisant. Les informations concernant l’absence de madame A depuis quelque temps pour cause de maladie et le contrôle médical dont elle a fait l’objet auprès du service de prévention constituent des données relevant de la catégorie des « données concernant la santé ».
La directive décrit le traitement des données comme toute opération ou tout ensemble d’opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Le procès-verbal d’une réunion répond à cette définition.
L’APD reconnaît qu’elle n’a pu obtenir aucune confirmation concernant la diffusion du procès-verbal par e-mail et la publication de ce document sur un serveur auquel ont accès tous les collaborateurs de l’entreprise (même si ces opérations n’ont pas été contestées par le responsable du département). Si ces opérations ont été effectuées, elles ne constituent qu’un traitement de données supplémentaire.
Madame A avait introduit une plainte contre Z, le responsable du département. Dans sa plainte, elle n’avait nullement mentionné le fait que Z travaillait au sein de la société X.
La société peut-elle dès lors être mise en cause ?
L’APD souligne qu’il est parfois difficile pour un plaignant d’identifier le responsable du traitement. En principe, une infraction est toujours commise par une personne physique. Il n’empêche que c’est généralement l’organisation et non la personne qui doit être considérée comme le responsable du traitement. À moins qu’il n’ait réellement outrepassé ses pouvoirs – ce qui n’est nullement prouvé en l’espèce –, le responsable n’est pas le chef de service. C’est donc la société et non l’un de ses chefs de service qui est le responsable du traitement et qui, par conséquent, est sanctionnée en cas de violation du RGPD.
Tous les traitements de données à caractère personnel ne sont toutefois pas interdits. Le traitement des données à caractère personnel n’est autorisé que pour des finalités déterminées. Cette règle vise également les données relatives à la santé, pour autant toutefois que des mesures supplémentaires soient prises concernant leur accessibilité.
Ce qui n’a pas été fait en l’espèce. Le traitement des données par le service du personnel était correct jusqu’au moment où le responsable du département a donné lecture du rapport du service de prévention, et où les informations divulguées ont été consignées dans le procès-verbal. Une limite a alors été franchie.
Au final, la société ne s’est vu adresser qu’une admonestation.
Cette affaire montre néanmoins que ce type de données doit être traité avec la plus grande discrétion. Il existe d’autres moyens d’informer les collaborateurs que l’un de leurs collègues ne fait plus partie du personnel en raison de certaines circonstances. Il n’est pas nécessaire de divulguer son historique médical.
Les règles du RGPD (Règlement général sur la protection des données) sont des règles européennes qui protègent la vie privée des citoyens. Les entreprises doivent ainsi se conformer à différentes règles pour s'assurer que vos données ne sont pas utilisées abusivement. Mais les pouvoirs publics aussi sont soumis à ces règles. Qu'en est-il du fisc et de votre vie privée ?
Les règles du RGPD sont en vigueur dans toute l'Union européenne depuis le 25 mai 2018. Ce règlement européen définit de quelle manière et pour quelles finalités les données peuvent être collectées, conservées et traitées. Toute entreprise, association ou organisation qui traite des données à caractère personnel est soumise à ces règles. En fait, cela concerne tout le monde.
Tout le monde se livre en effet d'une manière ou d'une autre au traitement de données à caractère personnel concernant autrui. Seuls les particuliers ne sont pas concernés.
Le fisc est en principe également soumis aux règles du RGPD. Le fisc doit dès lors respecter la vie privée du contribuable et utiliser avec prudence les données qu'il collecte concernant celui-ci.
Le contribuable a les droits suivants :
D'un autre côté, il est logique que le fisc dispose de possibilités plus étendues qu'une entreprise privée, par exemple. Le fisc doit évidemment pouvoir faire son travail. Dans le monde numérique moderne, ceci implique d'inscrire un certain nombre d'exceptions dans la loi, entre autres :
Le tout procède évidemment d'un subtil équilibre entre les droits du contribuable et les techniques modernes telles que le profilage. Un contribuable a le droit de ne pas être soumis à un régime fiscal sur la seule base d'un profilage. Le fisc ne peut ainsi pas envoyer une cotisation établie entièrement sur la base d'un traitement automatisé de données, ce qui ne pose aucun problème si des mesures appropriées ont été prises pour protéger les droits et libertés et les intérêts légitimes du contribuable. La pratique devra établir plus précisément jusqu'où le fisc peut aller lors d'une enquête et dans quels cas il peut se baser sur les indicateurs issus de l'exploration de données.
Le RGPD confère à toute personne le droit de demander que ses données soient effacées. En matière fiscale, c'est beaucoup plus complexe. L'administration (en l'occurrence le fisc) a en effet besoin de ces données pour accomplir une tâche d'intérêt général ou pour exercer l'autorité publique. Le droit à l'oubli dont un contribuable dispose à l'égard de Google, par exemple, ne peut être invoqué à l'égard du fisc.
Les autres droits dont le contribuable dispose, tel le droit d'accès, sont également parfois plus limités en matière fiscale. Les restrictions précises sont énumérées en détail dans la loi. Le droit d'accès est ainsi exclu pendant certaines phases de l'enquête fiscale.
Est-ce qu'il y a réellement quelque chose qui change ? Le contribuable dispose à présent d'une meilleure base pour protéger ses droits et exiger que le fisc les respecte également.
Partagez cette page
