Conformité et protection des données : parcours d’approfondissement

La conformité à la réglementation en vigueur et la protection des données personnelles dans le contexte du travail.

Le Règlement (UE) 2016/679 relatif à la protection des données personnelles, entré en vigueur il y a quatre ans, a pour objectif de garantir un niveau de protection des droits et des libertés des personnes physiques, à l’égard du traitement des données, équivalent dans tous les États membres. Dans cette optique, le Règlement a introduit de nouvelles obligations et de nouveaux principes afin de protéger la circulation des données personnelles et de garantir une certitude juridique majeure. D’où la nécessité pour les responsables du traitement de se conformer aux dispositions de ce Règlement, afin de ne pas s’exposer aux lourdes sanctions pécuniaires qui y sont prévues.

Qu’est-ce que le droit à la confidentialité ?

Le « droit à la confidentialité », né aux États-Unis en 1890 comme le « droit d’être laissé seul » (« the right to be let alone »), a été élaboré en Italie comme le droit à la libre détermination dans le développement de sa propre personnalité.

En Europe, les premières références à la confidentialité se trouvent dans la « Convention européenne des droits de l’homme » (la « Convention ») signée en 1950 par le Conseil de l’Europe dans le but de protéger les droits humains et les libertés fondamentales. D’après la Convention, l’ingérence d’une autorité publique dans l’exercice, de la part du sujet, de ses droits à la liberté individuelle, au respect de la vie privée et familiale, de son domicile et de sa correspondance ne peut être admise (cf. article 8, alinéa 1). Les seules exceptions admises en vertu de la loi (cf. art. 8, al. 2) représentent des mesures nécessaires pour :

• la sécurité nationale,
• la sûreté publique,
• le bien-être économique du pays,
• la prévention des infractions pénales,
• la protection de la santé ou de la morale, ou
• la protection des droits et libertés d’autrui.

Ce concept a été largement repris et amplifié dans les accords internationaux ultérieurs et, à l’heure actuelle, il s’agit d’un droit fondamental – le « droit à la protection des données personnelles » – reconnu à toute personne par l’art. 8 de la Charte des droits fondamentaux de l’Union européenne.

En effet, cet article dispose que :

1. “Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante”.

Par l’expression « droit à la protection des données à caractère personnel », il faut entendre, par conséquent, le droit reconnu à l’individu de choisir librement à qui révéler les informations que le regardent ainsi que les modalités de traitement de ces informations, les données personnelles d’une personne physique contribuant à en définir l’identité.  À l’inverse, le « droit à la confidentialité » est né dans le but d’exclure et éloigner les tiers de la sphère personnelle.

La vérification du respect et du contrôle d’une correcte application des dispositions prévues par la réglementation applicable a été confiée aux Autorités indépendantes présentes dans chacun des États membres, lesquelles assument le rôle d’Autorités garantes de la protection des données personnelles (en Italie, le « Garant de la protection des données personnelles », ci-après le « Garant »).

Le cadre réglementaire actuel

Le cadre réglementaire actuel en matière de protection des données personnelles est caractérisé par:

• le Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel (le Règlement général sur la protection des données, ci-après le Règlement ou le « RGPD »), ou
• le Décret législatif italien n^o 196 du 30 juin 2003, tel que modifié par le Décret législatif 101/2018 portant normes de coordination du droit national italien avec le Règlement (ci-après le « Code sur la confidentialité » et, conjointement au Règlement, la « Réglementation sur la confidentialité »).

Dans le détail, le Règlement :

• fixe les normes relatives à la protection des personnes physiques en matière de traitement des données à caractère personnel, c.-à-d. les normes relatives à libre circulation des données elles-mêmes. Il convient de noter que le RGPD utilise l’expression « données à caractère personnel » et non « données personnelles » ;
• protège les droits et libertés fondamentaux des personnes physiques, en particulier le droit à la protection de leurs données à caractère personnel ;
• protège le droit à la libre circulation des données à caractère personnel à l’intérieur de l’Union européenne, droit qui ne peut être ni limité ni empêché pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
• s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (cf. art. 2, point 1).

Le Code sur la confidentialité doit être interprété à la lumière du Règlement, comme l’explique l’art. 22, al. 1, selon lequel « le présent décret et les dispositions du droit national s’interprètent et s’appliquent à la lumière de la réglementation de l’Union européenne en matière de protection des données à caractère personnel et assurent la libre circulation des données à caractère personnel entre les États membres au sens de l’art. 1, paragraphe 3 du Règlement (UE) 2016/679 ». Dans l’exposé des motifs du Décret, il est expliqué, au sujet de l’art. 22, al. 1, que ce dernier « porte […] une clause interprétative à valeur générale, qui impose d’interpréter et appliquer, précisément, le présent décret et les normes nationales restantes à la lumière de la réglementation européenne en matière de protection des données à caractère personnel ».

Il convient par ailleurs de ne pas oublier que les dispositions, décisions, avis et ordonnances émanant du Garant représentent un soutien fondamental pour une application/interprétation correcte et uniforme de la réglementation en matière de protection des données personnelles.

Dans ce contexte s’ajoutent également les décisions du Comité européen de la protection des données (le CEPD, cf. art. 68 à 76 du Règlement, qui a remplacé le groupe de travail « Article 29 », en activité jusqu’au 25 mai 2018) auquel est confiée la tâche de garantir que les normes en matière de protection des données à caractère personnel sont appliquées de façon cohérente entre les États membres. En effet, parmi les missions du CEPD, qui agit en tant qu’organe indépendant de l’Union européenne, sont comprises celles de :

• fournir des orientations générales à travers l’adoption de lignes directrices et recommandations, ainsi que l’indication de bonnes pratiques ;
• conseiller la Commission européenne sur toute question relative à la protection des données personnelles et aux propositions réglementaires de l’Union européenne ;
• adopter des outils pour les transferts transfrontaliers relatifs à la protection des données ; et
• promouvoir la coopération et l’échange efficace d’informations et de bonnes pratiques entre les autorités de contrôle nationales.

Les sujets impliqués dans le traitement des données personnelles

Les sujets impliqués dans le traitement des données personnelles sont :

• le responsable du traitement et les responsables conjoints du traitement ;
• le sous-traitant ;
• les personnes physiques autorisées à traiter les données à caractère personnel ;
• le délégué à la protection des données ; et
• le représentant.

Entrons brièvement dans le détail de chacun de ces acteurs.

Le Règlement définit, à l’art. 4, paragr. 1, al. 7, le responsable du traitementcomme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, on parle de responsables conjoints du traitement (cf. art. 26 du RGPD). La responsabilité conjointe doit être régie par un accord interne dans lequel sont déterminées, de façon transparente, les responsabilités respectives en matière de respect des obligations visées par le Règlement.

Le responsable du traitement se distingue du sous-traitant, c.-à-d. « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (cf. art. 4, paragr. 1, al. 8 du Règlement). Le sous-traitant peut, à son tour, nommer selon des conditions déterminées, un autre sous-traitant (cf. art. 28 du Règlement).

Le responsable du traitement ou le sous-traitant peut attribuer des opérations de traitement à des personnes physiques qui agissent sous son autorité, expressément désignées et ayant reçu des instructions à cet effet (cf. art. 29 du RGPD et art. 2-quaterdecies du Décret législatif 101/2018), appelées les personnes autorisées à traiter les données.

Le Règlement a par ailleurs créé deux nouveaux rôles, il s’agit du :

1. représentant, c.-à-d. « une personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit […], qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement » (cf. art. 4, paragr. 1, al. 17) ; et du
2. délégué à la protection des données (ou DPD) qui soutient le responsable du traitement ou le sous-traitant et dont le rôle est d’évaluer et d’organiser la gestion du traitement des données à caractère personnel (cf. art. 37).

La personne concernée est, en revanche, la personne physique à laquelle les données objet du traitement se réfèrent (cf. art. 4, paragr. 1, al. 1 du RGPD).

Par traitement, on entend « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » (cf.art. 4,paragr. 1,al. 2 du RGPD).

Les données à caractère personnel sont, quant à elles, les informations qui identifient ou rendent identifiables, directement ou indirectement, une personne physique et qui peuvent fournir des informations sur ses caractéristiques, ses habitudes, son style de vie, ses relations personnelles, etc. Selon le Garant, les données particulièrement importantes sont les suivantes :

• les données qui permettent l’identification directe – comme les données d’état civil (p. ex., le nom et le prénom) et les images – et celles qui permettent l’identification indirecte, comme un numéro d’identification (p. ex., le code fiscal, l’adresse IP ou le numéro de plaque d’immatriculation) ;
• les données rentrant dans des catégories particulières (appelées données « sensibles »), c.-à-d. les données qui révèlent l’origine raciale ou ethnique, les convictions religieuses ou philosophiques, les opinions politiques ou l’appartenance syndicale, ainsi que les données concernant la santé ou la vie sexuelle, les données génétiques, les données biométriques ou celles relatives à l’orientation sexuelle (cf. art. 9 du Règlement) ;
• les données relatives aux condamnations pénales et aux infractions (appelées les données « judiciaires »), c.-à-d. les données qui peuvent révéler l’existence de mesures judiciaires soumises à l’inscription au casier judiciaire ou la qualité d’accusé ou de mis en examen ainsi que les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes (cf. art. 10 du Règlement).

Avec l’évolution des nouvelles technologies, de l’avis du Garant, d’autres données personnelles jouent désormais un rôle significatif, comme celles relatives aux communications électroniques (via Internet ou par téléphone) et celles qui permettent la géolocalisation, fournissant des informations sur les lieux fréquentés et sur les déplacements.

Principes généraux en matière de protection des données personnelles

Chaque traitement des données à caractère personnel doit être réalisé dans le plein respect des principes fixés à l’article 5 du Règlement. En conséquence, les données à caractère personnel doivent être :

• traitées de manière licite, loyale et transparente au regard de la personne concernée (« licéité, loyauté et transparence ») ;
• collectées pour des finalités déterminées, explicites et légitimes, et, par la suite, être traitées de manière à ce que d’éventuels traitements ultérieurs ne soient pas incompatibles avec les finalités de la collecte des données (« limitation des finalités ») ;
• adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (« minimisation des données ») ;
• exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (« exactitude ») ;
• conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (« limitation de la conservation ») ;
• traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (« intégrité et confidentialité »).

Les bases juridiques du traitement

Conformément à l’article 6 du Règlement, le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie (c.-à-d. la « base juridique ») :

1. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
3. le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Pour ce qui est des données appartenant à des catégories particulières, leur traitement est interdit sauf si (cf. art. 9 du Règlement) :

1. la personne concernée a donné son consentement ;
2. le traitement est effectué par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale ;
3. le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
4. le traitement est nécessaire (a) aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ; (b) à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ; (c) à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ; (d) pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre ; (e) aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ; (f) pour des motifs d’intérêt public dans le domaine de la santé publique ; (g) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Responsabilité

Le Règlement met en outre l’accent sur le principe de « responsabilité » (ou « accountability ») du responsable du traitement et du sous-traitant dans l’adoption de comportements proactifs et qui soient de nature à démontrer l’adoption concrète de mesures techniques et organisationnelles en mesure d’assurer l’application du Règlement (cf. art. 23-25).

Le principe de responsabilité est l’une des principales nouveautés introduites par le Règlement, dans la mesure où il revient au responsable du traitement/sous-traitant de décider de façon autonome des modalités, garanties et limites du traitement des données à caractère personnel, dans le respect des dispositions réglementaires et au regard des critères spécifiques indiqués dans le Règlement.

Parmi ces critères, le critère principal est celui de « protection des données dès la conception et protection des données par défaut » (cf. art. 25 du RGPD), c’est-à-dire la nécessité de configurer le traitement en prévoyant, dès le début, les garanties indispensables « afin de répondre aux exigences » du Règlement et de protéger les droits de la personne concernée – en tenant compte du contexte d’ensemble dans lequel le traitement s’insère et des risques pour les droits et libertés des personnes concernées. Ceci, comme le précise le Garant :

• doit advenir avant de procéder au traitement des données en tant que tel (« tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même », conformément aux dispositions de l’art. 25, paragr. 1 du Règlement) et
• demande une analyse préventive et un engagement applicatif de la part du responsable du traitement qui doivent se traduire par une série d’activités spécifiques et susceptibles d’être démontrées.

Analyse d’impact

« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. […] ». Ceci est établi par l’art. 35, al. 1 du Règlement, lequel traite de l’« Analyse d’impact » relative à la protection des données (AIPD).

L’Analyse d’impact porte description d’un ou plusieurs traitements afin d’en évaluer la nécessité et la proportionnalité ainsi que les risques correspondants, de sorte à adopter les mesures adéquates pour les affronter.

À cet égard, les lignes directrices du groupe de travail « Article 29 » (anciennement WP29, aujourd’hui appelé CEPD, cf. point 1 ci-dessus) :

• indiquent les cas dans lesquels l’Analyse d’impact est obligatoire (par exemple en cas de suivi systématique – cf. la vidéosurveillance – ou en présence d’utilisations novatrices ou d’application de nouvelles solutions technologiques et organisationnelles – cf. la reconnaissance faciale, les appareils d’IoT, etc.) ;
• déterminent qui doit effectuer l’Analyse d’impact : sa responsabilité revient au responsable du traitement, mais sa conduite matérielle peut être confiée à un autre sujet, lequel peut être interne ou externe à l’organisation ;
• décrivent en quoi consiste l’Analyse d’impact et déterminent si celle-ci doit être soumise à un processus de mise à jour continu.

Le registre des activités de traitement

L’article 30 du Règlement prévoit, parmi les obligations principales du responsable du traitement et du sous-traitant, la tenue d’un « Registre des activités de traitement » (ci-après, le « Registre des traitements »).

Le Registre des traitements est un document contenant les informations principales (indiquées dans l’article 30 précité ainsi que toute autre information susceptible d’être considérée comme utile) relativement aux opérations de traitement réalisées par le responsable du traitement et, s’il a été désigné, par le sous-traitant (cf. la FAQ mise à disposition par le Garant sur son propre site institutionnel le 8 octobre 2018).

Le Garant considère le Registre des traitements comme « un des principaux éléments d’accountability du responsable du traitement, en tant qu’instrument adapté pour fournir un cadre à jour des traitements en cours au sein de sa propre organisation, indispensable pour toute activité d’évaluation ou d’analyse du risque et donc préliminaire par rapport à ces activités ».

Le Registre des traitements doit, selon le Garant :

• être consigné par écrit, y compris sous forme électronique, et doit être présenté sur demande ;
• être constamment tenu à jour étant donné que son contenu doit toujours correspondre à la réalité des traitements effectués : tout changement ou toute modification doit être immédiatement reporté(e) dans le Registre, en ayant soin de conserver l’historique des versions précédentes.

Conformément à l’article 30 du Règlement, les entreprises comptant moins de 250 employés ne sont pas tenues de rédiger le Registre des traitements « sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’art. 9, paragr. 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’art. 10 ». En tout état de cause, le Garant, dans sa FAQ, en recommande la rédaction en tant qu’« instrument qui, en ce qu’il fournit la connaissance complète du type de traitements réalisés, contribue à mieux appliquer, avec des modalités simples et accessibles à tous, le principe d’accountability et, dans le même temps, à faciliter par le dialogue et la collaboration l’activité de contrôle du Garant lui-même ».

Les violations des données personnelles et les mesures de sécurité adéquates pour les protéger

Une violation des données à caractère personnel désigne « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (cf. art. 4 du Règlement).

Une violation des données personnelles peut, par conséquent, compromettre la confidentialité, l’intégrité ou la disponibilité des données personnelles traitées. À titre d’exemple, citons (i) le vol ou la perte de dispositifs informatiques contenant des données personnelles ou (ii) l’impossibilité d’accéder aux données à cause d’accidents ou d’attaques externes, de virus ou de logiciels malveillants.

S’il subit une violation de ce type, le responsable du traitement, doit – dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance – en notifier le Garant, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. En revanche, lorsqu’une telle violation est subie par le sous-traitant, ce dernier doit – une fois qu’il en a pris connaissance – en informer dans les meilleurs délais le responsable du traitement afin que ce dernier puisse agir dans les délais prescrits par le Règlement (cf. art. 33, paragr. 1 et 2 du Règlement).

Selon le Garant, les violations à notifier sont celles qui peuvent avoir des effets néfastes significatifs sur les personnes, en causant des dommages physiques, matériels et immatériels.

Le Garant a également clarifié que les notifications effectuées au-delà du délai de 72 heures doivent être accompagnées des motifs de ce retard.  Depuis le 1^er juillet 2021, la notification des violations au Garant doit se faire selon une procédure télématique disponible sur le site institutionnel de cette autorité de contrôle.

Indépendamment de la notification ou non au Garant, le responsable du traitement est tenu de documenter toute violation des données à caractère personnel subie (y compris les circonstances y afférentes, ses conséquences et les mesures prises pour y remédier) dans un registre dédié (cf. art. 33, paragr. 1 du Règlement).

Par ailleurs, si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés fondamentaux des personnes concernées, le responsable du traitement est tenu de les informer « dans les meilleurs délais », en utilisant les canaux les mieux adaptés pour que l’information arrive et soit comprise par elles (art. 34, paragr. 1 du Règlement).

L’article 32 du Règlement dispose que le responsable du traitement doit tenir compte, lorsqu’il met en œuvre les mesures techniques et organisationnelles visant à garantir un niveau de sécurité adéquat au vu du risque, entre autres, « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » ainsi que « des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ».

À la lumière de la nouvelle réglementation, il n’existe plus d’obligation généralisée d’adopter des mesures « minimales » de sécurité. L’article 32 du Règlement fournit une liste ouverte de mesures, raison pour laquelle il utilise l’expression « y compris entre autres, selon les besoins ».

L’évaluation des mesures à adopter incombe au responsable du traitement ou au sous-traitant « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques » (cf. art. 32, paragr. 1 du Règlement).

Pour attester le caractère adéquat des mesures adoptées, il est possible d’utiliser l’application de codes de conduite ou de mécanismes de certification spécifiques (cf. art. 32, paragr. 3 du Règlement).

Un code de conduite est un outil de référence aux fins de l’application correcte du Règlement en fonction d’un secteur de référence donné et son but est de garantir aux responsables du traitement et aux sous-traitants impliqués l’application efficace, cohérente et homogène de la réglementation ainsi qu’un équilibrage correct des intérêts entre les différents sujets impliqués.

À l’heure actuelle, le Garant a approuvé des codes de conduite en matière (i) d’information commerciale, (ii) de systèmes d’information relatifs au crédit et (iii) de santé, recherche scientifique et anonymisation. Comme le prévoit l’art. 40, paragr. 6 du Règlement, les codes de conduite approuvés sont enregistrés et publiés dans un registre dédié, le « Registre des codes de conduite », qui est disponible sur le site institutionnel de l’Autorité de contrôle et qui, comme précisé par cette dernière, renvoie à l’Organisme de suivi, auquel chaque utilisateur peut s’adresser pour la résolution des éventuelles réclamations.

Les informations à fournir et les droits à reconnaître aux personnes concernées

Dans le respect du principe de transparence, la personne concernée doit recevoir, avant la collecte de ses données, de la part du responsable du traitement, une série d’informations relatives au traitement qui sera effectué.

Si, en revanche, les données sont collectées auprès d’un tiers, les informations doivent être fournies à la personne concernée dans un délai raisonnable, non supérieur à un mois à compter de la collecte, ou au moment de la communication des données (cf. art. 14, paragr. 3 du Règlement).

Ces informations doivent être présentées de manière concise, transparente et compréhensible et facilement accessibles, et être formulées en termes simples et clairs : elles peuvent être fournies par écrit ou par d’autres moyens, y compris, le cas échéant, avec des moyens électroniques et, sur demande de la personne concernée, oralement, sous réserve que l’identité de cette dernière soit prouvée.

Dans le détail, et conformément aux articles 13 et 14 du Règlement, le responsable du traitement doit fournir à la personne concernée les informations suivantes :

• son identité et ses coordonnées ainsi que, le cas échéant, celles de son représentant ;
• s’il a été désigné, les coordonnées du Délégué à la protection des données (« DPD ») ;
• les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique y afférente ;
• lorsque le traitement est nécessaire pour la poursuite de l’intérêt légitime, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
• les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
• le cas échéant, son intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission, ou la référence aux garanties appropriées ou adaptées et les moyens d’obtenir une copie de ces garanties ou l’endroit où elles ont été mises à disposition ;
• la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
• l’existence du droit de la personne concernée à lui demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement des données à caractère personnel relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
• lorsque le traitement est fondé sur le consentement donné par la personne concernée, y compris dans le cas de catégories particulières de données à caractère personnel, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
• le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
• l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

Afin de renforcer encore sa protection, le Règlement reconnaît à la personne concernée une série de droits qu’elle peut exercer à l’encontre du responsable du traitement. Dans le détail, il s’agit du droit de :

• retirer son consentement à tout moment, lorsqu’elle l’a donné. Le retrait du consentement ne porte pas atteinte à la licéité du traitement fondé sur le consentement et effectué avant le retrait de celui-ci (« Droit de retirer le consentement »).
• obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à ces données (« Droit d’accès »).
• obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire (« Droit de rectification »).
• obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant lorsque l’un des motifs prévus par la réglementation s’applique (« Droit à l’effacement »).
• obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments prévus par la réglementation s’applique (« Droit de limitation »).
• s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant nécessaire à l’exécution d’une mission d’intérêt public, relevant de l’exercice de l’autorité publique ou nécessaire aux fins de la poursuite des intérêts légitimes, y compris un profilage fondé sur ces dispositions (« Droit d’opposition »).
• (i) recevoir les données à caractère personnel qu’elle a fournies au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine et (ii) les transmettre à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle selon les conditions prévues par la réglementation (« Droit à la portabilité »).

En outre, si la personne concernée considère que le traitement constitue une violation du Règlement, elle peut introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise – pour l’Italie selon les modalités indiquées plus haut (« Droit de réclamation »).

La protection des données personnelles dans le cadre des relations de travail

L’article 88 du Règlement « concède » à chaque État membre la possibilité d’établir des règles plus spécifiques, par la loi ou au moyen de conventions collectives nationales, dans le but de garantir la protection des droits et libertés relativement au traitement des données à caractère personnel des travailleurs. Et ce, « aux fins du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail ».

Ces dispositions doivent inclure, comme en dispose également l’article 88, « des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail ». 

Avant même l’entrée en vigueur du Règlement, le Garant avait émis des Lignes directrices dans lesquelles étaient définis, pour la première fois dans un cadre unitaire, les mesures et les moyens visant à régir la collecte et l’utilisation des données personnelles dans le cadre de la relation de travail (cf. « Lignes directrices sur le traitement des données personnelles des travailleurs du secteur privé – 23 novembre 2006 » [1364939]). Certains des principes généraux établis dans ces lignes directrices peuvent toujours être considérés comme valides ; c’est le cas, par exemple, de l’obligation de l’employeur de traiter les données personnelles de ses employés exclusivement pour les objectifs et les finalités pour lesquels elles ont été collectées, ou encore de l’obligation d’autoriser expressément et de fournir des instructions adéquates à quiconque, agissant sous son autorité, accède à des données personnelles et les traite, dont nous parlerons plus avant.

Toujours dans le cadre de la gestion de la relation de travail, l’employeur a la nécessité de traiter non seulement des données personnelles permettant l’identification des personnes concernées ainsi que des données personnelles sociodémographiques, mais également, éventuellement, des données appartenant à des catégories particulières [à ce sujet, voir également le point 2, ci-dessus]. Dans ce dernier cas, l’employeur doit procéder au traitement correspondant dans le plein respect de la « Disposition portant les prescriptions relatives au traitement de catégories particulières de données, au sens de l’art. 21, al. 1 du décret législatif n^o 101 du 10 août 2018 » publiée au Journal officiel italien, Série générale n^o 176 du 29 juillet 2019. Avec cette Disposition, le Garant a clarifié les obligations que tous les sujets, qu’ils soient publics ou privés, ce qui inclut donc les employeurs, doivent respecter pour pouvoir traiter des catégories particulières de données personnelles, comme celles liées à la santé, aux opinions politiques, à l’origine ethnique ou à l’orientation sexuelle.

Dans la mesure où elles revêtent pour nous un intérêt essentiel, les dispositions contenues dans la Disposition précitée sont inhérentes (i) au champ d’application ; (ii) aux personnes concernées ; (iii) aux finalités pour lesquelles le traitement de ces catégories de données est nécessaire ; (iv) aux prescriptions spécifiques pour les traitements réalisés dans les phases préliminaires des embauches et (v) aux traitements effectués au cours de la relation de travail, mais également (vi) aux prescriptions spécifiques relatives aux modalités de traitement.

Quand obtenir le consentement du travailleur

Comme expliqué plus haut, l’obtention du consentement représente l’une des bases juridiques possibles sur lesquelles fonder la légitimité du traitement des données personnelles, et le Règlement en donne la définition suivante : « toute manifestation de volonté, libre, spécifique, éclairée et univoque [de la personne concernée] par laquelle [elle] accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (cf. art. 4, point 11 du Règlement).

À la lumière de ce qui précède, pour être valide, le consentement donné doit être, notamment, « libre » et « révocable » à tout moment. Ce concept est également exprimé dans la Considération n^o 43 du Règlement, au sens de laquelle : « Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement […] ».

Dans le cadre de la relation de travail, le consentement du travailleur ne peut constituer une condition valide de licéité en raison du déséquilibre de pouvoir entre les parties. Ceci a été confirmé à plusieurs reprises, non seulement par le groupe de travail des garants européens (anciennement « WP29 », aujourd’hui appelé le « CEPD – Comité européen de la protection des données ») dans différents Avis et Lignes directrices, mais également par le Garant. Le Garant s’est récemment exprimé en ce sens en répondant à certaines FAQ en matière de licéité au sujet de la demande de confirmation, faite par l’employeur à son employé, quant au fait de savoir si ce dernier s’était effectivement fait vacciner contre le COVID-19.

Il reste entendu que le consentement peut éventuellement être demandé au travailleur pour les finalités pour lesquelles il peut manifester sa propre volonté de manière « libre, spécifique, éclairée et univoque ». À titre d’exemple, le consentement est une base juridique à utiliser dans l’hypothèse de la collecte et utilisation d’images, de photos et de vidéos à l’occasion d’événements, de cours, de séminaires ou de conférences organisés par l’employeur et auxquels l’employé participe. L’éventuel refus de donner son consentement ne porte en effet aucunement atteinte à la relation de travail ou à sa gestion de la part de l’employeur.

Le télétravail (ou le travail a distance) et la protection des données personnelles

Le télétravail (ou le travail à distance) [sur ce point, voir également Smart Working : guide complet] a également des implications du point de vue de la protection des données personnelles des travailleurs ainsi que des données qu’ils traitent (p. ex., les données des clients et/ou des fournisseurs).

Comme nous l’avons déjà expliqué, le principe de responsabilité impose, notamment, au responsable du traitement (c.-à-d. à l’employeur) d’identifier et de gérer les risques relatifs aux traitements effectués, dans le plein respect des principes de protection des données dès la conception de chaque traitement et de protection des données par défaut.

En conséquence, il est fondamental que l’employeur – en permettant au travailleur de réaliser son activité en télétravail (ou en travail à distance) et, donc, non seulement en dehors des locaux de l’entreprise mais aussi, potentiellement, en dehors de son domicile – effectue une évaluation préliminaire des risques et une analyse d’impact. Ceci doit être fait afin (i) d’analyser tous les risques existants et potentiels, (ii) de déterminer les mesures de sécurité adéquates, aussi bien techniques qu’organisationnelles et (iii) de garantir la protection des données traitées (sur ce point, se reporter à l’art. 35 du Règlement). Mais pas seulement. L’employeur doit fournir à son employé en télétravail (ou en travail à distance)  des instructions précises et complètes quant à la correcte utilisation des outils utilisés pour l’accomplissement de son travail. Ces instructions peuvent tout à fait être fournies à travers le Règlement de l’entreprise, des Politiques ou des Lignes directrices [sur ce point, voir également le paragraphe 10.3. ci-dessous].

Par souci d’exhaustivité, nous précisons que, le 7 décembre 2021, le ministère italien du Travail et des Politiques sociales et les partenaires sociaux ont signé le « Protocole national sur le télétravail (ou le travail à distance) »(le « Protocole »).

Le Protocole a pour objectif d’établir le cadre de référence pour l’exercice du télétravail (ou du travail à distance), en déterminant les orientations de la négociation collective nationale, d’entreprise et territoriale, dans le respect des dispositions prévues par la Loi n^o 81 du 22 mai 2017 ainsi que des conventions collectives et des accords individuels en vigueur. 

Par ailleurs, le Protocole met justement l’accent sur la protection des données personnelles et de la confidentialité, tant des travailleurs que des données que ces derniers traitent à des fins professionnelles, et dont l’employeur est le responsable du traitement ou le sous-traitant. [sur ce point, voir également Smart working : guide complet]

Le pouvoir de contrôle et le pouvoir disciplinaire de l’employeur

L’employeur a le pouvoir de contrôler que le travailleur exécute son travail avec diligence (art. 2104, al. 1 du Code civil italien), qu’il suit les instructions qui lui ont été données (art. 2104, al. 2, C. civ.) et qu’il respecte les obligations de fidélité (art. 2105 C. civ.) qui s’appliquent à lui, y compris aux fins de l’exercice du pouvoir disciplinaire de l’employeur (art. 2016 C. civ.).

Le pouvoir de contrôle de l’employeur n’est pas absolu et il doit être exercé de façon à ne pas porter atteinte aux droits fondamentaux du travailleur, notamment à son droit à la dignité et à la confidentialité. À cet égard, la loi 300/70 dite « Statuto dei Lavoratori » (Statut des travailleurs) a fixé les limiter dans lesquelles ce pouvoir peut être exercé, en définissant les personnes habilitées à l’exercer ainsi que les formes selon lesquelles il peut être exercé (contrôle à distance et contrôle direct).

Ici, nous nous arrêtons sur le contrôle à distance, réglementé par l’art. 4 du Statut des travailleurs, en vertu duquel il est possible d’utiliser des équipements audiovisuels et d’autres outils « desquels dérive également la possibilité de contrôle à distance » de l’activité du travailleur (al. 1) :

• en présence d’exigences spécifiques (organisationnelles et productives ; sécurité au travail et protection du patrimoine de l’entreprise) et
• sous réserve d’accord avec le ou les syndicats ou, à défaut, sous réserve d’une autorisation administrative.

Les dispositions mentionnées ci-dessus ne s’appliquent pas aux outils utilisés par le salarié pour effectuer son travail ni aux outils servant à l’enregistrement des accès et des présences cf. al. 2).

Dans tous les cas, les informations obtenues à l’aide des équipements/outils susmentionnés peuvent être utilisées pour toutes les finalités en lien avec la relation de travail, y compris, par conséquent, les finalités disciplinaires, à la condition que le salarié ait été informé de manière adéquate sur les modalités d’utilisation de ces informations et d’exécution des contrôles, ainsi que sur le respect de la réglementation en matière de protection des données personnelles (cf. al. 3).

Précisément à cet égard, le Garant affirme, dans les « Lignes directrices sur l’usage d’Internet et du courrier électronique sur les lieux de travail publics et privés » [doc. web. 1387522] publiées le 1er mars 2007 et toujours pleinement valides, que « le lieu de travail est une construction sociale dans laquelle il convient d’assurer la protection des droits, des libertés fondamentales et de la dignité des personnes concernées en garantissant que soient assurées, dans un cadre de droits et devoirs réciproques, l’expression de la personnalité du travailleur et une protection raisonnable de sa sphère de confidentialité dans les relations personnelles et professionnelles ».

Le Garant a, en outre, réaffirmé que les traitements doivent être effectués dans le respect des principes suivants :

1. principe de nécessité : les systèmes informatiques et les programmes informatiques doivent être configurés de sorte à réduire au minimum l’utilisation des données personnelles et des données permettant l’identification en relation avec les finalités poursuivies ;
2. principe de correction : les caractéristiques essentielles des traitements doivent être communiquées aux travailleurs. Les technologies de l’information permettent d’effectuer des traitements ultérieurs par rapport à ceux qui sont, d’ordinaire, en lien avec le travail. Ceci peut advenir à l’insu des travailleurs ou sans qu’ils en aient pleinement conscience, compte tenu également des applications possibles de règles que les personnes concernées ne connaîtraient pas suffisamment ;
3. principe de pertinence et de mesure : les traitements doivent être effectués pour des finalités déterminées, explicites et légitimes.

D’après le Garant, l’employeur doit indiquer, de façon claire et détaillée, quelles sont les modalités d’utilisation des outils mis à disposition qui sont considérées comme correctes et si, dans quelle mesure et selon quelles modalités des contrôles sont effectués. Ceci doit être fait en tenant compte des règles pertinentes applicables en matière d’information, de concertation et de consultation des organisations syndicales.

Dans ses Lignes directrices, le Garant recommande donc aux employeurs d’adopter des règles internes et de les rendre publiques selon des modalités comparables à celles visées à l’art. 7 du Statut des travailleurs (p. ex., par affichage dans un lieu accessible à tous). De telles règles peuvent, par exemple, préciser :

• si certains comportements ne sont pas tolérés en ce qui concerne la navigation sur Internet ou le stockage de fichiers dans le réseau interne ;
• quelles informations sont mémorisées de façon temporaire (p. ex., les composants de fichiers journaux éventuellement enregistrés) et qui (y compris à l’extérieur) peut y accéder de façon légitime ;
• si des informations sont éventuellement conservées pour une durée plus longue, de manière centralisée ou non (y compris du fait des copies de sauvegarde, de la gestion technique du réseau ou des fichiers journaux) et quelles informations sont concernées, le cas échéant ;
• si et dans quelle mesure l’employeur se réserve la possibilité de procéder à des contrôles conformément à la loi, y compris sporadiques ou occasionnels, en indiquant les raisons légitimes – spécifiques et non génériques – pour lesquelles ils seraient effectués ainsi que leurs modalités ;
• quelles conséquences, y compris de type disciplinaire, l’employeur a la faculté de tirer s’il devait constater que le courrier électronique et le réseau Internet sont utilisés de manière indue ;
• les solutions prévues pour garantir, avec la coopération du travailleur, la continuité de l’activité en cas d’absence du travailleur concerné (notamment en cas d’absence programmée), en particulier en ce qui concerne l’activation de systèmes de réponse automatique par courrier électronique.

Formation et instructions

Les concepts de « formation » et d’« instructions » en matière de protection des données personnelles sont prévus et rappelés par le Règlement qui prévoit expressément ce qui suit :

1. « Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement […] » (art. 29 du Règlement).

Cette disposition est en outre confirmée à nouveau dans l’art. 32 du Règlement, intitulé « Sécurité du traitement » qui dispose :

2. « Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement […] » (art. 32 du Règlement).

Enfin, dans la liste des missions dévolues au Délégué à la protection des données (« DPD »), le Règlement dispose que le DPD est chargé de :

3. « […] la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant […] » (art. 39 du Règlement).

Par conséquent, à la lumière de ce qui précède, il est nécessaire que l’employeur :

• prévoie des plans de formation visant à développer des compétences techniques, organisationnelles et numériques spécifiques, y compris pour favoriser une utilisation efficace et sûre des outils de travail fournis ;
• encourage et incite ses employés à la formation continue en matière de protection des données personnelles.

L’employeur devra procéder ainsi afin de protéger les données personnelles de ses salariés mais aussi les données dont il est le responsable du traitement ou le sous-traitant, en relation avec sa propre activité (voir les données inhérentes aux clients et/ou aux fournisseurs).

Jurisprudence et approfondissements

---

TÉLÉCHARGER MAINTENANT

Entrez votre adresse e-mail et recevez ce contenu au format pdf.

*Acconsento al trattamento dei dati personali conferiti nei limiti indicati nella Privacy Policy

*Je ne consens pas au traitement de mes données personnelles

Envoyer

Nous avons envoyé le PDF à votre boîte mail

---