{"id":29016,"date":"2022-06-17T07:52:34","date_gmt":"2022-06-17T05:52:34","guid":{"rendered":"https:\/\/www.delucapartners.it\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/"},"modified":"2026-03-31T12:52:56","modified_gmt":"2026-03-31T10:52:56","slug":"conformite-et-protection-des-donnees-parcours-dapprofondissement","status":"publish","type":"pillar","link":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/","title":{"rendered":"Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\"><strong><strong><strong><em>La conformit\u00e9 \u00e0 la r\u00e9glementation en vigueur et la protection des donn\u00e9es personnelles dans le contexte du travail.<\/em><\/strong><\/strong><\/strong><\/h2>\n\n\n\n<p>Le R\u00e8glement (UE) 2016\/679 relatif \u00e0 la protection des donn\u00e9es personnelles, entr\u00e9 en vigueur il y a quatre ans, a pour objectif de garantir un niveau de protection des droits et des libert\u00e9s des personnes physiques, \u00e0 l\u2019\u00e9gard du traitement des donn\u00e9es, \u00e9quivalent dans tous les \u00c9tats membres. Dans cette optique, le R\u00e8glement a introduit de nouvelles obligations et de nouveaux principes afin de prot\u00e9ger la circulation des donn\u00e9es personnelles et de garantir une certitude juridique majeure. D\u2019o\u00f9 la n\u00e9cessit\u00e9 pour les responsables du traitement de se conformer aux dispositions de ce R\u00e8glement, afin de ne pas s\u2019exposer aux lourdes sanctions p\u00e9cuniaires qui y sont pr\u00e9vues.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>Qu\u2019est-ce que le droit \u00e0 la confidentialit\u00e9&nbsp;?<\/strong><\/strong><\/h2>\n\n\n\n<p><strong>Le \u00ab&nbsp;droit \u00e0 la confidentialit\u00e9&nbsp;\u00bb, n\u00e9 aux \u00c9tats-Unis en&nbsp;1890 comme le \u00ab&nbsp;<em>droit d\u2019\u00eatre laiss\u00e9 seul<\/em>&nbsp;\u00bb (\u00ab&nbsp;<em>the right to be let alone&nbsp;<\/em>\u00bb), a \u00e9t\u00e9 \u00e9labor\u00e9 en Italie comme le droit \u00e0 la libre d\u00e9termination dans le d\u00e9veloppement de sa propre personnalit\u00e9.<\/strong><\/p>\n\n\n\n<p>En Europe, les premi\u00e8res r\u00e9f\u00e9rences \u00e0 la confidentialit\u00e9 se trouvent dans la \u00ab&nbsp;<em>Convention europ\u00e9enne des droits de l\u2019homme<\/em>&nbsp;\u00bb (la \u00ab&nbsp;<strong><em>Convention<\/em><\/strong>&nbsp;\u00bb) sign\u00e9e en 1950 par le Conseil de l\u2019Europe dans le but de prot\u00e9ger les droits humains et les libert\u00e9s fondamentales. D\u2019apr\u00e8s la Convention, l\u2019ing\u00e9rence d\u2019une autorit\u00e9 publique dans l\u2019exercice, de la part du sujet, de ses droits \u00e0 la libert\u00e9 individuelle, au respect de la vie priv\u00e9e et familiale, de son domicile et de sa correspondance ne peut \u00eatre admise (cf. article&nbsp;8, alin\u00e9a&nbsp;1). Les seules exceptions admises en vertu de la loi (cf. art.&nbsp;8, al.&nbsp;2) repr\u00e9sentent des mesures n\u00e9cessaires pour&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>la s\u00e9curit\u00e9 nationale,<\/li>\n\n\n\n<li>la s\u00fbret\u00e9 publique,<\/li>\n\n\n\n<li>le bien-\u00eatre \u00e9conomique du pays,<\/li>\n\n\n\n<li>la pr\u00e9vention des infractions p\u00e9nales,<\/li>\n\n\n\n<li>la protection de la sant\u00e9 ou de la morale, ou<\/li>\n\n\n\n<li>la protection des droits et libert\u00e9s d\u2019autrui.<\/li>\n<\/ul>\n\n\n\n<p><strong>Ce concept a \u00e9t\u00e9 largement repris et amplifi\u00e9 dans les accords internationaux ult\u00e9rieurs et, \u00e0 l\u2019heure actuelle, il s\u2019agit d\u2019un droit fondamental \u2013&nbsp;le \u00ab&nbsp;<em>droit \u00e0 la protection des donn\u00e9es personnelles<\/em>&nbsp;\u00bb&nbsp;\u2013 reconnu \u00e0 toute personne par l\u2019art.&nbsp;8 de la Charte des droits fondamentaux de l\u2019Union europ\u00e9enne.<\/strong><\/p>\n\n\n\n<p>En effet, cet article dispose que&nbsp;:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><em>\u201c<em><em>Toute personne a droit \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant.<\/em><\/em><\/em><\/li>\n\n\n\n<li><em><em><em>Ces donn\u00e9es doivent \u00eatre trait\u00e9es loyalement, \u00e0 des fins d\u00e9termin\u00e9es et sur la base du consentement de la personne concern\u00e9e ou en vertu d\u2019un autre fondement l\u00e9gitime pr\u00e9vu par la loi. Toute personne a le droit d\u2019acc\u00e9der aux donn\u00e9es collect\u00e9es la concernant et d\u2019en obtenir la rectification.<\/em><\/em><\/em><\/li>\n\n\n\n<li><em><em><em>Le respect de ces r\u00e8gles est soumis au contr\u00f4le d\u2019une autorit\u00e9 ind\u00e9pendante<\/em><\/em><\/em>\u201d.<\/li>\n<\/ol>\n\n\n\n<p><strong>Par l\u2019expression \u00ab&nbsp;<em>droit \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel<\/em>&nbsp;\u00bb, il faut entendre, par cons\u00e9quent, le droit reconnu \u00e0 l\u2019individu de choisir librement \u00e0 qui r\u00e9v\u00e9ler les informations que le regardent ainsi que les modalit\u00e9s de traitement de ces informations, les donn\u00e9es personnelles d\u2019une personne physique contribuant \u00e0 en d\u00e9finir l\u2019identit\u00e9.&nbsp; \u00c0 l\u2019inverse, le \u00ab&nbsp;<em>droit \u00e0 la confidentialit\u00e9<\/em>&nbsp;\u00bb est n\u00e9 dans le but d\u2019exclure et \u00e9loigner les tiers de la sph\u00e8re personnelle.<\/strong><\/p>\n\n\n\n<p>La v\u00e9rification du respect et du contr\u00f4le d\u2019une correcte application des dispositions pr\u00e9vues par la r\u00e9glementation applicable a \u00e9t\u00e9 confi\u00e9e aux Autorit\u00e9s ind\u00e9pendantes pr\u00e9sentes dans chacun des \u00c9tats membres, lesquelles assument le r\u00f4le d\u2019Autorit\u00e9s garantes de la protection des donn\u00e9es personnelles (en Italie, le \u00ab&nbsp;<a href=\"https:\/\/www.garanteprivacy.it\/\"><strong><em>Garant de la protection des donn\u00e9es personnelles<\/em><\/strong><\/a>&nbsp;\u00bb, ci-apr\u00e8s le \u00ab&nbsp;<strong><em>Garant<\/em><\/strong>&nbsp;\u00bb).<\/p>\n\n\n\n\n\n\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Le cadre r\u00e9glementaire actuel<\/strong><\/h2>\n\n\n\n<p>Le <a href=\"https:\/\/www.delucapartners.it\/insights\/la-mancata-adozione-delle-misure-previste-dal-gdpr-e-equiparabile-alla-colpa-di-organizzazione-prevista-dal-d-lgs-231-2001\/\">cadre r\u00e9glementaire<\/a> actuel en mati\u00e8re de protection des donn\u00e9es personnelles est caract\u00e9ris\u00e9 par:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>le R\u00e8glement (UE) 2016\/679 relatif \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel (le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es, ci-apr\u00e8s le <a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/lo-sai-che\/saviez-vous-que-le-reglement-europeen-sur-la-protection-des-donnees-a-caractere-personnel-est-il-devenu-pleinement-operationnel-depuis-le-25-mai\/\"><strong><em>R\u00e8glement<\/em><\/strong><\/a> ou le \u00ab&nbsp;<strong><em>RGPD<\/em><\/strong>&nbsp;\u00bb), ou<\/li>\n\n\n\n<li>le D\u00e9cret l\u00e9gislatif italien n<sup>o<\/sup>&nbsp;196 du 30&nbsp;juin 2003, tel que modifi\u00e9 par le D\u00e9cret l\u00e9gislatif 101\/2018 portant normes de coordination du droit national italien avec le R\u00e8glement (ci-apr\u00e8s le \u00ab&nbsp;<strong><em>Code sur la confidentialit\u00e9<\/em><\/strong>&nbsp;\u00bb et, conjointement au R\u00e8glement, la \u00ab&nbsp;<strong><em>R\u00e9glementation sur la confidentialit\u00e9<\/em><\/strong>&nbsp;\u00bb).<\/li>\n<\/ul>\n\n\n\n<p>Dans le d\u00e9tail, le R\u00e8glement&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>fixe les normes relatives \u00e0 la protection des personnes physiques en mati\u00e8re de traitement des donn\u00e9es \u00e0 caract\u00e8re personnel, c.-\u00e0-d. les normes relatives \u00e0 libre circulation des donn\u00e9es elles-m\u00eames. Il convient de noter que le RGPD utilise l\u2019expression \u00ab&nbsp;donn\u00e9es \u00e0 caract\u00e8re personnel&nbsp;\u00bb et non \u00ab&nbsp;donn\u00e9es personnelles&nbsp;\u00bb&nbsp;;<\/li>\n\n\n\n<li>prot\u00e8ge les droits et libert\u00e9s fondamentaux des personnes physiques, en particulier le droit \u00e0 la protection de leurs donn\u00e9es \u00e0 caract\u00e8re personnel&nbsp;;<\/li>\n\n\n\n<li>prot\u00e8ge le droit \u00e0 la libre circulation des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 l\u2019int\u00e9rieur de l\u2019Union europ\u00e9enne, droit qui ne peut \u00eatre ni limit\u00e9 ni emp\u00each\u00e9 pour des motifs li\u00e9s \u00e0 la protection des personnes physiques \u00e0 l\u2019\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel&nbsp;;<\/li>\n\n\n\n<li>s\u2019applique au traitement de donn\u00e9es \u00e0 caract\u00e8re personnel, automatis\u00e9 en tout ou en partie, ainsi qu\u2019au traitement non automatis\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel contenues ou appel\u00e9es \u00e0 figurer dans un fichier (cf. art.&nbsp;2, point&nbsp;1).<\/li>\n<\/ul>\n\n\n\n<p>Le Code sur la confidentialit\u00e9 doit \u00eatre interpr\u00e9t\u00e9 \u00e0 la lumi\u00e8re du R\u00e8glement, comme l\u2019explique l\u2019art.&nbsp;22, al. 1, selon lequel \u00ab&nbsp;<em>le pr\u00e9sent d\u00e9cret et les dispositions du droit national s\u2019interpr\u00e8tent et s\u2019appliquent \u00e0 la lumi\u00e8re de la r\u00e9glementation de l\u2019Union europ\u00e9enne en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel et assurent la libre circulation des donn\u00e9es \u00e0 caract\u00e8re personnel entre les \u00c9tats membres au sens de l\u2019art.&nbsp;1, paragraphe&nbsp;3 du R\u00e8glement (UE) 2016\/679&nbsp;\u00bb.<\/em> Dans l\u2019expos\u00e9 des motifs du D\u00e9cret, il est expliqu\u00e9, au sujet de l\u2019art.&nbsp;22, al. 1, que ce dernier \u00ab&nbsp;<em>porte [\u2026] une clause interpr\u00e9tative \u00e0 valeur g\u00e9n\u00e9rale, qui impose d\u2019interpr\u00e9ter et appliquer, pr\u00e9cis\u00e9ment, le pr\u00e9sent d\u00e9cret et les normes nationales restantes \u00e0 la lumi\u00e8re de la r\u00e9glementation europ\u00e9enne en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel&nbsp;\u00bb<\/em>.<\/p>\n\n\n\n<p>Il convient par ailleurs de ne pas oublier que les dispositions, d\u00e9cisions, avis et ordonnances \u00e9manant du Garant repr\u00e9sentent un soutien fondamental pour une application\/interpr\u00e9tation correcte et uniforme de la r\u00e9glementation en mati\u00e8re de protection des donn\u00e9es personnelles.<\/p>\n\n\n\n<p>Dans ce contexte s\u2019ajoutent \u00e9galement les d\u00e9cisions du Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es (le <strong><em>CEPD<\/em><\/strong>, cf. art. 68 \u00e0 76 du R\u00e8glement, qui a remplac\u00e9 le groupe de travail \u00ab&nbsp;<em>Article&nbsp;29<\/em>&nbsp;\u00bb, en activit\u00e9 jusqu\u2019au 25&nbsp;mai 2018) auquel est confi\u00e9e la t\u00e2che de garantir que les normes en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel sont appliqu\u00e9es de fa\u00e7on coh\u00e9rente entre les \u00c9tats membres. En effet, parmi les missions du CEPD, qui agit en tant qu\u2019organe ind\u00e9pendant de l\u2019Union europ\u00e9enne, sont comprises celles de&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>fournir des orientations g\u00e9n\u00e9rales \u00e0 travers l\u2019adoption de <a href=\"https:\/\/www.delucapartners.it\/insights\/prassi\/linee-guida-del-comitato-europeo-per-la-protezione-dei-dati-sullapplicazione-territoriale-del-gdpr\/\">lignes directrices<\/a> et recommandations, ainsi que l\u2019indication de bonnes pratiques&nbsp;;<\/li>\n\n\n\n<li>conseiller la Commission europ\u00e9enne sur toute question relative \u00e0 la protection des donn\u00e9es personnelles et aux propositions r\u00e9glementaires de l\u2019Union europ\u00e9enne&nbsp;;<\/li>\n\n\n\n<li>adopter des outils pour les transferts transfrontaliers relatifs \u00e0 la protection des donn\u00e9es&nbsp;; et<\/li>\n\n\n\n<li>promouvoir la coop\u00e9ration et l\u2019\u00e9change efficace d\u2019informations et de bonnes pratiques entre les autorit\u00e9s de contr\u00f4le nationales.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Les sujets impliqu\u00e9s dans le traitement des donn\u00e9es personnelles<\/strong><\/h2>\n\n\n\n<p>Les <a href=\"https:\/\/www.delucapartners.it\/fr\/questions\/conformite\/conformite-protection-des-donnees\/\">sujets<\/a> impliqu\u00e9s dans le traitement des donn\u00e9es personnelles sont&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>le responsable du traitement et les responsables conjoints du traitement&nbsp;;<\/li>\n\n\n\n<li>le sous-traitant&nbsp;;<\/li>\n\n\n\n<li>les personnes physiques autoris\u00e9es \u00e0 traiter les donn\u00e9es \u00e0 caract\u00e8re personnel&nbsp;;<\/li>\n\n\n\n<li>le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es&nbsp;; et<\/li>\n\n\n\n<li>le repr\u00e9sentant.<\/li>\n<\/ul>\n\n\n\n<p>Entrons bri\u00e8vement dans le d\u00e9tail de chacun de ces acteurs.<\/p>\n\n\n\n<p>Le R\u00e8glement d\u00e9finit, \u00e0 l\u2019art.&nbsp;4, paragr.&nbsp;1, al.&nbsp;7, le <a href=\"https:\/\/www.delucapartners.it\/en\/insights\/company-physician-independent-data-controller\/\"><strong>responsable du traitement<\/strong><\/a>comme<em> \u00ab&nbsp;la personne physique ou morale, l\u2019autorit\u00e9 publique, le service ou un autre organisme qui, <strong>seul ou conjointement avec d\u2019autres, d\u00e9termine les finalit\u00e9s et les moyens du traitement<\/strong>; lorsque les finalit\u00e9s et les moyens de ce traitement sont d\u00e9termin\u00e9s par le droit de l\u2019Union ou le droit d\u2019un \u00c9tat membre, le responsable du traitement peut \u00eatre d\u00e9sign\u00e9 ou les crit\u00e8res sp\u00e9cifiques applicables \u00e0 sa d\u00e9signation peuvent \u00eatre pr\u00e9vus par le droit de l\u2019Union ou par le droit d\u2019un \u00c9tat membre<\/em>&nbsp;\u00bb<em>.<\/em><\/p>\n\n\n\n<p>Lorsque deux responsables du traitement ou plus d\u00e9terminent conjointement les finalit\u00e9s et les moyens du traitement, on parle de <strong>responsables conjoints du traitement<\/strong> (cf. art.&nbsp;26 du RGPD). La responsabilit\u00e9 conjointe doit \u00eatre r\u00e9gie par un accord interne dans lequel sont d\u00e9termin\u00e9es, de fa\u00e7on transparente, les responsabilit\u00e9s respectives en mati\u00e8re de respect des obligations vis\u00e9es par le R\u00e8glement.<\/p>\n\n\n\n<p>Le responsable du traitement se distingue du <strong>sous-traitant<\/strong>, c.-\u00e0-d. \u00ab&nbsp;<em>la personne physique ou morale, l\u2019autorit\u00e9 publique, le service ou un autre organisme qui <strong>traite des donn\u00e9es \u00e0 caract\u00e8re personnel pour le compte du responsable du traitement<\/strong><\/em>&nbsp;\u00bb (cf. art.&nbsp;4, paragr.&nbsp;1, al.&nbsp;8 du R\u00e8glement). Le sous-traitant peut, \u00e0 son tour, nommer selon des conditions d\u00e9termin\u00e9es, un autre sous-traitant (cf. art.&nbsp;28 du R\u00e8glement).<\/p>\n\n\n\n<p>Le responsable du traitement ou le sous-traitant peut attribuer des op\u00e9rations de traitement \u00e0 des <strong>personnes physiques qui agissent sous son autorit\u00e9<\/strong>, express\u00e9ment d\u00e9sign\u00e9es et ayant re\u00e7u des instructions \u00e0 cet effet (cf. art.&nbsp;29 du RGPD et art.&nbsp;2-<em>quaterdecies<\/em> du D\u00e9cret l\u00e9gislatif 101\/2018), appel\u00e9es les personnes autoris\u00e9es \u00e0 traiter les donn\u00e9es.<\/p>\n\n\n\n<p>Le R\u00e8glement a par ailleurs cr\u00e9\u00e9 deux nouveaux r\u00f4les, il s\u2019agit du&nbsp;:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>repr\u00e9sentant<\/strong>, c.-\u00e0-d. \u00ab<em>&nbsp;une personne physique ou morale \u00e9tablie dans l\u2019Union, d\u00e9sign\u00e9e par le responsable du traitement ou le sous-traitant par \u00e9crit [\u2026], qui les repr\u00e9sente en ce qui concerne leurs obligations respectives en vertu du pr\u00e9sent r\u00e8glement<\/em>&nbsp;\u00bb (cf. art.&nbsp;4, paragr.&nbsp;1, al.&nbsp;17)&nbsp;; et du<\/li>\n\n\n\n<li><strong>d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es <\/strong>(ou DPD)&nbsp;qui soutient le responsable du traitement ou le sous-traitant et dont le r\u00f4le est d\u2019\u00e9valuer et d\u2019organiser la gestion du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel (cf. art.&nbsp;37).<\/li>\n<\/ol>\n\n\n\n<p>La <strong>personne concern\u00e9e<\/strong> est, en revanche, la personne physique \u00e0 laquelle les donn\u00e9es objet du traitement se r\u00e9f\u00e8rent (cf. art.&nbsp;4, paragr.&nbsp;1, al.&nbsp;1 du RGPD).<\/p>\n\n\n\n<p>Par <strong>traitement<\/strong>, on entend \u00ab&nbsp;<em>toute op\u00e9ration ou tout ensemble d\u2019op\u00e9rations effectu\u00e9es ou non \u00e0 l\u2019aide de proc\u00e9d\u00e9s automatis\u00e9s et appliqu\u00e9es \u00e0 des donn\u00e9es ou des ensembles de donn\u00e9es \u00e0 caract\u00e8re personnel, telles que la collecte, l\u2019enregistrement, l\u2019organisation, la structuration, la conservation, l\u2019adaptation ou la modification, l\u2019extraction, la consultation, l\u2019utilisation, la communication par transmission, la diffusion ou toute autre forme de mise \u00e0 disposition, le rapprochement ou l\u2019interconnexion, la limitation, l\u2019effacement ou la destruction<\/em>&nbsp;\u00bb (cf.art.&nbsp;4,paragr.&nbsp;1,al.&nbsp;2 du RGPD).<\/p>\n\n\n\n<p>Les <strong>donn\u00e9es \u00e0 caract\u00e8re personnel<\/strong> sont, quant \u00e0 elles, les informations qui identifient ou rendent identifiables, directement ou indirectement, une personne physique et qui peuvent fournir des informations sur ses caract\u00e9ristiques, ses habitudes, son style de vie, ses relations personnelles, etc. Selon le Garant, les donn\u00e9es particuli\u00e8rement importantes sont les suivantes&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>les donn\u00e9es qui permettent l\u2019identification directe \u2013&nbsp;comme les donn\u00e9es d\u2019\u00e9tat civil (p.&nbsp;ex., le nom et le pr\u00e9nom) et les images&nbsp;\u2013 et celles qui permettent l\u2019identification indirecte, comme un num\u00e9ro d\u2019identification (p.&nbsp;ex., le code fiscal, l\u2019adresse&nbsp;IP ou le num\u00e9ro de plaque d\u2019immatriculation)&nbsp;;<\/li>\n\n\n\n<li>les donn\u00e9es rentrant dans des cat\u00e9gories particuli\u00e8res (appel\u00e9es donn\u00e9es \u00ab&nbsp;<em>sensibles<\/em>&nbsp;\u00bb), c.-\u00e0-d. les donn\u00e9es qui r\u00e9v\u00e8lent l\u2019origine raciale ou ethnique, les convictions religieuses ou philosophiques, les opinions politiques ou l\u2019appartenance syndicale, ainsi que les donn\u00e9es concernant la sant\u00e9 ou la vie sexuelle, les donn\u00e9es g\u00e9n\u00e9tiques, les donn\u00e9es biom\u00e9triques ou celles relatives \u00e0 l\u2019orientation sexuelle (cf. art.&nbsp;9 du R\u00e8glement)&nbsp;;<\/li>\n\n\n\n<li>les donn\u00e9es relatives aux condamnations p\u00e9nales et aux infractions (appel\u00e9es les donn\u00e9es \u00ab&nbsp;<em>judiciaires<\/em>&nbsp;\u00bb), c.-\u00e0-d. les donn\u00e9es qui peuvent r\u00e9v\u00e9ler l\u2019existence de mesures judiciaires soumises \u00e0 l\u2019inscription au casier judiciaire ou la qualit\u00e9 d\u2019accus\u00e9 ou de mis en examen ainsi que les donn\u00e9es relatives aux condamnations p\u00e9nales et aux infractions ou aux mesures de s\u00fbret\u00e9 connexes (cf. art.&nbsp;10 du R\u00e8glement).<\/li>\n<\/ul>\n\n\n\n<p>Avec l\u2019\u00e9volution des nouvelles technologies, de l\u2019avis du Garant, d\u2019autres donn\u00e9es personnelles jouent d\u00e9sormais un r\u00f4le significatif, comme celles relatives aux communications \u00e9lectroniques (via Internet ou par t\u00e9l\u00e9phone) et celles qui permettent la g\u00e9olocalisation, fournissant des informations sur les lieux fr\u00e9quent\u00e9s et sur les d\u00e9placements.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Principes g\u00e9n\u00e9raux en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/h2>\n\n\n\n<p>Chaque traitement des donn\u00e9es \u00e0 caract\u00e8re personnel doit \u00eatre r\u00e9alis\u00e9 dans le plein respect des principes fix\u00e9s \u00e0 l\u2019article&nbsp;5 du R\u00e8glement. En cons\u00e9quence, les donn\u00e9es \u00e0 caract\u00e8re personnel doivent \u00eatre&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>trait\u00e9es de mani\u00e8re licite, loyale et transparente au regard de la personne concern\u00e9e (\u00ab&nbsp;<strong><em>lic\u00e9it\u00e9, loyaut\u00e9 et transparence<\/em><\/strong>&nbsp;\u00bb)&nbsp;;<\/li>\n\n\n\n<li>collect\u00e9es pour des finalit\u00e9s d\u00e9termin\u00e9es, explicites et l\u00e9gitimes, et, par la suite, \u00eatre trait\u00e9es de mani\u00e8re \u00e0 ce que d\u2019\u00e9ventuels traitements ult\u00e9rieurs ne soient pas incompatibles avec les finalit\u00e9s de la collecte des donn\u00e9es (\u00ab&nbsp;<strong><em>limitation des finalit\u00e9s<\/em><\/strong>&nbsp;\u00bb)&nbsp;;<\/li>\n\n\n\n<li>ad\u00e9quates, pertinentes et limit\u00e9es \u00e0 ce qui est n\u00e9cessaire au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es (\u00ab&nbsp;<strong><em>minimisation des donn\u00e9es<\/em><\/strong>&nbsp;\u00bb)&nbsp;;<\/li>\n\n\n\n<li>exactes et, si n\u00e9cessaire, tenues \u00e0 jour. Toutes les mesures raisonnables doivent \u00eatre prises pour que les donn\u00e9es \u00e0 caract\u00e8re personnel qui sont inexactes, eu \u00e9gard aux finalit\u00e9s pour lesquelles elles sont trait\u00e9es, soient effac\u00e9es ou rectifi\u00e9es sans tarder (\u00ab&nbsp;<strong><em>exactitude<\/em><\/strong>&nbsp;\u00bb)&nbsp;;<\/li>\n\n\n\n<li>conserv\u00e9es sous une forme permettant l\u2019identification des personnes concern\u00e9es pendant une dur\u00e9e n\u2019exc\u00e9dant pas celle n\u00e9cessaire au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es. Les donn\u00e9es \u00e0 caract\u00e8re personnel peuvent \u00eatre conserv\u00e9es pour des dur\u00e9es plus longues dans la mesure o\u00f9 elles seront trait\u00e9es exclusivement \u00e0 des fins archivistiques dans l\u2019int\u00e9r\u00eat public, \u00e0 des fins de recherche scientifique ou historique ou \u00e0 des fins statistiques (\u00ab&nbsp;<strong><em>limitation de la conservation<\/em><\/strong>&nbsp;\u00bb)&nbsp;;<\/li>\n\n\n\n<li>trait\u00e9es de fa\u00e7on \u00e0 garantir une s\u00e9curit\u00e9 appropri\u00e9e des donn\u00e9es \u00e0 caract\u00e8re personnel, y compris la protection contre le traitement non autoris\u00e9 ou illicite et contre la perte, la destruction ou les d\u00e9g\u00e2ts d\u2019origine accidentelle, \u00e0 l\u2019aide de mesures techniques ou organisationnelles appropri\u00e9es (\u00ab&nbsp;<strong><em>int\u00e9grit\u00e9 et confidentialit\u00e9<\/em><\/strong>&nbsp;\u00bb).<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Les bases juridiques du traitement<\/strong><\/h2>\n\n\n\n<p>Conform\u00e9ment \u00e0 l\u2019article&nbsp;6 du R\u00e8glement, le traitement n\u2019est licite que si, et dans la mesure o\u00f9, au moins une des conditions suivantes est remplie (c.-\u00e0-d. la \u00ab&nbsp;<strong><em>base juridique<\/em><\/strong>&nbsp;\u00bb)&nbsp;:<\/p>\n\n\n\n<ol style=\"list-style-type:lower-alpha\" class=\"wp-block-list\">\n<li>la personne concern\u00e9e a <span style=\"text-decoration: underline;\">consenti<\/span> au traitement de ses donn\u00e9es \u00e0 caract\u00e8re personnel pour une ou plusieurs finalit\u00e9s sp\u00e9cifiques&nbsp;;<\/li>\n\n\n\n<li>le traitement est n\u00e9cessaire <span style=\"text-decoration: underline;\">\u00e0 l\u2019ex\u00e9cution d\u2019un contrat<\/span> auquel la personne concern\u00e9e est partie ou \u00e0 l\u2019ex\u00e9cution de mesures pr\u00e9contractuelles prises \u00e0 la demande de celle-ci&nbsp;;<\/li>\n\n\n\n<li>le traitement est n\u00e9cessaire <span style=\"text-decoration: underline;\">au respect d\u2019une obligation l\u00e9gale<\/span> \u00e0 laquelle le responsable du traitement est soumis&nbsp;;<\/li>\n\n\n\n<li>le traitement est n\u00e9cessaire \u00e0 la <span style=\"text-decoration: underline;\">sauvegarde des int\u00e9r\u00eats vitaux de la personne concern\u00e9e ou d\u2019une autre personne physique<\/span>&nbsp;;<\/li>\n\n\n\n<li>le traitement est n\u00e9cessaire <span style=\"text-decoration: underline;\">\u00e0 l\u2019ex\u00e9cution d\u2019une mission d\u2019int\u00e9r\u00eat public ou relevant de l\u2019exercice de l\u2019autorit\u00e9 publique<\/span> dont est investi le responsable du traitement&nbsp;;<\/li>\n\n\n\n<li>le traitement est n\u00e9cessaire <span style=\"text-decoration: underline;\">aux fins des int\u00e9r\u00eats l\u00e9gitimes poursuivis par le responsable du traitement ou par un tiers<\/span>, \u00e0 moins que ne pr\u00e9valent les int\u00e9r\u00eats ou les libert\u00e9s et droits fondamentaux de la personne concern\u00e9e qui exigent une protection des donn\u00e9es \u00e0 caract\u00e8re personnel, notamment lorsque la personne concern\u00e9e est un enfant.<\/li>\n<\/ol>\n\n\n\n<p>Pour ce qui est des donn\u00e9es appartenant \u00e0 des cat\u00e9gories particuli\u00e8res, leur traitement est interdit sauf si (cf. art.&nbsp;9 du R\u00e8glement)&nbsp;:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>la personne concern\u00e9e a donn\u00e9 son consentement&nbsp;;<\/li>\n\n\n\n<li>le traitement est effectu\u00e9 par une fondation, une association ou tout autre organisme \u00e0 but non lucratif et poursuivant une finalit\u00e9 politique, philosophique, religieuse ou syndicale&nbsp;;<\/li>\n\n\n\n<li>le traitement porte sur des donn\u00e9es \u00e0 caract\u00e8re personnel qui sont manifestement rendues publiques par la personne concern\u00e9e&nbsp;;<\/li>\n\n\n\n<li>le traitement est n\u00e9cessaire (a)&nbsp;aux fins de l\u2019ex\u00e9cution des obligations et de l\u2019exercice des droits propres au responsable du traitement ou \u00e0 la personne concern\u00e9e en mati\u00e8re de droit du travail, de la s\u00e9curit\u00e9 sociale et de la protection sociale&nbsp;; (b)&nbsp;\u00e0 la sauvegarde des int\u00e9r\u00eats vitaux de la personne concern\u00e9e ou d\u2019une autre personne physique, dans le cas o\u00f9 la personne concern\u00e9e se trouve dans l\u2019incapacit\u00e9 physique ou juridique de donner son consentement&nbsp;; (c)&nbsp;\u00e0 la constatation, \u00e0 l\u2019exercice ou \u00e0 la d\u00e9fense d\u2019un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle&nbsp;; (d)&nbsp;pour des motifs d\u2019int\u00e9r\u00eat public important, sur la base du droit de l\u2019Union ou du droit d\u2019un \u00c9tat membre&nbsp;; (e)&nbsp;aux fins de la m\u00e9decine pr\u00e9ventive ou de la m\u00e9decine du travail, de l\u2019appr\u00e9ciation de la capacit\u00e9 de travail du travailleur, de diagnostics m\u00e9dicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des syst\u00e8mes et des services de soins de sant\u00e9 ou de protection sociale&nbsp;; (f)&nbsp;pour des motifs d\u2019int\u00e9r\u00eat public dans le domaine de la sant\u00e9 publique&nbsp;; (g)&nbsp;\u00e0 des fins archivistiques dans l\u2019int\u00e9r\u00eat public, \u00e0 des fins de recherche scientifique ou historique ou \u00e0 des fins statistiques.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Responsabilit\u00e9<\/strong><\/h2>\n\n\n\n<p>Le R\u00e8glement met en outre l\u2019accent sur le principe de \u00ab&nbsp;<em>responsabilit\u00e9<\/em>&nbsp;\u00bb (ou \u00ab&nbsp;<em>accountability<\/em>&nbsp;\u00bb) du responsable du traitement et du sous-traitant dans l\u2019adoption de comportements proactifs et qui soient de nature \u00e0 d\u00e9montrer l\u2019adoption concr\u00e8te de mesures techniques et organisationnelles en mesure d\u2019assurer l\u2019application du R\u00e8glement (cf. art. 23-25).<\/p>\n\n\n\n<p>Le <strong>principe de responsabilit\u00e9<\/strong> est l\u2019une des principales nouveaut\u00e9s introduites par le R\u00e8glement, dans la mesure o\u00f9 il revient au responsable du traitement\/sous-traitant de d\u00e9cider de fa\u00e7on autonome des modalit\u00e9s, garanties et limites du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel, dans le respect des dispositions r\u00e9glementaires et au regard des crit\u00e8res sp\u00e9cifiques indiqu\u00e9s dans le R\u00e8glement.<\/p>\n\n\n\n<p>Parmi ces crit\u00e8res, le crit\u00e8re principal est celui de \u00ab&nbsp;<strong><em>protection des donn\u00e9es d\u00e8s la conception et protection des donn\u00e9es par d\u00e9faut<\/em><\/strong>&nbsp;\u00bb (cf. art.&nbsp;25 du RGPD), c\u2019est-\u00e0-dire la n\u00e9cessit\u00e9 de configurer le traitement en pr\u00e9voyant, d\u00e8s le d\u00e9but, les garanties indispensables \u00ab&nbsp;<em>afin de r\u00e9pondre aux exigences<\/em>&nbsp;\u00bb du R\u00e8glement et de prot\u00e9ger les droits de la personne concern\u00e9e&nbsp;\u2013 en tenant compte du contexte d\u2019ensemble dans lequel le traitement s\u2019ins\u00e8re et des risques pour les droits et libert\u00e9s des personnes concern\u00e9es. Ceci, comme le pr\u00e9cise le Garant&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>doit advenir avant de proc\u00e9der au traitement des donn\u00e9es en tant que tel (\u00ab&nbsp;<em>tant au moment de la d\u00e9termination des moyens du traitement qu\u2019au moment du traitement lui-m\u00eame<\/em>&nbsp;\u00bb, conform\u00e9ment aux dispositions de l\u2019art.&nbsp;25, paragr.&nbsp;1 du R\u00e8glement) et<\/li>\n\n\n\n<li>demande une analyse pr\u00e9ventive et un engagement applicatif de la part du responsable du traitement qui doivent se traduire par une s\u00e9rie d\u2019activit\u00e9s sp\u00e9cifiques et susceptibles d\u2019\u00eatre d\u00e9montr\u00e9es.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Analyse d\u2019impact<\/strong><\/h2>\n\n\n\n<p>\u00ab&nbsp;<em>Lorsqu\u2019un type de traitement, en particulier par le recours \u00e0 de nouvelles technologies, et compte tenu de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement, est susceptible d\u2019engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l\u2019impact des op\u00e9rations de traitement envisag\u00e9es sur la protection des donn\u00e9es \u00e0 caract\u00e8re personnel. [\u2026]<\/em>&nbsp;\u00bb. Ceci est \u00e9tabli par l\u2019art.&nbsp;35, al.&nbsp;1 du R\u00e8glement, lequel traite de l\u2019\u00ab&nbsp;<a href=\"http:\/\/\u00ab Lorsqu\u2019un type de traitement, en particulier par le recours \u00e0 de nouvelles technologies, et compte tenu de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement, est susceptible d\u2019engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l\u2019impact des op\u00e9rations de traitement envisag\u00e9es sur la protection des donn\u00e9es \u00e0 caract\u00e8re personnel. [\u2026] \u00bb. Ceci est \u00e9tabli par l\u2019art. 35, al. 1 du R\u00e8glement, lequel traite de l\u2019\u00ab Analyse d\u2019impact \u00bb relative \u00e0 la protection des donn\u00e9es (AIPD).\"><strong>Analyse d\u2019impact<\/strong><\/a>&nbsp;\u00bb relative \u00e0 la protection des donn\u00e9es (AIPD).<\/p>\n\n\n\n<p>L\u2019Analyse d\u2019impact porte description d\u2019un ou plusieurs traitements afin d\u2019en \u00e9valuer la n\u00e9cessit\u00e9 et la proportionnalit\u00e9 ainsi que les <a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/comment-gerer-levaluation-des-risques-en-temps-de-crise\/\">risques<\/a> correspondants, de sorte \u00e0 adopter les mesures ad\u00e9quates pour les affronter.<\/p>\n\n\n\n<p>\u00c0 cet \u00e9gard, les lignes directrices du groupe de travail \u00ab&nbsp;Article&nbsp;29&nbsp;\u00bb (<em>anciennement WP29, aujourd\u2019hui appel\u00e9 CEPD, cf. point&nbsp;1 ci-dessus<\/em>)&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>indiquent les cas dans lesquels l\u2019Analyse d\u2019impact est obligatoire (par exemple en cas de suivi syst\u00e9matique \u2013&nbsp;cf. la <a href=\"https:\/\/www.delucapartners.it\/en\/insights\/edpb-preliminary-version-of-guidelines-3-2019-on-video-surveillance\/\">vid\u00e9osurveillance<\/a>&nbsp;\u2013 ou en pr\u00e9sence d\u2019utilisations novatrices ou d\u2019application de nouvelles solutions technologiques et organisationnelles \u2013&nbsp;cf. la reconnaissance faciale, les appareils d\u2019IoT, etc.)&nbsp;;<\/li>\n\n\n\n<li>d\u00e9terminent qui doit effectuer l\u2019Analyse d\u2019impact&nbsp;: sa responsabilit\u00e9 revient au responsable du traitement, mais sa conduite mat\u00e9rielle peut \u00eatre confi\u00e9e \u00e0 un autre sujet, lequel peut \u00eatre interne ou externe \u00e0 l\u2019organisation&nbsp;;<\/li>\n\n\n\n<li>d\u00e9crivent en quoi consiste l\u2019Analyse d\u2019impact et d\u00e9terminent si celle-ci doit \u00eatre soumise \u00e0 un processus de mise \u00e0 jour continu.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Le registre des activit\u00e9s de traitement<\/strong><\/h2>\n\n\n\n<p>L\u2019article&nbsp;30 du R\u00e8glement pr\u00e9voit, parmi les obligations principales du responsable du traitement et du sous-traitant, la tenue d\u2019un \u00ab&nbsp;<strong><em><u>Registre des activit\u00e9s de traitement<\/u><\/em><\/strong>&nbsp;\u00bb (ci-apr\u00e8s, le \u00ab&nbsp;<strong><em>Registre des traitements<\/em><\/strong>&nbsp;\u00bb).<\/p>\n\n\n\n<p>Le <a href=\"https:\/\/www.delucapartners.it\/insights\/prassi\/registro-dei-trattamenti-e-valutazione-dimpatto-le-precisazioni-del-nostro-garante\/\">Registre des traitements<\/a> est un document contenant les informations principales (indiqu\u00e9es dans l\u2019article&nbsp;30 pr\u00e9cit\u00e9 ainsi que toute autre information susceptible d\u2019\u00eatre consid\u00e9r\u00e9e comme utile) relativement aux op\u00e9rations de traitement r\u00e9alis\u00e9es par le responsable du traitement et, s\u2019il a \u00e9t\u00e9 d\u00e9sign\u00e9, par le sous-traitant (cf. la <a href=\"https:\/\/www.garanteprivacy.it\/home\/faq\/registro-delle-attivita-di-trattamento\">FAQ<\/a> mise \u00e0 disposition par le Garant sur son propre site institutionnel le 8&nbsp;octobre 2018).<\/p>\n\n\n\n<p>Le Garant consid\u00e8re le Registre des traitements comme \u00ab&nbsp;<em>un des principaux \u00e9l\u00e9ments d\u2019<\/em>accountability <em>du responsable du traitement, en tant qu\u2019instrument adapt\u00e9 pour fournir un cadre \u00e0 jour des traitements en cours au sein de sa propre organisation, indispensable pour toute activit\u00e9 d\u2019\u00e9valuation ou d\u2019analyse du risque et donc pr\u00e9liminaire par rapport \u00e0 ces activit\u00e9s<\/em>&nbsp;\u00bb.<\/p>\n\n\n\n<p>Le Registre des traitements doit, selon le Garant&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00eatre consign\u00e9 par \u00e9crit, y compris sous forme \u00e9lectronique, et doit \u00eatre pr\u00e9sent\u00e9 sur demande&nbsp;;<\/li>\n\n\n\n<li>\u00eatre constamment tenu \u00e0 jour \u00e9tant donn\u00e9 que son contenu doit toujours correspondre \u00e0 la r\u00e9alit\u00e9 des traitements effectu\u00e9s&nbsp;: tout changement ou toute modification doit \u00eatre imm\u00e9diatement report\u00e9(e) dans le Registre, en ayant soin de conserver l\u2019historique des versions pr\u00e9c\u00e9dentes.<\/li>\n<\/ul>\n\n\n\n<p>Conform\u00e9ment \u00e0 l\u2019article&nbsp;30 du R\u00e8glement, les entreprises comptant moins de 250&nbsp;employ\u00e9s ne sont pas tenues de r\u00e9diger le Registre des traitements \u00ab&nbsp;<em>sauf si le traitement qu\u2019elles effectuent est susceptible de comporter un risque pour les droits et les libert\u00e9s des personnes concern\u00e9es, s\u2019il n\u2019est pas occasionnel ou s\u2019il porte notamment sur les cat\u00e9gories particuli\u00e8res de donn\u00e9es vis\u00e9es \u00e0 l\u2019art.&nbsp;9, paragr.&nbsp;1, ou sur des donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 des condamnations p\u00e9nales et \u00e0 des infractions vis\u00e9es \u00e0 l\u2019art.&nbsp;10<\/em>&nbsp;\u00bb. En tout \u00e9tat de cause, le Garant, dans sa FAQ, en recommande la r\u00e9daction en tant qu\u2019\u00ab&nbsp;<em>instrument qui, en ce qu\u2019il fournit la connaissance compl\u00e8te du type de traitements r\u00e9alis\u00e9s, contribue \u00e0 mieux appliquer, avec des modalit\u00e9s simples et accessibles \u00e0 tous, le principe d\u2019<\/em>accountability <em>et, dans le m\u00eame temps, \u00e0 faciliter par le dialogue et la collaboration l\u2019activit\u00e9 de contr\u00f4le du Garant lui-m\u00eame<\/em>&nbsp;\u00bb.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Les violations des donn\u00e9es personnelles et les mesures de s\u00e9curit\u00e9 ad\u00e9quates pour les prot\u00e9ger<\/strong><\/h2>\n\n\n\n<p>Une <a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/violations-de-donnees-personnelles-les-lignes-directrices-des-autorites-de-controle-europeennes-pour-la-gestion-des-violations-de-donnees-personnelles\/\">violation des donn\u00e9es \u00e0 caract\u00e8re personnel<\/a> d\u00e9signe \u00ab&nbsp;<em>une violation de la s\u00e9curit\u00e9 entra\u00eenant, de mani\u00e8re accidentelle ou illicite, la destruction, la perte, l\u2019alt\u00e9ration, la divulgation non autoris\u00e9e de donn\u00e9es \u00e0 caract\u00e8re personnel transmises, conserv\u00e9es ou trait\u00e9es d\u2019une autre mani\u00e8re, ou l\u2019acc\u00e8s non autoris\u00e9 \u00e0 de telles donn\u00e9es<\/em>&nbsp;\u00bb (cf. art.&nbsp;4 du R\u00e8glement).<\/p>\n\n\n\n<p>Une violation des donn\u00e9es personnelles peut, par cons\u00e9quent, compromettre la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 ou la disponibilit\u00e9 des donn\u00e9es personnelles trait\u00e9es. \u00c0 titre d\u2019exemple, citons (i)&nbsp;le vol ou la perte de dispositifs informatiques contenant des donn\u00e9es personnelles ou (ii)&nbsp;l\u2019impossibilit\u00e9 d\u2019acc\u00e9der aux donn\u00e9es \u00e0 cause d\u2019accidents ou d\u2019attaques externes, de virus ou de logiciels malveillants.<\/p>\n\n\n\n<p>S\u2019il subit une violation de ce type, le responsable du traitement, doit \u2013&nbsp;dans les meilleurs d\u00e9lais et, si possible, 72&nbsp;heures au plus tard apr\u00e8s en avoir pris connaissance&nbsp;\u2013 en notifier le Garant, \u00e0 moins que la violation en question ne soit pas susceptible d\u2019engendrer un risque pour les droits et libert\u00e9s des personnes physiques. En revanche, lorsqu\u2019une telle violation est subie par le sous-traitant, ce dernier doit \u2013&nbsp;une fois qu\u2019il en a pris connaissance&nbsp;\u2013 en informer dans les meilleurs d\u00e9lais le responsable du traitement afin que ce dernier puisse agir dans les d\u00e9lais prescrits par le R\u00e8glement (cf. art.&nbsp;33, paragr.&nbsp;1 et&nbsp;2 du R\u00e8glement).<\/p>\n\n\n\n<p>Selon le Garant, les violations \u00e0 notifier sont celles qui peuvent avoir des effets n\u00e9fastes significatifs sur les personnes, en causant des dommages physiques, mat\u00e9riels et immat\u00e9riels.<\/p>\n\n\n\n<p>Le Garant a \u00e9galement clarifi\u00e9 que les notifications effectu\u00e9es au-del\u00e0 du d\u00e9lai de 72&nbsp;heures doivent \u00eatre accompagn\u00e9es des motifs de ce retard.&nbsp; Depuis le 1<sup>er<\/sup>&nbsp;juillet 2021, la notification des violations au Garant doit se faire selon une <a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/le-formulaire-de-notification-des-violations-des-donnees-a-caractere-personnel-est-disponible\/\">proc\u00e9dure t\u00e9l\u00e9matique<\/a> disponible sur le site institutionnel de cette autorit\u00e9 de contr\u00f4le.<\/p>\n\n\n\n<p>Ind\u00e9pendamment de la notification ou non au Garant, le responsable du traitement est tenu de documenter toute violation des donn\u00e9es \u00e0 caract\u00e8re personnel subie (y compris les circonstances y aff\u00e9rentes, ses cons\u00e9quences et les mesures prises pour y rem\u00e9dier) dans un registre d\u00e9di\u00e9 (cf. art.&nbsp;33, paragr.&nbsp;1 du R\u00e8glement).<\/p>\n\n\n\n<p>Par ailleurs, si la violation est susceptible d\u2019engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s fondamentaux des personnes concern\u00e9es, le responsable du traitement est tenu de les informer \u00ab&nbsp;<em>dans les meilleurs d\u00e9lais<\/em>&nbsp;\u00bb, en utilisant les canaux les mieux adapt\u00e9s pour que l\u2019information arrive et soit comprise par elles (art.&nbsp;34, paragr.&nbsp;1 du R\u00e8glement).<\/p>\n\n\n\n<p>L\u2019article&nbsp;32 du R\u00e8glement dispose que le responsable du traitement doit tenir compte, lorsqu\u2019il met en \u0153uvre les <a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/cybersecurite-decret-publie-au-journal-officiel\/\">mesures techniques<\/a> et organisationnelles visant \u00e0 garantir un niveau de s\u00e9curit\u00e9 ad\u00e9quat au vu du risque, entre autres, \u00ab&nbsp;<em>des moyens permettant de garantir la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9, la disponibilit\u00e9 et la r\u00e9silience constantes des syst\u00e8mes et des services de traitement<\/em>&nbsp;\u00bb ainsi que \u00ab&nbsp;<em>des moyens permettant de r\u00e9tablir la disponibilit\u00e9 des donn\u00e9es \u00e0 caract\u00e8re personnel et l\u2019acc\u00e8s \u00e0 celles-ci dans des d\u00e9lais appropri\u00e9s en cas d\u2019incident physique ou technique<\/em>&nbsp;\u00bb.<\/p>\n\n\n\n<p>\u00c0 la lumi\u00e8re de la nouvelle r\u00e9glementation, il n\u2019existe plus d\u2019obligation g\u00e9n\u00e9ralis\u00e9e d\u2019adopter des mesures \u00ab&nbsp;<em>minimales<\/em>&nbsp;\u00bb de s\u00e9curit\u00e9. L\u2019article&nbsp;32 du R\u00e8glement fournit une liste ouverte de mesures, raison pour laquelle il utilise l\u2019expression \u00ab&nbsp;<em>y compris entre autres, selon les besoins<\/em>&nbsp;\u00bb.<\/p>\n\n\n\n<p>L\u2019\u00e9valuation des mesures \u00e0 adopter incombe au responsable du traitement ou au sous-traitant \u00ab&nbsp;<em>compte tenu de l\u2019\u00e9tat des connaissances, des co\u00fbts de mise en \u0153uvre et de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement ainsi que des risques, dont le degr\u00e9 de probabilit\u00e9 et de gravit\u00e9 varie, pour les droits et libert\u00e9s des personnes physiques<\/em>&nbsp;\u00bb (cf. art.&nbsp;32, paragr.&nbsp;1 du R\u00e8glement).<\/p>\n\n\n\n<p>Pour attester le caract\u00e8re ad\u00e9quat des mesures adopt\u00e9es, il est possible d\u2019utiliser l\u2019application de codes de conduite ou de m\u00e9canismes de certification sp\u00e9cifiques (cf.&nbsp;art.&nbsp;32, paragr.&nbsp;3 du R\u00e8glement).<\/p>\n\n\n\n<p>Un code de conduite est un outil de r\u00e9f\u00e9rence aux fins de l\u2019application correcte du R\u00e8glement en fonction d\u2019un secteur de r\u00e9f\u00e9rence donn\u00e9 et son but est de garantir aux responsables du traitement et aux sous-traitants impliqu\u00e9s l\u2019application efficace, coh\u00e9rente et homog\u00e8ne de la r\u00e9glementation ainsi qu\u2019un \u00e9quilibrage correct des int\u00e9r\u00eats entre les diff\u00e9rents sujets impliqu\u00e9s.<\/p>\n\n\n\n<p>\u00c0 l\u2019heure actuelle, le Garant a approuv\u00e9 des codes de conduite en mati\u00e8re (i)&nbsp;d\u2019information commerciale, (ii)&nbsp;de syst\u00e8mes d\u2019information relatifs au cr\u00e9dit et (iii)&nbsp;de sant\u00e9, recherche scientifique et anonymisation. Comme le pr\u00e9voit l\u2019art.&nbsp;40, paragr.&nbsp;6 du R\u00e8glement, les codes de conduite approuv\u00e9s sont enregistr\u00e9s et publi\u00e9s dans un registre d\u00e9di\u00e9, le \u00ab&nbsp;<em>Registre des codes de conduite<\/em>&nbsp;\u00bb, qui est disponible sur le site institutionnel de l\u2019Autorit\u00e9 de contr\u00f4le et qui, comme pr\u00e9cis\u00e9 par cette derni\u00e8re, renvoie \u00e0 l\u2019Organisme de suivi, auquel chaque utilisateur peut s\u2019adresser pour la r\u00e9solution des \u00e9ventuelles r\u00e9clamations.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Les informations \u00e0 fournir et les droits \u00e0 reconna\u00eetre aux personnes concern\u00e9es<\/strong><\/h2>\n\n\n\n<p>Dans le respect du principe de transparence, <strong>la personne concern\u00e9e doit recevoir, avant la collecte de ses donn\u00e9es, de la part du responsable du traitement, une s\u00e9rie d\u2019informations relatives au traitement qui sera effectu\u00e9<\/strong>.<\/p>\n\n\n\n<p><strong><strong>Si<\/strong><\/strong>, en revanche,<strong> <strong>les donn\u00e9es sont collect\u00e9es aupr\u00e8s d\u2019un tiers, les informations doivent \u00eatre fournies \u00e0 la personne concern\u00e9e dans un d\u00e9lai raisonnable, non sup\u00e9rieur \u00e0 un mois \u00e0 compter de la collecte, ou au moment de la communication des donn\u00e9es<\/strong> <\/strong>(cf. art.&nbsp;14, paragr.&nbsp;3 du R\u00e8glement).<\/p>\n\n\n\n<p>Ces informations doivent \u00eatre pr\u00e9sent\u00e9es de mani\u00e8re concise, transparente et compr\u00e9hensible et facilement accessibles, et \u00eatre formul\u00e9es en termes simples et clairs&nbsp;: elles peuvent \u00eatre fournies par \u00e9crit ou par d\u2019autres moyens, y compris, le cas \u00e9ch\u00e9ant, avec des moyens \u00e9lectroniques et, sur demande de la personne concern\u00e9e, oralement, sous r\u00e9serve que l\u2019identit\u00e9 de cette derni\u00e8re soit prouv\u00e9e.<\/p>\n\n\n\n<p>Dans le d\u00e9tail, et conform\u00e9ment aux articles&nbsp;13 et&nbsp;14 du R\u00e8glement, le responsable du traitement doit fournir \u00e0 la personne concern\u00e9e les informations suivantes&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>son identit\u00e9 et ses coordonn\u00e9es ainsi que, le cas \u00e9ch\u00e9ant, celles de son repr\u00e9sentant&nbsp;;<\/li>\n\n\n\n<li>s\u2019il a \u00e9t\u00e9 d\u00e9sign\u00e9, les coordonn\u00e9es du D\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (\u00ab&nbsp;<strong><em>DPD<\/em><\/strong>&nbsp;\u00bb)&nbsp;;<\/li>\n\n\n\n<li>les finalit\u00e9s du traitement auquel sont destin\u00e9es les donn\u00e9es \u00e0 caract\u00e8re personnel ainsi que la base juridique y aff\u00e9rente&nbsp;;<\/li>\n\n\n\n<li>lorsque le traitement est n\u00e9cessaire pour la poursuite de l\u2019int\u00e9r\u00eat l\u00e9gitime, les int\u00e9r\u00eats l\u00e9gitimes poursuivis par le responsable du traitement ou par un tiers&nbsp;;<\/li>\n\n\n\n<li>les destinataires ou les cat\u00e9gories de destinataires des donn\u00e9es \u00e0 caract\u00e8re personnel, s\u2019ils existent&nbsp;;<\/li>\n\n\n\n<li>le cas \u00e9ch\u00e9ant, son intention d\u2019effectuer un transfert de donn\u00e9es \u00e0 caract\u00e8re personnel vers un pays tiers ou \u00e0 une organisation internationale et l\u2019existence ou l\u2019absence d\u2019une d\u00e9cision d\u2019ad\u00e9quation rendue par la Commission, ou la r\u00e9f\u00e9rence aux garanties appropri\u00e9es ou adapt\u00e9es et les moyens d\u2019obtenir une copie de ces garanties ou l\u2019endroit o\u00f9 elles ont \u00e9t\u00e9 mises \u00e0 disposition&nbsp;;<\/li>\n\n\n\n<li>la dur\u00e9e de conservation des donn\u00e9es \u00e0 caract\u00e8re personnel ou, lorsque ce n\u2019est pas possible, les crit\u00e8res utilis\u00e9s pour d\u00e9terminer cette dur\u00e9e&nbsp;;<\/li>\n\n\n\n<li>l\u2019existence du droit de la personne concern\u00e9e \u00e0 lui demander l\u2019acc\u00e8s aux donn\u00e9es \u00e0 caract\u00e8re personnel, la rectification ou l\u2019effacement de celles-ci, ou une limitation du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel relatif \u00e0 la personne concern\u00e9e, ou du droit de s\u2019opposer au traitement et du droit \u00e0 la portabilit\u00e9 des donn\u00e9es&nbsp;;<\/li>\n\n\n\n<li>lorsque le traitement est fond\u00e9 sur le consentement donn\u00e9 par la personne concern\u00e9e, y compris dans le cas de cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel, l\u2019existence du droit de retirer son consentement \u00e0 tout moment, sans porter atteinte \u00e0 la lic\u00e9it\u00e9 du traitement fond\u00e9 sur le consentement effectu\u00e9 avant le retrait de celui-ci&nbsp;;<\/li>\n\n\n\n<li>le droit d\u2019introduire une r\u00e9clamation aupr\u00e8s d\u2019une autorit\u00e9 de contr\u00f4le&nbsp;;<\/li>\n\n\n\n<li>des informations sur la question de savoir si l\u2019exigence de fourniture de donn\u00e9es \u00e0 caract\u00e8re personnel a un caract\u00e8re r\u00e9glementaire ou contractuel ou si elle conditionne la conclusion d\u2019un contrat et si la personne concern\u00e9e est tenue de fournir les donn\u00e9es \u00e0 caract\u00e8re personnel, ainsi que sur les cons\u00e9quences \u00e9ventuelles de la non-fourniture de ces donn\u00e9es&nbsp;;<\/li>\n\n\n\n<li>l\u2019existence d\u2019une prise de d\u00e9cision automatis\u00e9e, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l\u2019importance et les cons\u00e9quences pr\u00e9vues de ce traitement pour la personne concern\u00e9e.<\/li>\n<\/ul>\n\n\n\n<p>Afin de renforcer encore sa protection, le R\u00e8glement reconna\u00eet \u00e0 la personne concern\u00e9e une s\u00e9rie de droits qu\u2019elle peut exercer \u00e0 l\u2019encontre du responsable du traitement. Dans le d\u00e9tail, il s\u2019agit du droit de&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>retirer son consentement \u00e0 tout moment, lorsqu\u2019elle l\u2019a donn\u00e9. Le retrait du consentement ne porte pas atteinte \u00e0 la lic\u00e9it\u00e9 du traitement fond\u00e9 sur le consentement et effectu\u00e9 avant le retrait de celui-ci (\u00ab&nbsp;<em>Droit de retirer le consentement<\/em>&nbsp;\u00bb).<\/li>\n\n\n\n<li>obtenir du responsable du traitement la confirmation que des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant sont ou ne sont pas trait\u00e9es et, lorsqu\u2019elles le sont, l\u2019acc\u00e8s \u00e0 ces donn\u00e9es (\u00ab&nbsp;<em>Droit d\u2019acc\u00e8s<\/em>&nbsp;\u00bb).<\/li>\n\n\n\n<li>obtenir du responsable du traitement, dans les meilleurs d\u00e9lais, la rectification des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant qui sont inexactes. Compte tenu des finalit\u00e9s du traitement, la personne concern\u00e9e a le droit d\u2019obtenir que les donn\u00e9es \u00e0 caract\u00e8re personnel incompl\u00e8tes soient compl\u00e9t\u00e9es, y compris en fournissant une d\u00e9claration compl\u00e9mentaire (\u00ab&nbsp;<em>Droit de rectification<\/em>&nbsp;\u00bb).<\/li>\n\n\n\n<li>obtenir du responsable du traitement l\u2019effacement, dans les meilleurs d\u00e9lais, de donn\u00e9es \u00e0 caract\u00e8re personnel la concernant lorsque l\u2019un des motifs pr\u00e9vus par la r\u00e9glementation s\u2019applique (\u00ab&nbsp;<em>Droit \u00e0 l\u2019effacement<\/em>&nbsp;\u00bb).<\/li>\n\n\n\n<li>obtenir du responsable du traitement la limitation du traitement lorsque l\u2019un des \u00e9l\u00e9ments pr\u00e9vus par la r\u00e9glementation s\u2019applique (\u00ab&nbsp;<em>Droit de limitation<\/em>&nbsp;\u00bb).<\/li>\n\n\n\n<li>s\u2019opposer \u00e0 tout moment, pour des raisons tenant \u00e0 sa situation particuli\u00e8re, \u00e0 un traitement des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant n\u00e9cessaire \u00e0 l\u2019ex\u00e9cution d\u2019une mission d\u2019int\u00e9r\u00eat public, relevant de l\u2019exercice de l\u2019autorit\u00e9 publique ou n\u00e9cessaire aux fins de la poursuite des int\u00e9r\u00eats l\u00e9gitimes, y compris un profilage fond\u00e9 sur ces dispositions (\u00ab&nbsp;<em>Droit d\u2019opposition<\/em>&nbsp;\u00bb).<\/li>\n\n\n\n<li>(i)&nbsp;recevoir les donn\u00e9es \u00e0 caract\u00e8re personnel qu\u2019elle a fournies au responsable du traitement, dans un format structur\u00e9, couramment utilis\u00e9 et lisible par machine et (ii)&nbsp;les transmettre \u00e0 un autre responsable du traitement sans que le responsable du traitement auquel les donn\u00e9es \u00e0 caract\u00e8re personnel ont \u00e9t\u00e9 communiqu\u00e9es y fasse obstacle selon les conditions pr\u00e9vues par la r\u00e9glementation (\u00ab&nbsp;<em>Droit \u00e0 la portabilit\u00e9<\/em>&nbsp;\u00bb).<\/li>\n<\/ul>\n\n\n\n<p>En outre, si la personne concern\u00e9e consid\u00e8re que le traitement constitue une violation du R\u00e8glement, elle peut introduire une r\u00e9clamation aupr\u00e8s d\u2019une autorit\u00e9 de contr\u00f4le, en particulier dans l\u2019\u00c9tat membre dans lequel se trouve sa r\u00e9sidence habituelle, son lieu de travail ou le lieu o\u00f9 la violation aurait \u00e9t\u00e9 commise&nbsp;\u2013 pour l\u2019Italie selon les modalit\u00e9s indiqu\u00e9es plus haut (\u00ab&nbsp;<em>Droit de r\u00e9clamation<\/em>&nbsp;\u00bb).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>La protection des donn\u00e9es personnelles dans le cadre des relations de travail<\/strong><\/h2>\n\n\n\n<p>L\u2019article&nbsp;88 du R\u00e8glement \u00ab&nbsp;<em>conc\u00e8de<\/em>&nbsp;\u00bb \u00e0 chaque \u00c9tat membre la possibilit\u00e9 d\u2019\u00e9tablir des r\u00e8gles plus sp\u00e9cifiques, par la loi ou au moyen de conventions collectives nationales, dans le but de garantir la protection des droits et libert\u00e9s relativement au traitement des donn\u00e9es \u00e0 caract\u00e8re personnel des travailleurs. Et ce, \u00ab&nbsp;<em>aux fins du recrutement, de l\u2019ex\u00e9cution du contrat de travail, y compris le respect des obligations fix\u00e9es par la loi ou par des conventions collectives, de la gestion, de la planification et de l\u2019organisation du travail, de l\u2019\u00e9galit\u00e9 et de la diversit\u00e9 sur le lieu de travail, de la sant\u00e9 et de la s\u00e9curit\u00e9 au travail, de la protection des biens appartenant \u00e0 l\u2019employeur ou au client, aux fins de l\u2019exercice et de la jouissance des droits et des avantages li\u00e9s \u00e0 l\u2019emploi, individuellement ou collectivement, ainsi qu\u2019aux fins de la r\u00e9siliation de la relation de travail&nbsp;\u00bb<\/em>.<\/p>\n\n\n\n<p>Ces dispositions doivent inclure, comme en dispose \u00e9galement l\u2019article&nbsp;88, \u00ab&nbsp;<strong><em>des mesures appropri\u00e9es et sp\u00e9cifiques<\/em><\/strong><em> pour prot\u00e9ger la dignit\u00e9 humaine, les int\u00e9r\u00eats l\u00e9gitimes et les droits fondamentaux des personnes concern\u00e9es, en accordant une attention particuli\u00e8re \u00e0 la transparence du traitement, au transfert de donn\u00e9es \u00e0 caract\u00e8re personnel au sein d\u2019un groupe d\u2019entreprises, ou d\u2019un groupe d\u2019entreprises engag\u00e9es dans une activit\u00e9 \u00e9conomique conjointe et aux syst\u00e8mes de contr\u00f4le sur le lieu de travail<\/em>&nbsp;\u00bb.&nbsp;<\/p>\n\n\n\n<p>Avant m\u00eame l\u2019entr\u00e9e en vigueur du R\u00e8glement, le Garant avait \u00e9mis des Lignes directrices dans lesquelles \u00e9taient d\u00e9finis, pour la premi\u00e8re fois dans un cadre unitaire, les mesures et les moyens visant \u00e0 r\u00e9gir la collecte et l\u2019utilisation des donn\u00e9es personnelles dans le cadre de la relation de travail (cf. \u00ab&nbsp;<em>Lignes directrices sur le traitement des donn\u00e9es personnelles des travailleurs du secteur priv\u00e9&nbsp;\u2013 23&nbsp;novembre 2006&nbsp;\u00bb [1364939]).<\/em> Certains des principes g\u00e9n\u00e9raux \u00e9tablis dans ces lignes directrices peuvent toujours \u00eatre consid\u00e9r\u00e9s comme valides&nbsp;; c\u2019est le cas, par exemple, de l\u2019obligation de l\u2019employeur de traiter les donn\u00e9es personnelles de ses employ\u00e9s exclusivement pour les objectifs et les finalit\u00e9s pour lesquels elles ont \u00e9t\u00e9 collect\u00e9es, ou encore de l\u2019obligation d\u2019autoriser express\u00e9ment et de fournir des instructions ad\u00e9quates \u00e0 quiconque, agissant sous son autorit\u00e9, acc\u00e8de \u00e0 des donn\u00e9es personnelles et les traite, dont nous parlerons plus avant.<\/p>\n\n\n\n<p>Toujours dans le cadre de la gestion de la relation de travail, l\u2019employeur a la n\u00e9cessit\u00e9 de traiter non seulement des donn\u00e9es personnelles permettant l\u2019identification des personnes concern\u00e9es ainsi que des donn\u00e9es personnelles sociod\u00e9mographiques, mais \u00e9galement, \u00e9ventuellement, des donn\u00e9es appartenant \u00e0 des <a href=\"https:\/\/www.delucapartners.it\/fr\/news\/publications-2-fr\/le-traitement-de-donnees-relatives-a-la-situation-vaccinale-contre-la-covid-19-dans-le-cadre-du-travail-les-faq-de-lautorite-garante\/\">cat\u00e9gories particuli\u00e8res<\/a> [<em>\u00e0 ce sujet, voir \u00e9galement le point&nbsp;2, ci-dessus<\/em>]. Dans ce dernier cas, l\u2019employeur doit proc\u00e9der au traitement correspondant dans le plein respect de la \u00ab&nbsp;<em>Disposition portant les prescriptions relatives au traitement de cat\u00e9gories particuli\u00e8res de donn\u00e9es, au sens de l\u2019art.&nbsp;21, al.&nbsp;1 du d\u00e9cret l\u00e9gislatif n<sup>o<\/sup>&nbsp;101 du 10&nbsp;ao\u00fbt 2018<\/em>&nbsp;\u00bb publi\u00e9e au Journal officiel italien, S\u00e9rie g\u00e9n\u00e9rale n<sup>o<\/sup>&nbsp;176 du 29&nbsp;juillet 2019. Avec cette Disposition, le Garant a clarifi\u00e9 les obligations que tous les sujets, qu\u2019ils soient publics ou priv\u00e9s, ce qui inclut donc les employeurs, doivent respecter pour pouvoir traiter des cat\u00e9gories particuli\u00e8res de donn\u00e9es personnelles, comme celles li\u00e9es \u00e0 la sant\u00e9, aux opinions politiques, \u00e0 l\u2019origine ethnique ou \u00e0 l\u2019orientation sexuelle.<\/p>\n\n\n\n<p>Dans la mesure o\u00f9 elles rev\u00eatent pour nous un int\u00e9r\u00eat essentiel, les dispositions contenues dans la Disposition pr\u00e9cit\u00e9e sont inh\u00e9rentes (i)&nbsp;au champ d\u2019application&nbsp;; (ii)&nbsp;aux personnes concern\u00e9es&nbsp;; (iii)&nbsp;aux finalit\u00e9s pour lesquelles le traitement de ces cat\u00e9gories de donn\u00e9es est n\u00e9cessaire&nbsp;; (iv)&nbsp;aux prescriptions sp\u00e9cifiques pour les traitements r\u00e9alis\u00e9s dans les phases pr\u00e9liminaires des embauches et (v)&nbsp;aux traitements effectu\u00e9s au cours de la relation de travail, mais \u00e9galement (vi)&nbsp;aux prescriptions sp\u00e9cifiques relatives aux modalit\u00e9s de traitement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Quand obtenir le consentement du travailleur<\/strong><\/h3>\n\n\n\n<p>Comme expliqu\u00e9 plus haut, l\u2019obtention du consentement repr\u00e9sente l\u2019une des bases juridiques possibles sur lesquelles fonder la l\u00e9gitimit\u00e9 du traitement des donn\u00e9es personnelles, et le R\u00e8glement en donne la d\u00e9finition suivante&nbsp;: \u00ab<em>&nbsp;<strong>toute manifestation de volont\u00e9, libre, sp\u00e9cifique, \u00e9clair\u00e9e et univoque [de la personne concern\u00e9e] <\/strong>par laquelle [elle] accepte, par une d\u00e9claration ou par un acte positif clair, que des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant fassent l\u2019objet d\u2019un traitement<\/em>&nbsp;\u00bb (cf. art.&nbsp;4, point&nbsp;11 du R\u00e8glement).<\/p>\n\n\n\n<p>\u00c0 la lumi\u00e8re de ce qui pr\u00e9c\u00e8de, pour \u00eatre valide, le consentement donn\u00e9 doit \u00eatre, notamment, \u00ab&nbsp;<em>libre<\/em>&nbsp;\u00bb et \u00ab&nbsp;<em>r\u00e9vocable<\/em>&nbsp;\u00bb \u00e0 tout moment. Ce concept est \u00e9galement exprim\u00e9 dans la Consid\u00e9ration n<sup>o<\/sup>&nbsp;43 du R\u00e8glement, au sens de laquelle&nbsp;: \u00ab&nbsp;<em>Pour garantir que le consentement est donn\u00e9 librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel dans un cas particulier lorsqu\u2019il existe un d\u00e9s\u00e9quilibre manifeste entre la personne concern\u00e9e et le responsable du traitement [\u2026]<\/em>&nbsp;\u00bb.<\/p>\n\n\n\n<p>Dans le cadre de la relation de travail, le <a href=\"https:\/\/www.delucapartners.it\/en\/insights\/telecamere-in-azienda-non-e-sufficiente-il-consenso-dei-lavoratori\/\">consentement<\/a> du travailleur ne peut constituer une condition valide de lic\u00e9it\u00e9 en raison du <strong>d\u00e9s\u00e9quilibre de pouvoir entre les parties<\/strong>. Ceci a \u00e9t\u00e9 confirm\u00e9 \u00e0 plusieurs reprises, non seulement par le groupe de travail des garants europ\u00e9ens (anciennement \u00ab&nbsp;<em>WP29<\/em>&nbsp;\u00bb, aujourd\u2019hui appel\u00e9 le \u00ab<em>&nbsp;CEPD&nbsp;\u2013 Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es<\/em>&nbsp;\u00bb) dans diff\u00e9rents Avis et Lignes directrices, mais \u00e9galement par le Garant. Le Garant s\u2019est r\u00e9cemment exprim\u00e9 en ce sens en r\u00e9pondant \u00e0 certaines FAQ en mati\u00e8re de lic\u00e9it\u00e9 au sujet de la demande de confirmation, faite par l\u2019employeur \u00e0 son employ\u00e9, quant au fait de savoir si ce dernier s\u2019\u00e9tait effectivement fait vacciner contre le COVID-19.<\/p>\n\n\n\n<p>Il reste entendu que le consentement peut \u00e9ventuellement \u00eatre demand\u00e9 au travailleur pour les finalit\u00e9s pour lesquelles il peut manifester sa propre volont\u00e9 de mani\u00e8re \u00ab&nbsp;<em>libre, sp\u00e9cifique, \u00e9clair\u00e9e et univoque<\/em>&nbsp;\u00bb. \u00c0 titre d\u2019exemple, le consentement est une base juridique \u00e0 utiliser dans l\u2019hypoth\u00e8se de la collecte et utilisation d\u2019images, de photos et de vid\u00e9os \u00e0 l\u2019occasion d\u2019\u00e9v\u00e9nements, de cours, de s\u00e9minaires ou de conf\u00e9rences organis\u00e9s par l\u2019employeur et auxquels l\u2019employ\u00e9 participe. L\u2019\u00e9ventuel refus de donner son consentement ne porte en effet aucunement atteinte \u00e0 la relation de travail ou \u00e0 sa gestion de la part de l\u2019employeur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Le t\u00e9l\u00e9travail (ou le travail a distance) et la protection des donn\u00e9es personnelles<\/strong><\/h3>\n\n\n\n<p>Le <a href=\"https:\/\/www.delucapartners.it\/fr\/news\/publications-2-fr\/travail-agile-et-protection-des-donnees-personnelles\/\">t\u00e9l\u00e9travail (ou le travail \u00e0 distance)<\/a> [<em>sur ce point, voir \u00e9galement <\/em><a href=\"https:\/\/www.delucapartners.it\/fr\/pillar\/travail-agile-guide-complet\/\"><em>Smart Working : guide complet<\/em><\/a>] a \u00e9galement des implications du point de vue de la protection des donn\u00e9es personnelles des travailleurs ainsi que des donn\u00e9es qu\u2019ils traitent (p.\u00a0ex., les donn\u00e9es des clients et\/ou des fournisseurs).<\/p>\n\n\n\n<p>Comme nous l\u2019avons d\u00e9j\u00e0 expliqu\u00e9, le principe de responsabilit\u00e9 impose, notamment, au responsable du traitement (c.-\u00e0-d. \u00e0 l\u2019employeur) d\u2019identifier et de g\u00e9rer les risques relatifs aux traitements effectu\u00e9s, dans le plein respect des principes de protection des donn\u00e9es d\u00e8s la conception de chaque traitement et de protection des donn\u00e9es par d\u00e9faut.<\/p>\n\n\n\n<p>En cons\u00e9quence, il est fondamental que l\u2019employeur \u2013&nbsp;en permettant au travailleur de r\u00e9aliser son activit\u00e9 en <a>t\u00e9l\u00e9travail (ou en travail \u00e0 distance) <\/a>et, donc, non seulement en dehors des locaux de l\u2019entreprise mais aussi, potentiellement, en dehors de son domicile&nbsp;\u2013 effectue une <strong>\u00e9valuation pr\u00e9liminaire des risques<\/strong> et une <strong>analyse d\u2019impact<\/strong>. Ceci doit \u00eatre fait afin (i)&nbsp;d\u2019analyser tous les risques existants et potentiels, (ii)&nbsp;de d\u00e9terminer les mesures de s\u00e9curit\u00e9 ad\u00e9quates, aussi bien techniques qu\u2019organisationnelles et (iii)&nbsp;de garantir la protection des donn\u00e9es trait\u00e9es (sur ce point, se reporter \u00e0 l\u2019art.&nbsp;35 du R\u00e8glement). Mais pas seulement. L\u2019employeur doit fournir \u00e0 son employ\u00e9 en t\u00e9l\u00e9travail (ou en travail \u00e0 distance) &nbsp;des instructions pr\u00e9cises et compl\u00e8tes quant \u00e0 la correcte utilisation des outils utilis\u00e9s pour l\u2019accomplissement de son travail. Ces instructions peuvent tout \u00e0 fait \u00eatre fournies \u00e0 travers le R\u00e8glement de l\u2019entreprise, des Politiques ou des Lignes directrices [<em>sur ce point, voir \u00e9galement le paragraphe&nbsp;10.3. ci-dessous<\/em>].<\/p>\n\n\n\n<p>Par souci d\u2019exhaustivit\u00e9, nous pr\u00e9cisons que, le 7&nbsp;d\u00e9cembre 2021, le minist\u00e8re italien du Travail et des Politiques sociales et les partenaires sociaux ont sign\u00e9 le \u00ab<em>&nbsp;Protocole national sur le t\u00e9l\u00e9travail (ou le travail \u00e0 distance)<\/em>&nbsp;\u00bb(le \u00ab&nbsp;<strong><em>Protocole<\/em><\/strong>&nbsp;\u00bb).<\/p>\n\n\n\n<p>Le <a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/travail-a-distance-le-protocole-portant-lignes-directrices-pour-la-negociation-collective-a-ete-signe\/\">Protocole<\/a> a pour objectif d\u2019\u00e9tablir le cadre de r\u00e9f\u00e9rence pour l\u2019exercice du <a href=\"https:\/\/www.delucapartners.it\/fr\/news\/publications-2-fr\/travail-agile-et-protection-des-donnees-personnelles\/\">t\u00e9l\u00e9travail (ou du travail \u00e0 distance)<\/a>, en d\u00e9terminant les orientations de la n\u00e9gociation collective nationale, d\u2019entreprise et territoriale, dans le respect des dispositions pr\u00e9vues par la Loi n<sup>o<\/sup>&nbsp;81 du 22&nbsp;mai 2017 ainsi que des conventions collectives et des accords individuels en vigueur.&nbsp;<\/p>\n\n\n\n<p>Par ailleurs, le Protocole met justement l\u2019accent sur la protection des donn\u00e9es personnelles et de la confidentialit\u00e9, tant des travailleurs que des donn\u00e9es que ces derniers traitent \u00e0 des fins professionnelles, et dont l\u2019employeur est le responsable du traitement ou le sous-traitant. [<em>sur ce point, voir \u00e9galement<\/em><a href=\"https:\/\/www.delucapartners.it\/fr\/pillar\/travail-agile-guide-complet\/\"><em>Smart working : guide complet<\/em><\/a>]<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Le pouvoir de contr\u00f4le et le pouvoir disciplinaire de l\u2019employeur<\/strong><\/h3>\n\n\n\n<p>L\u2019employeur a le <a href=\"https:\/\/www.delucapartners.it\/insights\/tutela-dei-dati-e-misurazione-dei-risultati-laltra-faccia-del-digitale-leconomia-corriere-della-sera-14-febbraio-2022-vittorio-de-luca\/\">pouvoir de contr\u00f4ler<\/a> que le travailleur ex\u00e9cute son travail avec diligence (art.&nbsp;2104, al.&nbsp;1 du Code civil italien), qu\u2019il suit les instructions qui lui ont \u00e9t\u00e9 donn\u00e9es (art.&nbsp;2104, al.&nbsp;2, C. civ.) et qu\u2019il respecte les obligations de fid\u00e9lit\u00e9 (art.&nbsp;2105 C. civ.) qui s\u2019appliquent \u00e0 lui, y compris aux fins de l\u2019exercice du pouvoir disciplinaire de l\u2019employeur (art.&nbsp;2016 C. civ.).<\/p>\n\n\n\n<p>Le pouvoir de contr\u00f4le de l\u2019employeur n\u2019est pas absolu et il doit \u00eatre exerc\u00e9 de fa\u00e7on \u00e0 ne pas porter atteinte aux droits fondamentaux du travailleur, notamment \u00e0 son droit \u00e0 la dignit\u00e9 et \u00e0 la confidentialit\u00e9. \u00c0 cet \u00e9gard, la loi 300\/70 dite \u00ab&nbsp;Statuto dei Lavoratori&nbsp;\u00bb (Statut des travailleurs) a fix\u00e9 les limiter dans lesquelles ce pouvoir peut \u00eatre exerc\u00e9, en d\u00e9finissant les personnes habilit\u00e9es \u00e0 l\u2019exercer ainsi que les formes selon lesquelles il peut \u00eatre exerc\u00e9 (contr\u00f4le \u00e0 distance et contr\u00f4le direct).<\/p>\n\n\n\n<p>Ici, nous nous arr\u00eatons sur le <a href=\"https:\/\/www.delucapartners.it\/fr\/news\/publications-2-fr\/le-point-sur-les-controles-de-la-part-de-lemployeur-les-mesures-disciplinaires-et-le-droit-a-la-confidentialite-norme-tributi-plus-diritto-il-sole-24-ore-20-decembre-2021\/\">contr\u00f4le \u00e0 distance<\/a>, r\u00e9glement\u00e9 par l\u2019art.&nbsp;4 du Statut des travailleurs, en vertu duquel il est possible d\u2019utiliser des \u00e9quipements audiovisuels et d\u2019autres outils \u00ab&nbsp;<em>desquels d\u00e9rive \u00e9galement la possibilit\u00e9 de contr\u00f4le \u00e0 distance<\/em>&nbsp;\u00bb de l\u2019activit\u00e9 du travailleur (al.&nbsp;1)&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>en pr\u00e9sence d\u2019exigences sp\u00e9cifiques (organisationnelles et productives&nbsp;; s\u00e9curit\u00e9 au travail et protection du patrimoine de l\u2019entreprise) et<\/li>\n\n\n\n<li>sous r\u00e9serve d\u2019accord avec le ou les syndicats ou, \u00e0 d\u00e9faut, sous r\u00e9serve d\u2019une autorisation administrative.<\/li>\n<\/ul>\n\n\n\n<p>Les dispositions mentionn\u00e9es ci-dessus ne s\u2019appliquent pas aux <a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/case-law-fr\/controles-les-informations-relatives-a-lentreprise-presentes-dans-lordinateur-professionnel-dun-ancien-salarie-sont-utilisables\/\">outils<\/a> utilis\u00e9s par le salari\u00e9 pour effectuer son travail ni aux outils servant \u00e0 l\u2019enregistrement des acc\u00e8s et des pr\u00e9sences cf.&nbsp;al.&nbsp;2).<\/p>\n\n\n\n<p>Dans tous les cas, les informations obtenues \u00e0 l\u2019aide des \u00e9quipements\/outils susmentionn\u00e9s peuvent \u00eatre utilis\u00e9es pour toutes les <a href=\"https:\/\/www.delucapartners.it\/insights\/licenziamento-per-giusta-causa-illegittimo-il-controllo-della-chat-aziendale-in-assenza-di-adeguata-informazione\/\">finalit\u00e9s en lien avec la relation de travail<\/a>, y compris, par cons\u00e9quent, les finalit\u00e9s disciplinaires, \u00e0 la condition que le salari\u00e9 ait \u00e9t\u00e9 inform\u00e9 de mani\u00e8re ad\u00e9quate sur les modalit\u00e9s d\u2019utilisation de ces informations et d\u2019ex\u00e9cution des contr\u00f4les, ainsi que sur le respect de la r\u00e9glementation en mati\u00e8re de protection des donn\u00e9es personnelles (cf.&nbsp;al.&nbsp;3).<\/p>\n\n\n\n<p>Pr\u00e9cis\u00e9ment \u00e0 cet \u00e9gard, le Garant affirme, dans les \u00ab&nbsp;<em>Lignes directrices sur l\u2019usage d\u2019Internet et du courrier \u00e9lectronique<\/em> <em>sur les lieux de travail publics et priv\u00e9s&nbsp;\u00bb <\/em>[<em>doc. web. 1387522<\/em>] publi\u00e9es le 1er&nbsp;mars 2007 et toujours pleinement valides, que \u00ab&nbsp;<em>le lieu de travail est une construction sociale dans laquelle il convient d\u2019assurer la protection des droits, des libert\u00e9s fondamentales et de la dignit\u00e9 des personnes concern\u00e9es en garantissant que soient assur\u00e9es, dans un cadre de droits et devoirs r\u00e9ciproques, l\u2019expression de la personnalit\u00e9 du travailleur et une protection raisonnable de sa sph\u00e8re de confidentialit\u00e9 dans les relations personnelles et professionnelles&nbsp;\u00bb.<\/em><\/p>\n\n\n\n<p>Le Garant a, en outre, r\u00e9affirm\u00e9 que les traitements doivent \u00eatre effectu\u00e9s dans le respect des principes suivants&nbsp;:<\/p>\n\n\n\n<ol style=\"list-style-type:lower-alpha\" class=\"wp-block-list\">\n<li><span style=\"text-decoration: underline;\">principe de n\u00e9cessit\u00e9<\/span>&nbsp;: les syst\u00e8mes informatiques et les programmes informatiques doivent \u00eatre configur\u00e9s de sorte \u00e0 r\u00e9duire au minimum l\u2019utilisation des donn\u00e9es personnelles et des donn\u00e9es permettant l\u2019identification en relation avec les finalit\u00e9s poursuivies&nbsp;;<\/li>\n\n\n\n<li><span style=\"text-decoration: underline;\">principe de correction<\/span>&nbsp;: les caract\u00e9ristiques essentielles des traitements doivent \u00eatre communiqu\u00e9es aux travailleurs. Les technologies de l\u2019information permettent d\u2019effectuer des traitements ult\u00e9rieurs par rapport \u00e0 ceux qui sont, d\u2019ordinaire, en lien avec le travail. Ceci peut advenir \u00e0 l\u2019insu des travailleurs ou sans qu\u2019ils en aient pleinement conscience, compte tenu \u00e9galement des applications possibles de r\u00e8gles que les personnes concern\u00e9es ne conna\u00eetraient pas suffisamment&nbsp;;<\/li>\n\n\n\n<li><span style=\"text-decoration: underline;\">principe de pertinence et de mesure<\/span>&nbsp;: les traitements doivent \u00eatre effectu\u00e9s pour des finalit\u00e9s d\u00e9termin\u00e9es, explicites et l\u00e9gitimes.<\/li>\n<\/ol>\n\n\n\n<p>D\u2019apr\u00e8s le Garant, l\u2019employeur doit indiquer, de fa\u00e7on claire et d\u00e9taill\u00e9e, quelles sont les modalit\u00e9s d\u2019utilisation des outils mis \u00e0 disposition qui sont consid\u00e9r\u00e9es comme correctes et si, dans quelle mesure et selon quelles modalit\u00e9s des contr\u00f4les sont effectu\u00e9s. Ceci doit \u00eatre fait en tenant compte des r\u00e8gles pertinentes applicables en mati\u00e8re d\u2019information, de concertation et de consultation des organisations syndicales.<\/p>\n\n\n\n<p>Dans ses Lignes directrices, le Garant recommande donc aux employeurs d\u2019adopter des r\u00e8gles internes et de les rendre publiques selon des modalit\u00e9s comparables \u00e0 celles vis\u00e9es \u00e0 l\u2019art.&nbsp;7 du Statut des travailleurs (p.&nbsp;ex., par affichage dans un lieu accessible \u00e0 tous). De telles r\u00e8gles peuvent, par exemple, pr\u00e9ciser&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>si certains comportements ne sont pas tol\u00e9r\u00e9s en ce qui concerne la navigation sur Internet ou le stockage de fichiers dans le r\u00e9seau interne&nbsp;;<\/li>\n\n\n\n<li>quelles informations sont m\u00e9moris\u00e9es de fa\u00e7on temporaire (p.&nbsp;ex., les composants de fichiers journaux \u00e9ventuellement enregistr\u00e9s) et qui (y compris \u00e0 l\u2019ext\u00e9rieur) peut y acc\u00e9der de fa\u00e7on l\u00e9gitime&nbsp;;<\/li>\n\n\n\n<li>si des informations sont \u00e9ventuellement conserv\u00e9es pour une dur\u00e9e plus longue, de mani\u00e8re centralis\u00e9e ou non (y compris du fait des copies de sauvegarde, de la gestion technique du r\u00e9seau ou des fichiers journaux) et quelles informations sont concern\u00e9es, le cas \u00e9ch\u00e9ant&nbsp;;<\/li>\n\n\n\n<li>si et dans quelle mesure l\u2019employeur se r\u00e9serve la possibilit\u00e9 de proc\u00e9der \u00e0 des contr\u00f4les conform\u00e9ment \u00e0 la loi, y compris sporadiques ou occasionnels, en indiquant les raisons l\u00e9gitimes \u2013&nbsp;sp\u00e9cifiques et non g\u00e9n\u00e9riques&nbsp;\u2013 pour lesquelles ils seraient effectu\u00e9s ainsi que leurs modalit\u00e9s&nbsp;;<\/li>\n\n\n\n<li>quelles <a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/case-law-fr\/risques-sur-internet-et-utilisation-impropre-de-lordinateur-de-lentreprise-oui-au-licenciement-du-travailleur\/\">cons\u00e9quences<\/a>, y compris de type disciplinaire, l\u2019employeur a la facult\u00e9 de tirer s\u2019il devait constater que le courrier \u00e9lectronique et le r\u00e9seau Internet sont utilis\u00e9s de mani\u00e8re indue&nbsp;;<\/li>\n\n\n\n<li>les solutions pr\u00e9vues pour garantir, avec la coop\u00e9ration du travailleur, la continuit\u00e9 de l\u2019activit\u00e9 en cas d\u2019absence du travailleur concern\u00e9 (notamment en cas d\u2019absence programm\u00e9e), en particulier en ce qui concerne l\u2019activation de syst\u00e8mes de r\u00e9ponse automatique par courrier \u00e9lectronique.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Formation et instructions<\/strong><\/h2>\n\n\n\n<p>Les concepts de \u00ab&nbsp;<em>formation<\/em>&nbsp;\u00bb et d\u2019\u00ab&nbsp;<em>instructions<\/em>&nbsp;\u00bb en mati\u00e8re de protection des donn\u00e9es personnelles sont pr\u00e9vus et rappel\u00e9s par le R\u00e8glement qui pr\u00e9voit express\u00e9ment ce qui suit&nbsp;:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>\u00ab&nbsp;<em>Le sous-traitant et toute personne agissant sous l\u2019autorit\u00e9 du responsable du traitement ou sous celle du sous-traitant, qui a acc\u00e8s \u00e0 des donn\u00e9es \u00e0 caract\u00e8re personnel,<strong> ne peut pas traiter ces donn\u00e9es, except\u00e9 sur instruction du responsable du traitement<\/strong> [\u2026]<\/em>&nbsp;\u00bb (art.&nbsp;29 du R\u00e8glement).<\/li>\n<\/ol>\n\n\n\n<p>Cette disposition est en outre confirm\u00e9e \u00e0 nouveau dans l\u2019art.&nbsp;32 du R\u00e8glement, intitul\u00e9 \u00ab&nbsp;<em>S\u00e9curit\u00e9 du traitement<\/em>&nbsp;\u00bb qui dispose&nbsp;:<\/p>\n\n\n\n<ol start=\"2\" class=\"wp-block-list\">\n<li>\u00ab&nbsp;<em>Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que <strong>toute personne physique agissant sous l\u2019autorit\u00e9 du responsable du traitement ou sous celle du sous-traitant, qui a acc\u00e8s \u00e0 des donn\u00e9es \u00e0 caract\u00e8re personnel, ne les traite pas, except\u00e9 sur instruction<\/strong> du responsable du traitement [\u2026]<\/em>&nbsp;\u00bb (art.&nbsp;32 du R\u00e8glement).<\/li>\n<\/ol>\n\n\n\n<p>Enfin, dans la liste des missions d\u00e9volues au D\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (\u00ab&nbsp;<strong><em>DPD<\/em><\/strong>&nbsp;\u00bb), le R\u00e8glement dispose que le DPD est charg\u00e9 de&nbsp;:<\/p>\n\n\n\n<ol start=\"3\" class=\"wp-block-list\">\n<li>\u00ab&nbsp;<em>[\u2026] la sensibilisation et la formation du personnel participant aux op\u00e9rations de traitement, et les audits s\u2019y rapportant [\u2026]&nbsp;<\/em>\u00bb (art.&nbsp;39 du R\u00e8glement).<\/li>\n<\/ol>\n\n\n\n<p>Par cons\u00e9quent, \u00e0 la lumi\u00e8re de ce qui pr\u00e9c\u00e8de, il est n\u00e9cessaire que l\u2019employeur&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>pr\u00e9voie des plans de formation visant \u00e0 d\u00e9velopper des comp\u00e9tences techniques, organisationnelles et num\u00e9riques sp\u00e9cifiques, y compris pour favoriser une utilisation efficace et s\u00fbre des outils de travail fournis&nbsp;;<\/li>\n\n\n\n<li>encourage et incite ses employ\u00e9s \u00e0 la formation continue en mati\u00e8re de protection des donn\u00e9es personnelles.<\/li>\n<\/ul>\n\n\n\n<p>L\u2019employeur devra proc\u00e9der ainsi afin de prot\u00e9ger les donn\u00e9es personnelles de ses salari\u00e9s mais aussi les donn\u00e9es dont il est le responsable du traitement ou le sous-traitant, en relation avec sa propre activit\u00e9 (voir les donn\u00e9es inh\u00e9rentes aux clients et\/ou aux fournisseurs).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Jurisprudence et approfondissements<\/strong><strong><\/strong><\/h2>\n\n\n\n<a href=\"https:\/\/www.delucapartners.it\/fr\/news\/publications-2-fr\/travail-agile-et-protection-des-donnees-personnelles\/\" target=\"_blank\" rel=\"noopener noreferrer\">Travail agile et protection des donn\u00e9es personnelles (Top Legal Focus Privacy &amp; Data Protection, f\u00e9vrier 2021 \u2013 Vittorio De Luca, Elena Cannone)<\/a>\n<br><br>\n<a href=\"https:\/\/www.delucapartners.it\/fr\/news\/publications-2-fr\/le-point-sur-les-controles-de-la-part-de-lemployeur-les-mesures-disciplinaires-et-le-droit-a-la-confidentialite-norme-tributi-plus-diritto-il-sole-24-ore-20-decembre-2021\/\" target=\"_blank\" rel=\"noopener noreferrer\">Le point sur les contr\u00f4les de la part de l\u2019employeur, les mesures disciplinaires et le droit \u00e0 la confidentialit\u00e9 (Norme &amp; Tributi Plus Diritto \u2013 Il Sole 24 Ore, 20 d\u00e9cembre 2021 \u2013 Alberto De Luca, Martina De Angeli)<\/a>\n<br><br>\n<a href=\"https:\/\/www.delucapartners.it\/fr\/insights\/case-law-fr\/controles-les-informations-relatives-a-lentreprise-presentes-dans-lordinateur-professionnel-dun-ancien-salarie-sont-utilisables\/\" target=\"_blank\" rel=\"noopener noreferrer\">Contr\u00f4les : les informations relatives \u00e0 l\u2019entreprise pr\u00e9sentes dans l\u2019ordinateur professionnel d\u2019un ancien salari\u00e9 sont utilisables<\/a>\n","protected":false},"featured_media":29017,"menu_order":0,"template":"","meta":{"_acf_changed":false,"footnotes":""},"categories":[175,198,159,209],"tags":[2431,1996,1002,1712],"class_list":["post-29016","pillar","type-pillar","status-publish","has-post-thumbnail","hentry","category-insights","category-news","category-publications-2","category-publications","tag-dati-personali","tag-pillarpage-3","tag-gdpr-fr","tag-privacy-fr"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.3 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement - De Luca &amp; Partners<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/pillar\/29016\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement - De Luca &amp; Partners\" \/>\n<meta property=\"og:description\" content=\"La conformit\u00e9 \u00e0 la r\u00e9glementation en vigueur et la protection des donn\u00e9es personnelles dans le contexte du travail. Le R\u00e8glement (UE) 2016\/679 relatif \u00e0 la protection des donn\u00e9es personnelles, entr\u00e9 en vigueur il y a quatre ans, a pour objectif de garantir un niveau de protection des droits et des libert\u00e9s des personnes physiques, \u00e0 [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/\" \/>\n<meta property=\"og:site_name\" content=\"De Luca &amp; Partners\" \/>\n<meta property=\"article:modified_time\" content=\"2026-03-31T10:52:56+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.delucapartners.it\/wp-content\/uploads\/2026\/02\/Pillar-page-privacy-scaled-3.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"2560\" \/>\n\t<meta property=\"og:image:height\" content=\"1281\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data1\" content=\"43 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/pillar\\\/conformite-et-protection-des-donnees-parcours-dapprofondissement\\\/\",\"url\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/pillar\\\/conformite-et-protection-des-donnees-parcours-dapprofondissement\\\/\",\"name\":\"Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement - De Luca &amp; Partners\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/pillar\\\/conformite-et-protection-des-donnees-parcours-dapprofondissement\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/pillar\\\/conformite-et-protection-des-donnees-parcours-dapprofondissement\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.delucapartners.it\\\/wp-content\\\/uploads\\\/2026\\\/02\\\/Pillar-page-privacy-scaled-3.jpg\",\"datePublished\":\"2022-06-17T05:52:34+00:00\",\"dateModified\":\"2026-03-31T10:52:56+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/pillar\\\/conformite-et-protection-des-donnees-parcours-dapprofondissement\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/pillar\\\/conformite-et-protection-des-donnees-parcours-dapprofondissement\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/pillar\\\/conformite-et-protection-des-donnees-parcours-dapprofondissement\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.delucapartners.it\\\/wp-content\\\/uploads\\\/2026\\\/02\\\/Pillar-page-privacy-scaled-3.jpg\",\"contentUrl\":\"https:\\\/\\\/www.delucapartners.it\\\/wp-content\\\/uploads\\\/2026\\\/02\\\/Pillar-page-privacy-scaled-3.jpg\",\"width\":2560,\"height\":1281},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/pillar\\\/conformite-et-protection-des-donnees-parcours-dapprofondissement\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/#website\",\"url\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/\",\"name\":\"De Luca & Partners\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/#organization\",\"name\":\"De Luca & Partners\",\"url\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.delucapartners.it\\\/wp-content\\\/uploads\\\/2026\\\/01\\\/De-Luca-Partners.png\",\"contentUrl\":\"https:\\\/\\\/www.delucapartners.it\\\/wp-content\\\/uploads\\\/2026\\\/01\\\/De-Luca-Partners.png\",\"width\":600,\"height\":56,\"caption\":\"De Luca & Partners\"},\"image\":{\"@id\":\"https:\\\/\\\/www.delucapartners.it\\\/fr\\\/#\\\/schema\\\/logo\\\/image\\\/\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement - De Luca &amp; Partners","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/pillar\/29016\/","og_locale":"fr_FR","og_type":"article","og_title":"Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement - De Luca &amp; Partners","og_description":"La conformit\u00e9 \u00e0 la r\u00e9glementation en vigueur et la protection des donn\u00e9es personnelles dans le contexte du travail. Le R\u00e8glement (UE) 2016\/679 relatif \u00e0 la protection des donn\u00e9es personnelles, entr\u00e9 en vigueur il y a quatre ans, a pour objectif de garantir un niveau de protection des droits et des libert\u00e9s des personnes physiques, \u00e0 [&hellip;]","og_url":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/","og_site_name":"De Luca &amp; Partners","article_modified_time":"2026-03-31T10:52:56+00:00","og_image":[{"width":2560,"height":1281,"url":"https:\/\/www.delucapartners.it\/wp-content\/uploads\/2026\/02\/Pillar-page-privacy-scaled-3.jpg","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_misc":{"Dur\u00e9e de lecture estim\u00e9e":"43 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/","url":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/","name":"Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement - De Luca &amp; Partners","isPartOf":{"@id":"https:\/\/www.delucapartners.it\/fr\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/#primaryimage"},"image":{"@id":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/#primaryimage"},"thumbnailUrl":"https:\/\/www.delucapartners.it\/wp-content\/uploads\/2026\/02\/Pillar-page-privacy-scaled-3.jpg","datePublished":"2022-06-17T05:52:34+00:00","dateModified":"2026-03-31T10:52:56+00:00","breadcrumb":{"@id":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/#primaryimage","url":"https:\/\/www.delucapartners.it\/wp-content\/uploads\/2026\/02\/Pillar-page-privacy-scaled-3.jpg","contentUrl":"https:\/\/www.delucapartners.it\/wp-content\/uploads\/2026\/02\/Pillar-page-privacy-scaled-3.jpg","width":2560,"height":1281},{"@type":"BreadcrumbList","@id":"https:\/\/www.delucapartners.it\/fr\/pillar\/conformite-et-protection-des-donnees-parcours-dapprofondissement\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.delucapartners.it\/fr\/"},{"@type":"ListItem","position":2,"name":"Conformit\u00e9 et protection des donn\u00e9es : parcours d\u2019approfondissement"}]},{"@type":"WebSite","@id":"https:\/\/www.delucapartners.it\/fr\/#website","url":"https:\/\/www.delucapartners.it\/fr\/","name":"De Luca & Partners","description":"","publisher":{"@id":"https:\/\/www.delucapartners.it\/fr\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.delucapartners.it\/fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/www.delucapartners.it\/fr\/#organization","name":"De Luca & Partners","url":"https:\/\/www.delucapartners.it\/fr\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.delucapartners.it\/fr\/#\/schema\/logo\/image\/","url":"https:\/\/www.delucapartners.it\/wp-content\/uploads\/2026\/01\/De-Luca-Partners.png","contentUrl":"https:\/\/www.delucapartners.it\/wp-content\/uploads\/2026\/01\/De-Luca-Partners.png","width":600,"height":56,"caption":"De Luca & Partners"},"image":{"@id":"https:\/\/www.delucapartners.it\/fr\/#\/schema\/logo\/image\/"}}]}},"_links":{"self":[{"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/pillar\/29016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/pillar"}],"about":[{"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/types\/pillar"}],"version-history":[{"count":5,"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/pillar\/29016\/revisions"}],"predecessor-version":[{"id":30719,"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/pillar\/29016\/revisions\/30719"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/media\/29017"}],"wp:attachment":[{"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/media?parent=29016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/categories?post=29016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.delucapartners.it\/fr\/wp-json\/wp\/v2\/tags?post=29016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}