qUID DE CES 3 OBLIGATIONS LEGALES ?
> ConfOrmité au r.G.P.D.
Le Règlement Général de Protection des Données s'applique à tous les traitements de données à caractère personnel, sauf exceptions (les fichiers de sécurité restent régis par les États et les traitements en matière pénale par exemple).
Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.
Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service. Ainsi, il est tenu de limiter la quantité de données traitée dès le départ (principe dit de « minimisation ») et doit démontrer cette conformité à tout moment.
L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.).
Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles.
Les obligations déclaratives sont toutes supprimées, sauf exceptions prévues par le droit national (certains traitements dans le secteur de la santé, ou de la sécurité publique mis en œuvre pour le compte de l’État).
L'entreprise qui détient des données personnelles doit informer la personne concernée de :
l'identité du responsable du fichier ;
la finalité du traitement des données ;
le caractère obligatoire ou facultatif des réponses ;
les droits d'accès, de rectification, d'interrogation et d'opposition ;
les transmissions des données.
L'exploitant de données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations, et notamment :
recueillir l'accord des clients ;
informer les clients de leur droit d'accès, de modification et de suppression des informations collectées ;
veiller à la sécurité des systèmes d'information ;
assurer la confidentialité des données ;
indiquer une durée de conservation des données.
L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.
Le droit des personnes en la matière :
Consentement renforcé et transparence (Les clients ont un droit d'accès à leurs données et peuvent les rectifier et s'opposer à leur utilisation).
Droit à la portabilité des données (sous une forme réutilisable, les données fournies et transférées ensuite à un tiers, et uniquement recueillies dans le cadre d'un contrat ou d'un consentement).
Droit à l'oubli (effacement de ses données et au déréférencement).
Droit à notification (en cas de violation de la sécurité des données comportant un risque élevé pour les personnes, obligation d'avertir rapidement les personnes et de notifier à la Cnil dans les 72 heures).
Droit à réparation du dommage matériel ou moral (du fait de la violation du règlement européen).
Action de groupe (pour faire une réclamation ou un recours et obtenir réparation en cas de violation de ses données).
En cas de violation du règlement, la Cnil peut prononcer des amendes administratives qui peuvent atteindre, selon la catégorie du manquement, 2 % à 4 % du chiffre d'affaires annuel mondial de l'exercice précédent.
Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel Ordonnance n° 2018-1125 du 12 décembre 2018 sur la protection des données personnelles et modifiant la loi n° 78-17 du 6 janvier 1978 Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnellesart.8 (certaines catégories de données : origine/opinion) ; art. 16 (catégorie particulière de traitement : santé)Loi n°78-17 du 6 janvier 1978 - Informatique et libertés Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
cles 48 (entrée en vigueur des dispositions relatives à la portabilité des données) et 65 (sanctions prononcées par la Cnil)Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Code de la consommation : articles L224-42-1 à L224-42-4
Récupération et portabilité des donnéesCode pénal : articles 226-16 à 226-24
Atteintes aux droits de la personne résultant des fichiers ou des traitements informatiquesDécret n°2019-536 du 29 mai 2019 pris pour l'application de la loi de 1978 relative à l'informatique, aux fichiers et aux libertés Délibération n° 2018-326 du 11 octobre 2018 sur les lignes directrices des analyses d'impact sur la protection des données (AIPD) Délibération n°2018-327 du 11 octobre 2018 sur les types d'opérations de traitement avec analyse d'impact sur la protection des données
> D.U.E.R. (Document Unique d'Evaluation des Risques)
Le DUER ou Document Unique d’Evaluation des Risques est un document qui oblige l’employeur à répertorier et évaluer l'ensemble des risques professionnels qui peuvent nuire à la sécurité des salariés.
Depuis 2001, l’élaboration du DUER est obligatoire dès le premier salarié.
❗Nouveau : il devra être digitalisé et conservé 40ans ❗
Le document unique d'évaluation des risques doit être mis à jour dans les cas suivants :
Au moins 1 fois par an
Lors de toute décision d'aménagement modifiant les conditions de travail ou impactant la santé ou la sécurité des salariés (utilisation d'un nouveau produit chimique dangereux par exemple)
Lorsqu'une information supplémentaire intéressant l'évaluation d'un risque dans une unité de travail est recueillie (par exemple, apparition de maladies professionnelles, pandémie due à la Covid-19)
L’absence de DUER est passible d’une amende de 1500 €. En cas d'incident, l'absence de DUER peut être considérée comme une circonstance aggravante. L'employeur risque jusqu'à 3 ans d'emprisonnement et 75 000 € d'amende.
Code du travail : articles L4121-1 et L4121-5Principes généraux de préventionCode du travail : articles R4121-1 à R4121-4
Document unique d'évaluation des risquesDécret n°2001-1016 du 5 novembre 2001
Création du document relatif à l'évaluation des risques pour la santé et la sécurité des travailleurs
> Entretien professionnel annuel
Tous les 2 ans, l'entretien professionnel est un rendez-vous obligatoire entre le salarié et l'employeur. Il est destiné à envisager les perspectives d'évolution professionnelle du salarié et les formations qui peuvent y contribuer.
Attention : l'entretien professionnel ne concerne pas l'évaluation du travail du salarié, qui est effectuée dans le cadre de son entretien annuel.
Tous les 6 ans, l'entretien professionnel doit faire un état des lieux récapitulatif du parcours professionnel du salarié. Cet état des lieux permet de vérifier que le salarié a effectivement bénéficié des entretiens professionnels prévus au cours des 6 dernières années.
Il permet également de s'assurer qu'au cours de ces 6 dernières années, le salarié a :
suivi au moins une action de formation,
acquis un des éléments de certification professionnelle (diplôme, titre professionnel, etc.) par la formation ou par une validation des acquis de l'expérience (VAE),
et bénéficié d'une progression salariale ou professionnelle.
Un compte-rendu de l'état des lieux est alors rédigé durant cet entretien. Une copie est remise au salarié.
Dans une entreprise d'au moins 50 salariés, si le salarié n'a pas bénéficié les 6 dernières années des entretiens professionnels et d'au moins une action de formation non obligatoire, l'employeur doit abonder le compte personnel de formation (CPF), crédité de 3000 €.
Code du travail : article L6315-1Droit à l'entretien professionnelCode du travail : articles L6323-10 à L6323-15
Abondement du CPF pour défaut d'entretien (article L6323-13)Code du travail : articles R6323-1 à D6323-3-3
Alimentation du compte