qUID DE CES 3 OBLIGATIONS LEGALES ?

Le Règlement Général de Protection des Données s'applique à tous les traitements de données à caractère personnel, sauf exceptions (les fichiers de sécurité restent régis par les États et les traitements en matière pénale par exemple). 

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.

Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service. Ainsi, il est tenu de limiter la quantité de données traitée dès le départ (principe dit de « minimisation ») et doit démontrer cette conformité à tout moment.

L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.).

Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles.

Les obligations déclaratives sont toutes supprimées, sauf exceptions prévues par le droit national (certains traitements dans le secteur de la santé, ou de la sécurité publique mis en œuvre pour le compte de l’État).

L'entreprise qui détient des données personnelles doit informer la personne concernée de :

• l'identité du responsable du fichier ;

• la finalité du traitement des données ;

• le caractère obligatoire ou facultatif des réponses ;

• les droits d'accès, de rectification, d'interrogation et d'opposition ;

• les transmissions des données.

L'exploitant de données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations, et notamment :

• recueillir l'accord des clients ;

• informer les clients de leur droit d'accès, de modification et de suppression des informations collectées ;

• veiller à la sécurité des systèmes d'information ;

• assurer la confidentialité des données ;

• indiquer une durée de conservation des données.

L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.

Le droit des personnes en la matière : 

• Consentement renforcé et transparence (Les clients ont un droit d'accès à leurs données et peuvent les rectifier et s'opposer à leur utilisation).

• Droit à la portabilité des données (sous une forme réutilisable, les données fournies et transférées ensuite à un tiers, et uniquement recueillies dans le cadre d'un contrat ou d'un consentement).

• Droit à l'oubli (effacement de ses données et au déréférencement).

• Droit à notification (en cas de violation de la sécurité des données comportant un risque élevé pour les personnes, obligation d'avertir rapidement les personnes et de notifier à la Cnil dans les 72 heures).

• Droit à réparation du dommage matériel ou moral (du fait de la violation du règlement européen).

• Action de groupe (pour faire une réclamation ou un recours et obtenir réparation en cas de violation de ses données).

En cas de violation du règlement, la Cnil peut prononcer des amendes administratives qui peuvent atteindre, selon la catégorie du manquement, 2 % à 4 % du chiffre d'affaires annuel mondial de l'exercice précédent. 

Le DUER ou Document Unique d’Evaluation des Risques est un document qui oblige l’employeur à répertorier et évaluer l'ensemble des risques professionnels qui peuvent nuire à la sécurité des salariés.

Depuis 2001, l’élaboration du DUER est obligatoire dès le premier salarié.

❗Nouveau : il devra être digitalisé et conservé 40ans ❗

Le document unique d'évaluation des risques doit être mis à jour dans les cas suivants :

• Au moins 1 fois par an

• Lors de toute décision d'aménagement modifiant les conditions de travail ou impactant la santé ou la sécurité des salariés (utilisation d'un nouveau produit chimique dangereux par exemple)

• Lorsqu'une information supplémentaire intéressant l'évaluation d'un risque dans une unité de travail est recueillie (par exemple, apparition de maladies professionnelles, pandémie due à la Covid-19)

L’absence de DUER est passible d’une amende de 1500 €. En cas d'incident, l'absence de DUER peut être considérée comme une circonstance aggravante. L'employeur risque jusqu'à 3 ans d'emprisonnement et 75 000 € d'amende. 

Tous les 2 ans, l'entretien professionnel est un rendez-vous obligatoire entre le salarié et l'employeur. Il est destiné à envisager les perspectives d'évolution professionnelle du salarié et les formations qui peuvent y contribuer. 

Attention : l'entretien professionnel ne concerne pas l'évaluation du travail du salarié, qui est effectuée dans le cadre de son entretien annuel.

Tous les 6 ans, l'entretien professionnel doit faire un état des lieux récapitulatif du parcours professionnel du salarié. Cet état des lieux permet de vérifier que le salarié a effectivement bénéficié des entretiens professionnels prévus au cours des 6 dernières années.

Il permet également de s'assurer qu'au cours de ces 6 dernières années, le salarié a :

• suivi au moins une action de formation,

• acquis un des éléments de certification professionnelle (diplôme, titre professionnel, etc.) par la formation ou par une validation des acquis de l'expérience (VAE),

• et bénéficié d'une progression salariale ou professionnelle.

Un compte-rendu de l'état des lieux est alors rédigé durant cet entretien. Une copie est remise au salarié.

Dans une entreprise d'au moins 50 salariés, si le salarié n'a pas bénéficié les 6 dernières années des entretiens professionnels et d'au moins une action de formation non obligatoire, l'employeur doit abonder le compte personnel de formation (CPF), crédité de 3000 €.