Nouveaux développements en matière de confidentialité en France
En effet, de nombreux changements sont en cours en France en matière de confidentialité des données.
Tout d'abord, la loi pour une République numérique, qui a été adopté en octobre 2016 en France, a initié de nombreux changements pour les entreprises et les organisations en matière de confidentialité. À titre d'exemple, en vertu de ce nouveau projet de loi, les personnes concernées ont désormais le droit de savoir combien de temps leurs données sont conservées, de décider de la manière dont leurs données seront utilisées après leur décès ou de demander que les données personnelles soient supprimées sans délai lors de leur collecte à une époque où les personnes concernées étaient mineures.
Les droits à la vie privée en ligne
Par ailleurs, les sanctions à prendre par l'Agence française de protection des données sont passées de 150 000 € à 3 millions d'euros. Les entreprises doivent savoir que ce nouveau projet de loi n'est qu'une anticipation du RGPD qui entrera en vigueur en 2018 en Europe.
Ainsi, avec la loi pour une République numérique, la France a envoyé un message clair qu'elle prend très au sérieux la protection des données personnelles et tient à mettre en place des garanties solides pour protéger les données personnelles. Même si le RGPD va établir un régime de protection des données harmonisé dans toute l'Europe, les États membres de l'UE peuvent adopter des règles de protection des données supplémentaires sur des sujets spécifiques. Par conséquent, les lois spécifiques à chaque pays continueront de s'appliquer, ce qui signifie que les entreprises devront peut-être encore se conformer à différentes les lois nationales lors du traitement des données personnelles en Europe.
Deuxièmement, une attention accrue a également été accordée aux questions liées au suivi des salariés cette année en France.
La Cour de cassation continue d'affiner sa jurisprudence concernant la possibilité de surveiller les salariés sur le lieu de travail.
De manière générale, pour suivre légalement un salarié en droit français, les employeurs doivent se conformer à 3 étapes différentes :
Informer et consulter les instances représentatives du personnel sur le suivi envisagé. Cela prend généralement 3 mois ;
Informer les employés du suivi ;
Dépôt du système de suivi auprès de la CNIL. C'est assez rapide car cela peut être fait en ligne.
Cependant, une fois cela fait, les employeurs doivent encore rester prudents dans la manière dont le contrôle est effectué s'ils veulent pouvoir prendre des sanctions appropriées contre leurs salariés puisque la Cour de cassation a tendance à considérer que :
Les e-mails reçus ou envoyés par un salarié sur son compte de messagerie professionnelle sont considérés comme des e-mails professionnels, sauf s'ils sont formellement identifiés par les salariés comme étant personnels, ce qui signifie qu'ils peuvent être ouverts et lus par l'employeur.
Les e-mails reçus et envoyés par un salarié via son webmail personnel depuis le poste professionnel ne peuvent être ouverts et lus par les employeurs sans l'autorisation d'un juge.
Ce que la CNIL garantit à la vie privée des français
En matière de biométrie , la CNIL a annoncé, le 27 septembre 2016, avoir mis à jour sa doctrine biométrique pour prendre en compte les évolutions technologiques (c'est-à-dire qu'il n'y a plus de distinction entre les traitements de données biométriques avec traçage (ex: ADN) et traitement de données biométriques sans trace (ex: voix) Désormais, la CNIL discerne entre les traitements de données biométriques qui permettent aux personnes concernées de garder le contrôle de leurs données biométriques et ceux qui n'offrent pas une telle protection.
En particulier, la CNIL a adopté 2 nouvelles autorisations uniques englobant des systèmes de contrôle d'accès biométriques au travail.
Les autorisations prennent en considération les principes édictés par le RGPD étant donné que les entreprises doivent être en mesure de documenter la caractéristique du traitement des données, démontrer la proportionnalité du traitement des données et se conformer aux principes de confidentialité par défaut et par conception.
Les nouvelles autorisations imposent 3 obligations principales aux organisations concernant une utilisation licite de la biométrie sur le lieu de travail.
Tout d'abord, les entreprises doivent s'assurer que l'utilisation de la biométrie est justifiée, en considérant si des moyens moins intrusifs pourraient être utilisés (par exemple, l'accès à des locaux avec un badge si l'entreprise n'opère pas dans un secteur à haut risque).
Deuxièmement, les entités doivent privilégier les solutions de confidentialité par défaut ou par conception, afin de limiter le risque d'utilisation abusive des données biométriques.
Enfin, les organisations doivent justifier, documenter et protéger correctement le stockage de ces données. L'adoption de mesures visant à minimiser le risque pour la vie privée, comme le cryptage, est également encouragée.