En ce moment

Protection des données personnelles : un bilan mitigé

Posté le 28 janvier 2022
par Philippe RICHARD
dans Informatique et Numérique

Le 28 janvier est la Journée européenne de la protection des données. Cette date est l’occasion de dresser un bilan du RGPD et de façon plus globale des mesures prises en faveur d’une meilleure protection des données privées, mais aussi des limites et des obstacles.

Instaurée dès 2007, cette date marque l’anniversaire de la Convention 108 du Conseil de l’Europe qui constitue le premier instrument légalement contraignant au niveau international dans le domaine de la protection des données. C’est en quelque sorte les prémices du Règlement général sur la protection des données qui est exécutoire dans toute l’Europe depuis mai 2019.

Quel est le bilan 15 ans après ? « Peut mieux faire » pourrait être le principal commentaire en bas du bulletin des élèves « entreprises-administrations ». Premièrement, les internautes sont de plus en plus conscients que les entreprises, et surtout les GAFAM, récupèrent des volumes de plus en plus importants de données personnelles pour mieux cibler leurs messages publicitaires et affiner nos profils.

Le soufflet RGPD est vite retombé

L’entrée en vigueur du RGPD a été l’occasion pour les entreprises de revoir leurs « traitements » de données personnelles – de leurs clients, mais aussi de leurs salariés – afin d’être en conformité. Présenté à tort comme une série de 99 articles abscons pour le commun des mortels, car rédigés par des juristes, ce texte européen a été vu comme une contrainte supplémentaire pour de nombreuses entreprises.

Incapables dans la plupart des cas d’assurer par elles-mêmes leur mise en conformité, elles ont fait appel à des spécialistes et notamment des DPO (Data protection Officer) ou Délégués à la protection des données. Mais le soufflet RGPD est vite retombé en 2020 à cause notamment de la pandémie.

« Après l’amélioration observée à l’occasion des précédents Index, la dégradation observée en 2021 se confirme cette année, et semble indiquer qu’avec les difficultés induites par la pandémie, les organisations continuent à donner la priorité à d’autres tâches que la bonne gestion des demandes de droit d’accès RGPD », commente dans un communiqué de presse Paul-Olivier Gibert, Président de l’AFCDP, l’association des Délégués à la protection des données (DPD/DPO).

Surveillance et télétravail

Des personnes (consommateurs ou salariés) qui estiment n’avoir pas obtenu satisfaction en contactant l’entreprise en cause n’hésitent plus à se plaindre à la CNIL et cette dernière peut être amenée à diligenter « une mission de contrôle sur place afin de relever les raisons qui expliquent une gestion approximative des droits des personnes », précise Paul-Olivier Gibert.

Et la situation ne s’est pas arrangée depuis l’obligation du télétravail. Plus de la moitié des entreprises françaises prévoirait de renforcer la supervision de leurs employés en situation de travail à distance selon l’étude « The Virtual Floorplan : New Rules for a New Era of Work » et réalisée par Vmware, un important éditeur spécialisé dans la virtualisation logicielle.

S’appuyant sur les réponses de 7 600 dirigeants, responsables de services RH et informatiques et employés, cette enquête constate que différentes mesures sont envisagées ou mises en place :

Toutes ces mesures déployées ou envisagées respectent-elles la législation ? L’article L.2323-47 du Code du travail indique que « le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».

Or, les preuves recueillies par des moyens de surveillance non déclarés et sans que les salariés en aient été informés préalablement sont illicites (art. L.1222-4 du Code du travail).

Un salarié ne peut pas être sanctionné à partir d’éléments de preuve obtenus par un dispositif de surveillance sans information préalable de sa mise en place.

En juin 2019, la CNIL avait prononcé une amende de 20 000 € à l’encontre d’une TPE employant 9 salariés, et spécialisée dans la traduction libre et assermentée, pour avoir mis en place en son sein un système de vidéosurveillance des salariés ne répondant pas aux exigences du RGPD.

« Assurément, la perception de la protection des libertés au regard de la prolifération des traitements de données est en train d’évoluer. Le rôle du droit est non seulement de l’encadrer, mais encore de s’y adapter et de l’accompagner. La pandémie a mis le droit des données à caractère personnel à l’épreuve. Il faut trouver un juste équilibre entre les enjeux sanitaires qui supposent un suivi (tracking) le plus précis possible et les droits et libertés des personnes », explique maître Julien Le Clainche, avocat à la Cour, spécialisé dans la protection des données personnelles..


Pour aller plus loin