On entend par «traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Quelles sont les obligations de l’employeur en matière de collecte de données personnelles ?

➢ Une collecte licite (article 6 RGPD)

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

➢ Une collecte loyale :

La loyauté passe par l’information du salarié quant à la collecte de ses données personnelles ainsi que sur la finalité poursuivie. Il s’agit donc d’un principe de transparence.
La loyauté sera aussi synonyme de proportionnalité, l’employeur ne peut récolter que le strict nécessaire. De plus on va regarder s’il s’agit d’un traitement à grande échelle ou si un seul salarié est concerné. On va se poser la question de savoir si l'employeur pourrait subir un préjudice s'il ne collecte ces données personnelles.
Le critère de la licéité et de la loyauté sont cumulatifs. Un traitement doit être licite et loyal.
A noter : les données sensibles (art 9 RGPD) comme les données d’opinion religieuse, d’appartenance syndicale, des données biométriques, de santé, d’orientation sexuelle etc...en principe ne peuvent être collectées. Néanmoins, il existe des exceptions telles que la sauvegarde des intérêts vitaux, les obligations dites légales ou d’ordre public, les données sensibles nécessaires à l'exécution du contrat de travail.

➢ La mise en place d’un registre de traitement des données (art 30 RGPD)

Il s’agit d’un document de recensement et d’analyse reflétant la réalité des traitements de données personnelles d’une entreprise. L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles. Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants : • les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ; • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
• les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Le registre doit être tenu par les responsables de traitement ou les sous-traitants eux-mêmes. Ils peuvent ainsi disposer d’une vue d’ensemble de toutes les activités de traitement de données à caractère personnel qu’ils effectuent.

➢ La désignation du délégué à la protection des données.

Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. Selon l’article 37 (1) du règlement général sur la protection des données (RGPD), la désignation d’un DPO est obligatoire dans trois cas spécifiques : ▪ Lorsque le traitement est mis en œuvre par une autorité ou un organisme public ; ▪ Lorsque les activités de base du responsable de traitement ou du sous-traitant sont des opérations de traitement qui, du fait de leur nature, impliquent un contrôle régulier et systématique des personnes concernées à grande échelle ; ▪ Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données ou de données à caractère personnel relatives à des condamnations et des infractions pénales.

➢ La réalisation de l'analyse d'impact sur la protection des données (art 35 et 36 RGPD)

L’AIPD est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.
L'analyse permet d'évaluer les risques. Si au terme de l'analyse des risques trop importants n'ont pas été réduits, il faudra prévenir la CNIL.