R.G.P.D. 2024 :

° Au niveau européen...

La Commission européenne a proposé en juillet 2023 de nouvelles règles visant à renforcer l’efficacité et l’efficience de l’application du règlement général sur la protection des données (RGPD) dans les situations transfrontalières.

Un règlement de procédure du RGPD va viser à rationaliser la coopération entre les autorités (en France, la CNIL, en lien avec les institutions ayant la même fonction dans le pays européen concerné), chargées de la protection des données (APD), en harmonisant certains aspects de leurs procédures administratives dans les situations transfrontalières.

° Pour la France...

• Création d’un traitement automatisé de données à caractère personnel dénommé « répertoire statistique des individus et des logements » ("RESIL")

Décret n° 2024-12 du 5 janvier 2024

Le décret, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL), autorise l’Institut national de la statistique et des études économiques à mettre en œuvre le traitement automatisé de données à caractère personnel permettant la gestion du répertoire statistique des individus et des logements, leur durée de conservation et les conditions de leur tenue et mise à jour ainsi que les conditions d’accès à ces données (cf. Quoi de neuf au J.O. de l’UNSA ?).

Le décret est pris dans le cadre de l’environnement juridique national et européen relatif à la production de statistiques publiques (loi du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques) et à la protection des données individuelles.

- Position de la CNIL le 22 décembre 2023 :

Le 22 décembre, la CNIL a annoncé, sur son site internet, avoir prononcé six nouvelles sanctions dans le cadre de sa procédure simplifiée, dont l’une concerne la collecte non justifiée de données d’un candidat à l’embauche.

Était ainsi visée une société ayant collecté les lieux, pays de naissance et les numéros de sécurité sociale de candidats à un emploi de figurant ou d’hôte pour des événements télévisés.

D’après la Cnil, « la collecte de ces données ne présente pas de lien direct et nécessaire avec l’emploi proposé et avec l’évaluation des aptitudes professionnelles, ce qui constitue un manquement au principe de collecte des données pour des finalités déterminées, explicites et légitimes (article 5.1.b du RGPD) ». « La circonstance que ces données faciliteraient les opérations de gestion lors de la phase de conclusion du contrat de travail ne justifie pas davantage leur collecte dès la phase de sélection des candidatures  », explique-t-elle.
Bien que l’entreprise ait, entretemps, modifié son formulaire afin de ne plus collecter ces trois types de données, la Cnil l’a condamnée à une sanction financière : « une telle action ne l’exonère pas de sa responsabilité pour les faits passés »

- Passeport de prévention

Un décret du 1er août 2023 intègre le passeport de prévention dans le traitement automatisé de données à caractère personnel du compte personnel de formation (SI-CPF). Il est entré en vigueur le 4 août 2023. l est à signaler que le droit à l’effacement et le droit d’opposition prévus aux articles 17 et 21 du Règlement général de protection des données (RGPD) ne s’appliquent pas au SI-CPF (C. trav., art. R. 6323-38).
D’autres recours restent néanmoins possibles pour, le cas échéant, corriger des informations inexactes ou obsolètes.

- Proposition de règlement fixant des règles procédurales complémentaires relatives à l’application du RGPD

- Publication du Guide CEPD

Le 27 avril 2023, le CEPD a publié le guide CEPD de la protection des données à l’usage des petites entreprises. Ce guide a pour vocation de sensibiliser au RGPD et de fournir aux PME des informations pratiques sur le respect du RGPD, sous une forme accessible et facilement compréhensible. Il donne un aperçu des supports d’information pratiques mis au point par les autorités nationales de protection des données à l’attention des PME, y compris au moyen d’actions cofinancées par la Commission.

https://www.cnil.fr/fr/recrutement-...

- Les recours prévus par le RGPD peuvent être exercés simultanément et de manière indépendante

CJUE 12 janv. 2023, aff. C-132/21

Selon la CJUE, dans son arrêt du 12 janvier dernier, les recours civils et administratifs prévus par le RGPD peuvent être introduits de manière concurrente et indépendante.

Cela ne peut se faire qu’à condition que les États membres s’assurent que cela ne remette pas en cause la protection effective des droits des personnes concernées, une application cohérente et homogène des dispositions, ni le droit à un recours effectif.

L’identité des destinataires de données personnelles est incluse dans l’exercice du droit d’accès prévu par le RGPD

CJUE 12 janv. 2023, Österreichische Post, aff. C-154/21

Sophie RIOLLET, Juriste, Pôle Service Juridique, Secteur Juridique National UNSA.