La protection des données personnelles et le RGPD

Vous devez être en conformité avec le Règlement Général sur la Protection des Données (RGPD). Découvrez dans cette fiche pratique vos obligations mais aussi comment vous y conformer et quelles sont les sanctions en cas d'infraction.

• Qu’est-ce-que le RGPD ?
• Définitions
• Quelle était la date limite pour se mettre en conformité ?
• Quelles entreprises sont concernées par le RGPD ?
• Quelles sont les données à protéger ?
• Quelles sont les sanctions en cas d’infraction ?
• La loi française relative à la protection des données personnelles
• Quelle articulation entre le RGPD et la loi française ?
• Les durées de conservation des données personnelles : la CNIL a publié un référentiel

Maîtrisez les spécificités des données personnelles dans le cadre du recrutement : quelles sont les informations collectées, quels sont les droits du candidat, combien de temps ces données doivent elles être conservées,...

• Les informations collectées lors du recrutement
• L’accès aux données personnelles
• Les droits du candidat ou futur embauché
• Exemple d’information des candidats à l’embauche
• La durée de conservation des données
• Le guide de la CNIL pour les recruteurs
• Références

Découvrez les cas pour lesquels la géolocalisation peut être utilisée, les droits et accès associés, la sécurité des données personnelles liées à la géolocalisation ou encore la durée de conservation de ces données particulières.

• Dans quels cas peut être utilisée la géolocalisation ?
• Les droits des salariés
• Exemples d’information des salariés en cas de géolocalisation des véhicules des salariés
• EXEMPLE 1
• EXEMPLE 2
• L’accès aux données personnelles
• La sécurité des données personnelles
• La durée de conservation des données

Il est possible de mettre en place un contrôle de l’utilisation des outils informatiques de l’entreprise par les salariés à condition de respecter certaines règles. Découvrez-les ainsi que les droits des salariés associés à ces règles.

• Dans quels cas peut-on contrôler l’usage des outils informatiques professionnels ?
• Les e-mails
• Les fichiers informatiques
• Les clés USB connectées à un ordinateur professionnel
• La communication des mots de passe
• Les droits des salariés

Le contrôle de l'accès aux locaux de travail et des horaires de travail est une collecte de données personnelles et celles-ci doivent être protégées. Découvrez dans quels cas un employeur peut contrôler l'accès et les droits associés des salariés.

• Dans quels cas peut-on contrôler l’accès aux locaux de travail ?
• Les droits des salariés
• Exemple d’information des salariés en cas d’accès par badge aux locaux professionnels
• L’accès aux données personnelles
• La durée de conservation des données

La vidéosurveillance ne doit pas porter atteinte aux libertés individuelles et à la vie privée des salariés. Découvrez ce qu'il faut savoir en matière de vidéosurveillance et de protection des données personnelles : conditions, droits et accès.

• Dans quels cas peut-on installer un dispositif de vidéosurveillance ?
• Les droits des salariés
• Exemple d’information des salariés en cas de mise en place d’un système de vidéosurveillance
• Information diffusée sur un panneau affiché dans les locaux de la société
• Information diffusée dans le règlement intérieur ou l’intranet de la société
• L’accès aux données personnelles
• La durée de conservation des données personnelles

La CNIL a adopté, le 10 janvier 2019, un règlement type relatif à la «biométrie sur les lieux de travail» précisant les obligations des employeurs souhaitant recourir aux dispositifs biométriques.

• Le contexte du règlement type
• La définition des données biométriques
• Le recours aux dispositifs biométriques
• Les données personnelles collectées et traitées
• Les données biométriques
• Les personnes habilitées à traiter les données
• La durée de conservation des données
• L’information des salariés
• La sécurité des données
• L’analyse d’impact
• Référence

Un décret est venu encadrer l’utilisation du numéro de sécurité sociale ainsi que les traitements de cette donnée considérée comme personnelle conformément au RGPD.

• Le numéro de sécurité sociale, donnée personnelle
• Les traitements autorisés
• Référence

La CNIL a publié un référentiel destiné à accompagner les entreprises mettant des véhicules à disposition de leurs salariés.

• Obligation de dénonciation en cas d’infraction routière
• Portée du référentiel
• Finalité des traitements de données personnelles
• Bases légales du traitement
• Données à caractère personnel concernées
• Destinataires des données et accès aux informations
• Conservation des données
• Information des salariés
• Sécurité
• AIPD
• Références

Le règlement européen sur l’IA du 13 juin 2024 entre progressivement en vigueur depuis le 1er août 2024.

• Niveaux de risque
• Entrée en vigueur
• Articulation entre le RGPD et le RIA

La CNIL a publié le 2 avril 2026 un référentiel avec pour objectif de guider, de manière opérationnelle, les entreprises dans l’identification et la détermination des durées de conservation pertinentes ...

• Le recrutement
• La gestion administrative du personnel
• La gestion des rémunérations
• La sécurisation des personnes et des biens
• La gestion des véhicules professionnels
• L’écoute et l’enregistrement des conversations téléphoniques sur le lieu de travail
• La gestion des relations collectives de travail
• La gestion des accidents du travail
• La gestion du contentieux et du précontentieux
• La gestion des alertes professionnelles

L’analyse d’impact relative à la protection des données (AIPD) est un des éléments centraux du RGPD. Cette fiche revient en détails sur ce qu'est cette analyse et quels sont les traitements de données concernés ou non.

• Qu’est-ce que l’analyse d’impact relative à la protection des données ?
• Quels sont les traitements de données soumis à une AIPD ?
• Quels sont les traitements de données non soumis à une AIPD ?
• Quelles sont les AIPD devant être transmises à la CNIL ?
• Références

Cette fiche pratique décrit étape par étape comment vous mettre en conformité avec le RGPD. Découvrez les 5 étapes clés à suivre pour ne pas risquer de sanction pouvant aller jusqu'à 4% de votre chiffre d'affaires.

• 1ère étape : Désigner un responsable du traitement et / ou un DPO
• 2ème étape : Recenser tous les traitements de données personnelles
• 3ème étape : Déterminer et suivre les actions à mener
• 4ème étape : Informer les clients et salariés de leurs droits
• 5ème étape : Tenir à jour un dossier relatif au traitement des données

Le DPO ou délégué à la protection des données est une évolution du CIL dont les fonctions et missions sont définies par le RGPD. Découvrez quelles sont ses missions ? Quelles certifications sont nécessaires ? Quelles responsabilités et sanctions ?

• Les missions du DPO
• Les compétences, savoir-faire et qualités du DPO
• La certification des compétences du DPO
• Les conditions d’accès à la certification
• Les 17 compétences et savoir-faire attendus pour être certifié
• Les responsabilités du DPO
• Le logo DPO
• Références

Attendu depuis l’automne 2019, le référentiel RH de la CNIL a été publié au JO du 15 avril 2020. Il permet aux employeurs de s’assurer de la conformité de leurs traitements courants de gestion du personnel au RGPD.

• La conformité au RGPD des traitements courants de gestion des RH
• Traitements courants visés
• Traitements et organismes non visés
• Les grandes lignes du référentiel
• Aide à la réalisation de l’AIPD
• Référence

La CNIL s’est dotée d’une charte des contrôles afin d’assurer une plus grande transparence sur les contrôles relatifs à l’application du RGPD.

• Les contrôles sur le traitement des données personnelles
• L’objectif de la charte des contrôles
• Les pouvoirs des agents de la CNIL
• Les droits et obligations des entreprises contrôlées
• Le déroulement du contrôle
• L’issue du contrôle 
• Téléchargement de la charte

Dans une logique de transparence, la CNIL a publié une charte d’accompagnement des professionnels pour afficher sa politique.

• Destinataires de la charte
• Objectifs de la CNIL
• Téléchargement de la charte

Afin de limiter la propagation de l’épidémie de COVID-19, les employeurs peuvent être amenés à collecter des données personnelles. La CNIL rappelle quelques principes.

• Les obligations dans le cadre de la lutte contre la Covid-19
• Quelles sont les obligations de l’employeur ?
• Quelles sont les obligations des salariés/agents ?
• La collecte des données personnelles pour signaler et informer
• Comment l’employeur doit-il traiter les signalements de contamination à la COVID-19 et informer les cas contact ?
• L’employeur peut-il exiger le résultat d’un test de dépistage de la COVID-19 ?
• L’employeur peut-il collecter des questionnaires médicaux auprès des salariés/agents ?
• L’employeur peut-il contrôler la température de ses salariés/agents ?
• L’employeur peut-il organiser des campagnes de dépistage ?
• L’employeur peut-il organiser des campagnes de vaccination ?
• L’employeur peut-il collecter des données personnelles en vue de l’élaboration d’un plan de continuité de l’activité ou « PCA » ?
• L’utilisation de solutions technologiques pour lutter contre la Covid-19
• L’employeur peut-il avoir recours à des solutions logicielles (telle qu’une application mobile) afin de mesurer l’exposition d’un salarié/agent au virus ?
• L’employeur peut-il imposer l’installation et l’utilisation de l’application TousAntiCovid ?
• L’employeur peut-il imposer la présentation du passe sanitaire à ses salariés/agents dans les établissements concernés par l’utilisation du dispositif ?
• L’employeur peut-il imposer l’utilisation de TousAntiCovid Signal ou l’inscription dans une fiche de rappel papier aux salariés/agents des établissements concernés ?
• Le rôle des autres acteurs pour lutter contre la propagation de la Covid-19
• Quelles actions peuvent être effectuées par la médecine du travail ?
• Quelles actions peuvent être effectuées par le CSE ?
• Les autorités sanitaires peuvent-elles collecter des données de santé ?
• Référence

Toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie. Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession.

• Les règles du droit d’accès
• Répondre à un salarié qui souhaite accéder ou obtenir la copie de courriels professionnels
• Les courriels personnels
• Référence

Ce document fourni par la CNIL présente un exemple de clauses de sous-traitance dans le cadre du RGPD. Ces clauses peuvent être insérées dans vos contrats et adaptées selon la prestation de sous-traitance concernée.

• I. Objet
• II. Description du traitement faisant l’objet de la sous-traitance
• III. Durée du contrat
• IV. Obligations du sous-traitant vis-à-vis du responsable de traitement
• V. Obligations du responsable de traitement vis-à-vis du sous-traitant

Dans le cadre du RGPD, vous êtes tenu d'informer vos salariés quant à la manière dont sont traitées leurs données personnelles. Aucun formalisme n'est imposé et nous vous proposons d'utiliser ce modèle de note d'information.

• Qu’est-ce-que le RGPD ?
• Quelles sont les données personnelles protégées et à protéger ?
• Quels sont vos droits en tant que salarié ?
• Quelles sont vos obligations en tant que salarié ?

Complétez et utilisez ce modèle de lettre d'information du CSE sur la désignation du DPO dans le cadre du RGPD. Ce modèle reprend les éléments essentiels à mentionner sur la lettre d'information (identité du DPO, ses missions ...).

• Objet : Désignation d’un DPO