Analyses d’impact en matière de données personnelles : quels sont les traitements RH exonérés ?

Depuis l’entrée en vigueur du règlement général sur la protection des données (ci-après « RGPD »), les responsables de traitement conduisant des traitements de données « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes » doivent préalablement procéder à une analyse d’impact relative à la protection des données (article 35 (1) du RGPD).

Le RGPD accorde aux autorités de régulation nationales une certaine marge de manœuvre pour lister des types de traitements impliquant nécessairement la mise en œuvre d’une AIPD (article 35 (4) du RGPD). A l’inverse, il permet également à ces autorités de lister des opérations pour lesquelles une AIPD n’est jamais requise (article 35 (5) du RGPD).

En questions : l’utilisation du déclinatoire de compétence pour consolider le bloc de compétence administratif en matière de PSE

Aperçu par Jean-Marc Albiol, Cécile Martin et Nicolas Peixoto, avocats associés au cabinet Ogletree Deakins, cabinet français dédié au droit social. Cliquer ici pour accéder à l’article : La Semaine Juridique Social n° 36, 7 Septembre 2021, act. 378

Analyses d’impact en matière de données personnelles : quels sont les traitements RH exonérés ?

Depuis l’entrée en vigueur du règlement général sur la protection des données (ci-après « RGPD »), les responsables de traitement conduisant des traitements de données « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes » doivent préalablement procéder à une analyse d’impact relative à la protection des données (article 35 (1) du RGPD).

Le RGPD accorde aux autorités de régulation nationales une certaine marge de manœuvre pour lister des types de traitements impliquant nécessairement la mise en œuvre d’une AIPD (article 35 (4) du RGPD). A l’inverse, il permet également à ces autorités de lister des opérations pour lesquelles une AIPD n’est jamais requise (article 35 (5) du RGPD).

Le barème Macron conforté : l’orientation donnée par les avis de la Cour de cassation du 17 juillet 2019

En cas d’absence de cause réelle et sérieuse au licenciement prononcé, le juge octroie une indemnité au salarié à la charge de l’employeur. Depuis l’instauration du barème d’indemnisation par l’ordonnance n° 2017-1387 du 22 septembre 2017, le montant de cette indemnité varie en fonction de l’ancienneté du salarié et du franchissement du seuil d’effectifs de 11 salariés dans l’entreprise. Il correspond à un nombre de mois de salaire et bénéficie d’un plancher et d’un plafond. Le juge détermine ainsi le montant compris entre l’indemnité minimale et l’indemnité maximale dues au salarié.

Toutefois, depuis l’entrée en vigueur de ce barème, celui-ci connait de nombreuses contestations et certaines juridictions prud’homales refusent de l’appliquer. Par conséquent, les avis du 17 juillet 2019[1] rendus par la Cour de cassation en la matière étaient fortement attendus.

Le Ministère du travail rappelle que le DPO n’est pas un salarié protégé mais n’est pas non plus un salarié comme les autres…

Dans le cadre d’une réponse du 7 février 2019 à une question écrite d’un sénateur, le Ministère du Travail confirme que le Délégué à la Protection des Données (DPO) ne bénéficie pas du statut de salarié protégé, si bien que son licenciement n’est pas soumis à une procédure spéciale d’autorisation de l’Inspection du Travail.

Cependant, le Ministère rappelle que le DPO bénéficiait d’une large protection contre d’éventuelles sanctions.

Données personnelles – La CNIL condamne le géant du web à une amende de 50 millions d’euros

Le 21 janvier 2019, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) – compétente pour prononcer les sanctions – a condamné un acteur majeur de services technologiques à une amende de 50 millions d’euros pour manquement aux obligations de transparence et d’informations ainsi qu’à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité – obligations prévues par le Règlement Général sur la Protection des Données (RGPD).