Chronotachygraphes et vidéosurveillance : réalisation d’une analyse d’impact préalable

 Dans Droit des transports, Droit social

La réalisation d’une analyse d’impact relative à la protection des données (AIPD) est aujourd’hui obligatoire pour tous les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes physiques (Règl. n°2016/679, 27 avril 2016, art. 35).

 

lu’est-ce qu’une AIPD ?

Il s’agit d’une analyse détaillée d’un traitement de données à caractère personnel au regard du RGPD, généralement matérialisée par la remise d’un rapport écrit.

Une AIPD est obligatoire dans plusieurs cas :

  • traitements visés directement dans l’article 35 du RGPD,
  • critères définis par le Comité européen de la protection des données le 4 octobre 2017,
  • traitements définis par la CNIL dans sa délibération du 11 octobre 2018, parmi lesquels le chronotachygraphe des véhicules de transport routier, la vidéosurveillance d’employés, les traitements visant à faciliter le recrutement grâce à un algorithme de sélection (Délib. n°2018-327 du 11 octobre 2018, JO 6 novembre).

 

Que doit-contenir une AIPD au minimum ?

Selon l’article 35 du RGPD, l’analyse doit contenir au minimum :

  1. une description systématique des opérations de traitement envisagées et des finalités du traitement,
  2. une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,
  3. une évaluation des risques pour les droits et libertés des personnes concernées,
  4. les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel.

La CNIL propose aux entreprises une feuille de route en plusieurs étapes pour respecter les dispositions du RGPD.

 

La société doit-elle transmettre l’analyse à la CNIL ?

Non, si le résultat de l’analyse est positif et que le RGPD bien respecté. Depuis le RGPD, une société n’a plus d’obligation de déclaration préalable, elle est responsable de sa mise en conformité continue au RGPD.

Oui s’il résulte de l’AIPD qu’un risque demeure.

En tout état de cause, en cas de contrôle par la CNIL, la société qui fait usage de chronotachygraphes doit être en mesure de présenter son AIPD.

La CNIL avait accordé une tolérance de 3 ans pour que les sociétés se mettent en conformité.  Depuis le 25 mai 2021, le délai de grâce a pris fin.

 

Que risque l’entreprise à défaut d’AIPD obligatoire ?

L’entreprise s’expose à une amende administrative d’un montant maximum de 2% de son chiffre d’affaires.

Le DRH qui n’aurait pas mis en conformité ses traitements peut voir sa responsabilité engagée es qualités.

Après trois ans de patience, il y a peu de chance que la CNIL se montre très tolérante. Elle effectue d’ailleurs beaucoup plus de contrôles depuis la mise en œuvre du RGPD.

A défaut d’AIPD conforme, la société s’expose également au risque que le système de contrôle soit jugé inopposable aux salariés. Les preuves obtenues par ce biais risquent alors d’être jugées irrecevables. Ce qui peut être particulièrement préjudiciable lorsque la société en a besoin pour justifier une procédure disciplinaire par exemple.

Derniers articles
Droit des transports Nantes