DATI & RGPD : le difficile équilibre du respect de la vie privée

Selon l’article L 4121-1 du Code du travail >> l’employeur a l’obligation de prendre les mesures pour assurer la sécurité et la santé de ses salariés. Ainsi, il doit prévenir les risques professionnels dans l’entreprise.

Lorsque ses effectifs comptent des travailleurs isolés, il doit avoir recours à des solutions techniques fiables. Afin de leur porter secours en cas d’accident, il peut mettre en place un Dispositif d’Alarme pour Travailleur Isolé (DATI) >>. Ce dispositif a pour mission de transmettre une alarme en vers un correspondant chargé de déclencher les secours. Dans les situations critiques, le DATI a prouvé son efficacité !

Pour son fonctionnement, la solution DATI nécessite la collecte et le traitement de données à caractère personnel. Parmi les données relatives à la vie privée du salarié, vous retrouvez : numéro de téléphone, nom de l’utilisateur, position GPS… . Cet accès à des données de la vie privée pose un enjeu de taille pour l’employeur. Mais alors, comment assurer la protection et la sécurité de ces données en conformité au RGPD ?

DATI et vie privée

Le Règlement Général sur la Protection des Données – RGPD >> précise qu’une donnée personnelle est une information se rapportant à une personne physique. Elle peut être identifiée ou identifiable directement, avec un nom et un prénom par exemple. Ou alors, elle peut être identifiée indirectement à partir du croisement d’un ensemble de données de la vie privée. Parmi ces données, vous avez le numéro client et le numéro de téléphone par exemple. Vous pouvez aussi retrouver plusieurs éléments relatifs à l’identité physique de la personne.

Le RGPD s’impose aux entreprises qui traitent des données personnelles. Il s’applique dès lors qu’elles sont établies sur le territoire de l’Union européenne ou que leur activité cible directement des résidents européens. Il concerne également les sous-traitants qui traitent des données personnelles pour le compte d’autres sociétés. Le traitement des données de la vie privée concerne de multiples opérations. Parmi ces opérations, vous avez notamment la collecte, l’enregistrement, l’organisation, la conservation, la modification… Des données de la vie privée qui sont consultables, utilisables voire à disposition.

Lorsque l’employeur utilise un DATI, il collecte et traite des données personnelles permettant d’identifier le salarié. Si c’est votre cas, votre objectif est de protéger votre salarié dans sa situation de travailleur isolé. Cette solution de tracking est un dispositif très efficace. En effet, elle permet de localiser un salarié en difficulté afin de lui porter assistance et secours.

En outre, en tant qu’employeur, vous devez pouvoir justifier d’un outil efficace pour la protection de vos salariés. Et ce dernier doit être conforme au RGPD pour le respect de leur vie privée. Pour cela, une analyse d’impact relative à la protection des données vous sera indispensable.

Analyse d’impact relative à la protection des données

Connaissez-vous l’Analyse d’Impact relative à la Protection des Données ? L’AIPD est une procédure de contrôle des données de la vie privée >> prévue à l’article 35 du RGPD. Elle est obligatoire lorsque le traitement de données personnelles est susceptible de présenter un risque. Et d’autant plus que ce risque affecte les droits et libertés des individus concernés.

En clair, le risque est celui d’une atteinte à la confidentialité, à la disponibilité et à l’intégrité des données de la vie privée.

La CNIL a recensé plusieurs opérations sensibles. Elle vise notamment les opérations de traitement des données concernant la surveillance active et continue d’employés. Lorsque vous utilisez un DATI pour la protection du salarié isolé, le choix du prestataire est déterminant. En effet, votre prestataire doit présenter une solution capable de protéger les données à caractère personnel recueillies. Les données de la vie privée du salarié doivent être préservées. A ce titre, le prestataire doit justifier de la mise en place d’une étude d’impact et de mesures de sécurité.

Mise en place d’une analyse d’impact

Tout d’abord, notez que l’analyse d’impact doit contenir la description détaillée de l’opération envisagée ainsi que sa finalité.

Dans votre cas, la priorité est la sécurité du travailleur isolé. Ainsi, l’analyse doit mettre en évidence la nécessité du traitement des données. Ensuite, elle doit prévoir les risques encourus sur les droits et libertés des personnes concernées. L’analyse d’impact se penche également sur les mesures de sécurité pour diminuer les risques.

Vous constatez que votre analyse révèle des risques élevés pour la sécurité des données de la vie privée ? Dans ce cas, le rapport devra être transmis à la CNIL.

Mise en place de mesures de sécurité

Techniquement, vos données contenues dans le DATI doivent être organisées et traitées pour répondre aux exigences du RGPD. Pour ce faire, le fournisseur de votre solution DATI doit nommer un DPO – Data Privacy Officer . Ce dernier est chargé de vous apporter des réponses claires et précises sur la conformité RGPD de la solution. Ainsi, le DPO a pour mission de déployer les méthodes nécessaires pour garantir la protection des données. Il doit ainsi organiser un registre de traitement des données et s’assurer de rendre anonymes les données sensibles. Par conséquent, vous comprenez qu’il a un rôle déterminant dans la protection des données de la vie privée.

En définitive, le respect de la vie privée et la cybersécurité doivent être au cœur des préoccupations dès le design du produit. C’est le concept du Privacy by design >>. L’idée est de ne collecter que les données essentielles et d’en informer la personne. Ainsi, vous bénéficiez d’un outil qui garantit la protection des données. Un outil d’autant plus fiable qu’il repose sur des standards de sécurité élevés et une détection des attaques en temps réel.

Share this post

Partager sur twitter
Partager sur linkedin

Laisser un commentaire