Se connecter S'abonner S'abonner Pass Créer mon compte Pass
Recherche Magazine Newsletters
Services Appels d'offres Fournisseurs L'industrie recrute Évènements & formations Industrie Explorer Indices & Cotations Webinars Club des Managers de l'innovation
Secteurs
Aéro - Spatial Auto Énergie Santé - Pharma Agro Chimie Matières premières Éco - Social Transports Electronique - Informatique Défense Métallurgie – Sidérurgie Plasturgie Emballage Recyclage BTP Télécoms Biens de consommation Luxe - Cosmétiques Traitement de surfaces
Obsessions
Transition écologique et énergétique Innovations Relocalisation & Made in France Cybersécurité Biosourcé Economie circulaire Nouvelles mobilités Santé et alimentation du futur Transformation numérique Futur du travail Commerce international Capitalisme responsable
Rendez-vous
Le Club des Managers de l'Innovation L'Instant Tech Classement des écoles d'ingénieurs Chroniques L'actualité numérique par L'Usine Digitale Blogs des experts Le Club abonnés Etudes Décarbonation 2030
Régions
Votre région Ain Bouches du Rhône Calvados Gironde Haute-Garonne Hérault Ile de France Ille et Vilaine Isère Loire Loire-Atlantique Loiret Moselle Nord Puy de Dôme Rhône Seine Maritime Var Vendée
Vidéos & Podcasts
L’industrie c’est fou En images Vidéos Podcasts Les rendez-vous de la rédaction
Bienvenue
Mes avantages Mes newsletters Mes magazines Mes informations Mon contrat Pass Indices & Cotations Industrie Explorer Le Club des Managers de l'Innovation
Besoin d'aide ? Déconnexion

Droit et Santé

L’actualité juridique et réglementaire en Sciences de la Vie

Le blog du cabinet Dechert

Pour vos enquêtes internes, avez-vous pensé à la gestion des données personnelles?

Publié le

Pour vos enquêtes internes, avez-vous pensé à la gestion des données personnelles?
© Fotolia

Mener une enquête interne en réponse au signalement d’actes ou de comportements inappropriés s’impose dans de nombreux domaines. Le droit étant peu disert sur la méthodologie à suivre, l’exercice est délicat. Parmi les points insidieux, la question des données personnelles collectées et traitées à l’occasion de l’enquête. Il faut s’assurer de la protection des droits des personnes et garantir la transparence des opérations, tout en maintenant la confidentialité nécessaire à la conduite de l’enquête. Un tour d’équilibriste qui concerne particulièrement les acteurs de la santé, déjà sous les feux des projecteurs de la Cnil.

Quand s’en soucier ?
Le principe est connu : dès lors que le lanceur d’alerte, la victime, la personne mise en cause, et/ou les témoins sont identifiés ou identifiables, l’enquête doit respecter la règlementation relative à la protection des données.

Qui fait quoi ?
Déterminer si l’enquêteur est responsable de traitement ou sous-traitant est essentiel. Le premier détermine les finalités et les moyens du traitement, c'est à dire l'objectif de l’enquête et la façon de la réaliser. Le second traite les données pour le compte, sur la base des instructions et sous l’autorité du premier. De cette qualification découlent les devoirs et responsabilités de chacun.

Faut-il faire une étude d’impact ?
L’opportunité de procéder à une analyse d’impact (AIPD) doit se poser à chaque fois qu’une enquête est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, et ceci même lorsque le responsable de traitement fait appel à un sous-traitant pour conduire les investigations. A de rares exceptions près, la Cnil l’érige comme un préalable au traitement des données collectées à l’occasion d’une enquête. Cela dit, si une AIPD a déjà été conduite pour un traitement de données similaire à celui de l’enquête, l’on peut s’en dispenser.

Une information spécifique est-elle requise ?
La mise en place de tout dispositif de surveillance et de contrôle - dont ceux d’alerte et de traitement des signalements - doit être précédée de la consultation du comité social et économique et de l’information des salariés. Bien qu’indispensables, celles-ci sont-elles suffisantes au stade de l’enquête ? Le plus souvent non. Il faut davantage s’intéresser à la notice d’information remise à chaque personne concernant le traitement de ses données personnelles lorsqu’elle a contracté avec l’entreprise. Si celle-ci aborde le sort des données dans le cadre des enquêtes en suivant les prescriptions de l’article 13 du RGPD (en précisant notamment la finalité du traitement, sa base légale, les destinataires des données, l’usage qui en sera fait et les droits de la personne), une nouvelle information complète, en amont de l’enquête, n’est pas nécessaire. Dans le cas contraire, ces informations doivent être données à chaque personne impliquée avant la collecte de toute donnée personnelle ou de tout témoignage, sauf à justifier du risque qu’un individu, dont les données sont appelées à être indirectement collectées, se dérobe ou détruise des preuves, auquel cas l’information peut ne lui être délivrée qu’a posteriori.

Que peut-on collecter et traiter ?
Le principe de minimisation s’applique. Seules les données adéquates, pertinentes et strictement nécessaires aux finalités de l’enquête peuvent être collectées et traitées. La mise à jour du registre de traitement ne doit pas être omise.

Combien de temps peut-on conserver les données ?
Les données personnelles identifiantes ou identifiables ne peuvent être conservées que le temps nécessaire aux finalités poursuivies. Si aucune suite n’est donnée à l’enquête, les données collectées doivent être détruites ou anonymisées à bref délai. L’anonymisation des rapports d’enquête est cependant bien souvent difficile car l’identification des parties reste possible. Si, au contraire, une procédure disciplinaire ou contentieuse est engagée à l'encontre d’une personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l’enquête peuvent être conservées jusqu'au terme de la procédure ou de la prescription des recours à l’encontre de la décision.

Comment répondre à un exercice du droit d’accès ?
Les personnes entendues bénéficient des droits d’accès, de rectification, de limitation, d’effacement, d’opposition, etc. Le plus utilisé est le droit d’accès, permettant aux intéressés de savoir si des données les concernant sont traitées et d’en solliciter la communication dans un format compréhensible. L’exercice de ce droit peut s’avérer redoutable, tant en termes de moyen d’obtention de preuves que de contraintes pour l’entreprise, laquelle doit organiser ou s’opposer à la communication sollicitée sous un mois. Tout refus de communication doit être soigneusement motivé.

Thibault Meiers, associé National et Maëlle Chausse, collaboratrice chez Dechert

Découvrez sur ce blog

Cabinet Dechert

|

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte