Du bon usage du RGPD

Les données de paie font partie des données à caractère personnel couvertes par la RGPD. Donc en Europe les pays qui ont transcrit la RGPD en droit local doivent avoir mis une obligation pour l’employeur de mettre en œuvre les moyens de les communiquer de manière confidentielle.

J’imagine qu’une boîte peut rendre les salaires publics (via le contrat de travail), mais sûrement pas le bulletin lui-même (les arrêts maladie et le taux d’imposition à la source ça pose problème).

Le RGPD est règlement, pas une directive, il n’a pas à être transcrit dans le droit national pour être applicable dans tous les pays de l’UE.
Le salaire n’y est pas considéré comme une catégorie de donnée particulière(art. 9). Il est donc permis de le partager si cela répond à une finalité déterminé est que le traitement repose sur l’une des liceités de l’article 6 (au hasard, le consentement des intéressés).

C’est pour ça que je parlais des données de paie et pas du salaire. On est bien d’accord.

Pour l’adaptation en droit national, même si ça n’est pas une directive il faut un décret :

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038528420&categorieLien=id

Nope, ca c’est pour la loi informatique et libertés, qui n’est pas une retranscription du RGPD. Promis, c’est mon métier :wink:

Je ne remets absolument pas en doute tes compétences. Je lis juste au JO :

Titre II : TRAITEMENTS RELEVANT DU RÉGIME DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PRÉVUE PAR LE RÈGLEMENT (UE) 2016/679 DU 27 AVRIL 2016

(Article 72) En application de l’article 40 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants soumettent un projet de code de conduite, une modification ou une prorogation d’un code existant à la Commission nationale de l’informatique et des libertés.
La commission approuve ce projet de code, cette modification ou cette prorogation dans un délai de quatre mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande est réputée rejetée.
Si la commission saisit, en application du 7 de l’article 40 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, le comité européen de la protection des données mentionné à l’article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu’à la notification de l’avis rendu par ce comité ou, le cas échéant, de la décision prise par la Commission européenne, en application des règles relatives au mécanisme de contrôle de la cohérence. La commission informe le demandeur de cette saisine et des suites de celle-ci.

Il a bien fallu aligner la loi informatique et liberté sur le droit européen. Sinon en fait il n’y avait pas de mécanisme pour valider ce que faisaient les entreprises, au niveau du droit français.

Si je me trompe je suis super intéressé par une explication.

Toujours non, le rgpd est applicable quoi qu’il en soit, la loi I&L précise les articles pour lesquels le RGPD laisse une marge d’adaptation aux états membres (traitements portant sur les données de santé en particulier) mais ça ne conditionne absolument pas son applicabilité.
Bref, si tu penses que tu as raison, ça ne me pose pas de problème. Ce n’est juste pas comme ça que fonctionne un règlement européen dans la hiérarchie des normes.

(Si un modo veut forker la conversation sur un autre thread ça m’intéresse de continuer :slight_smile: )

Je suis d’accord que le règlement s’applique en droit européen. Mais en pratique une entreprise n’aurait pas pu travailler avant le décret en droit français au JO (sauf à vouloir se payer un second audit une fois les ajustements français faits).

Si. Je suis desolé pour le HS. Mais tout simplement, si. Les règlements européens sont applicables immédiatement sans retranscription. https://europa.eu/european-union/eu-law/legal-acts_fr

Et autant te dire qu’on a pas attendu la Loi Informatique et Liberté 3 pour appliquer le RGPD

Je te suis sur le : réglement européen -> loi applicable.

Ce qui m’intrigue c’est la phase où le réglement existe mais pas le décret et l’implémentation en droit français : tu as un cadre réglementaire européen, et des processus et des recours européen, mais rien en France (ou que des choses par défaut) ?

En France la CNIL a distribué des sanctions RGPD plusieurs fois avant que la loi I&L 3 ne soit publiée. Le règlement a force de loi.

Dans ma boîte qui gère des données personnelles particulièrement sensibles, nous nous préparions au RGPD 2 ans avant qu’il ne soit applicable, parce qu’il n’était pas question des ne pas être conforme à temps (et à raison, restrospectivement)

1 J'aime

Tiens ce thread tombe bien raccord avec un commentaire de cette vidéo :

SI le mec était en France (ou Europe) pourrait-il invoquer la RGPD pour connaitre la raison de son ban ? Je suis curieux (perso je pense pas).

Il pourrait demander ses données perso à Blizzard, oui.

Qui les aura peut être déjà anonymisées en cas de ban définitif (là ça dépend leurs process de traitement de données internes), donc rien à lui transmettre et un compte définitivement impossible à relier à ses données privées.

Et même une fois les données reçues il se peut très bien que ce ban n’ait pas stocké de justification ou que ce ne soit pas compréhensible à base de codes, genre ban = panda.

Bref c’est pas gagné qu’il aurait eu une quelconque justification.