Les cinq questions les plus posées sur les données du personnel et le RGPD

Le travail ne sera pas fini le 25 mai, annonce SD Worx

Lundi 14 mai 2018 — Bruxelles - Le Règlement général sur la protection des données – mieux connu comme le RGPD – entrera en vigueur dans dix jours. Les grandes et petites entreprises devront alors satisfaire aux règles européennes renforcées de respect de la vie privée. Quelles sont les questions les plus fréquentes que reçoit SD Worx, prestataire de services RH, à propos du RGPD ? 

Un intérêt accru dix jours avant la date d'entrée en vigueur

Jean-Luc Vannieuwenhuyse Manager au Centre de connaissances juridiques de SD Worx : « "L'échéance" du 25 mai est effectivement réelle. Il est important d'au moins lancer les préparatifs et de poursuivre le travail après le 25 mai. Ce n'est pas un point final. Il y a absolument un intérêt accru ; je ne parlerais pas de panique chez les responsables du personnel. Plus de cinq cents organisations ont déjà participé à des séances d’information que nous organisons nous-mêmes ou en collaboration avec d’autres partenaires. Elles établissent elles-mêmes un aperçu de toutes les données ou nous demandent un examen. Nous les aidons par exemple à rédiger une politique de confidentialité ou à scinder les données à caractère personnel par catégories, comme les avantages des travailleurs, les données relatives aux prestations et les informations de recrutement. Bien que l’échéance se rapproche, il n'est certainement pas encore trop tard. Nous apportons aux entreprises également le soutien supplémentaire dont ils ont besoin après le 25 mai.»

1.Quels sont les délais de conservation des données du personnel ?

La première question fréquemment posée. En tant qu'employeur, pendant combien de temps puis-je conserver les données à caractère personnel et les documents du personnel de mes collaborateurs ? Le RGPD n'impose certes pas de délais de conservation explicites, mais ne permet pas pour autant de garder les données à caractère personnel plus longtemps que le strict nécessaire. Ainsi, la loi stipule par exemple des délais de conservation minimaux pour une série de documents sociaux et fiscaux. Pour les documents qui ne font pas l'objet d'un délai légal, l'employeur devra estimer lui-même pendant combien de temps il les conserve. L'employeur devra alors pouvoir justifier le délai de conservation vis-à-vis de l'autorité de protection des données.

2.Quel est l'impact sur le règlement de travail ou le contrat de travail individuel ?

De nombreux employeurs pensent qu'ils doivent insérer des clauses de protection de la vie privée dans les contrats de travail individuels et les règlements de travail. Ce n'est pas vrai, même si en tant qu'employeur, vous êtes bel et bien tenu d'informer vos travailleurs de ce qui se passe avec leurs données. Une politique de confidentialité est l'idéal à cet effet : en cas de modification de la politique, il est aussi simple d'adapter ce document.

3.Le consentement du travailleur est-il nécessaire pour toutes les données ?

Avez-vous désormais besoin d'une autorisation pour placer une photo de votre travailleur dans l'annuaire téléphonique de l'entreprise ? Avec le RGPD, il n'est plus si simple d'obtenir une autorisation valable au niveau juridique. L'autorisation doit être éclairée et sans équivoque, et avoir été donnée de manière explicite. De plus, quiconque la donne, peut aussi la retirer à tout moment.

Cette forme explicite d'autorisation n'est pas nécessairement requise pour l'administration et la gestion du personnel : vous pouvez vous baser sur la relation contractuelle entre l'employeur et le travailleur. Le contrat que vous avez conclu avec votre collaborateur fait office d'autorisation explicite et vous donne le droit de traiter les données dont vous avez besoin pour remplir votre obligation contractuelle.

4.Sommes-nous tenus de désigner un Data Protection Officer (DPO) et ce DPO est-il protégé contre le licenciement ?

Seules trois sortes d'entreprises sont tenues de désigner un DPO :

  • les entreprises publiques ;
  • les organisations qui traitent des données spéciales, comme des données pénales ;
  • les entreprises qui traitent au quotidien une grande quantité de données à caractère personnel – sensibles ou non – comme les hôpitaux, les assureurs ou les banques.

Il va de soi que toute entreprise peut désigner volontairement un DPO. Un DPO est toujours protégé contre le licenciement, du moment qu'il exécute correctement la fonction.

5.Une PME doit-elle établir un registre des données ?

La Commission vie privée conseille à toutes les entreprises de tenir un registre des données. Les organisations comptant moins de 250 travailleurs sont seulement tenues de reprendre un registre des données avec la gestion normale du personnel et les traitements de données non occasionnels contenant des informations sensibles. En relèvent :

  • les données qui forment un risque pour les droits et libertés d'une personne ;
  • les informations sensibles : race, origine ethnique, conceptions politiques, convictions religieuses ou philosophiques, affiliation à un syndicat, données génétiques et biométriques ou données sanitaires, données portant sur le comportement sexuel ou l'orientation sexuelle ;
  • les informations judiciaires : données sur des condamnations pénales et des faits délictueux ou des mesures de sécurité y afférentes ;
  • les données concernant des tiers, comme des clients ou fournisseurs, et des travailleurs.
Eva De Schryver

Responsable relations de presse SD Worx