Le RGPD et les ressources humaines en bref


90305

 

GDPR veut dire General Data Protection Regulation. En Français on parle du Règlement General Protection des Données ou RGPD. Ce règlement européen a comme but de faire respecter de la même façon le droit à la vie privée de chaque citoyen de l’Union Européenne si on traite des données à caractère personnel de lui.
Dans le cadre des ressources humaines un employeur traite des données à caractère personnel de postulants, travailleurs, intérimaires et collaborateurs indépendants. Il est donc obligé de respecter les règles du RGPD.

1. Données à caractère personnel

Sont e.a. des données à caractère personnel:

  • les nom, prénom et coordonnées;

  • les évaluations du personnel et attestations médicales;

  • les informations relatives aux pages Internet visitées par une adresse IP;

  • les données de localisation (par ex. localisation via une application d’un smartphone);

  • une liste des matricules des personnes qui travaillent à mi-temps;

  • des images vidéo;

  • les données relatives à la santé, les données génétiques et les données biométriques en vue de l’identification unique d’une personne, Les données à caractère personnel qui révèlent l’origine raciale ou ethnique, la vie sexuelle ou l’orientation sexuelle, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données judiciaires relatives aux condamnations pénales et aux infractions (ces données à caractère personnel sont des données sensibles et bénéficient d’une plus grande protection).

2. Traitement de données à caractère personnel

Des exemples de traitement sont la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

3. Le registre des activités de traitement

L’employeur est responsable du traitement de ces données personnelles dans le cadre des ressources humaines et il effectue cette opération sur une base régulière. Il doit dès lors prévoir un registre qui reprend les différents processus et situations dans lesquels il traite ces données personnelles.

Ce registre doit reprendre les éléments suivants :

  • Son identité et celle du délégué à la protection des données (voir plus loin) ;
  • l’objectif de chaque traitement ;
  • par traitement : les données concernées et celui qui effectue le traitement ;
  • par traitement : celui (dans l’UE ou ailleurs) qui reçoit ces données ;
  • le délai pendant lequel il conservera ces données ;
  • la manière dont il les protège.

L’employeur trouvera un modèle de registre des activités de traitement en tant que responsable du traitement sur dossier GDPR.

4. Déclaration de confidentialité sur la protection du traitement des données

L’employeur devra avertir ses postulants, travailleurs, intérimaires et collaborateurs indépendants qu’il traite leurs données personnelles. Il fera cela en établissant une déclaration de confidentialité sur la protection du traitement

  • le fait qu’il traite leurs données personnelles ;
  • ce qui le permet de traiter ces données personnelles. Cela peut être:

des données dans laquelle il communique aux personnes concernées:

  1. il a besoin de ces données personnelles pour pouvoir exécuter le contrat de travail : par exemple le contrat de travail l’oblige à payer un salaire ;
  2. il doit respecter des obligations légales : par exemple DIMONA, DMFA, déclaration fiscale;
  3. il a un intérêt justifié et il explique aux personnes concernées pourquoi il va introduire cela: par exemple géolocalisation, vidéosurveillance, contrôle de l’utilisation d’internet et des courriers électroniques,
  4. s’il n’entre dans aucune des catégories ci-dessus, il a leur autorisation;
  • l’objectif pour lequel il traite ces données personnelles;
  • que les données personnelles qu’il traite sont exactes et à jour ;
  • qu’il ne traitera que les données strictement nécessaires pour atteindre l’objectif en question : par exemple pour encoder une déclaration DIMONA il n’a pas besoin de données médicales;
  • qu’il conservera ces données uniquement le temps nécessaire;
  • qu’il protégera ces données, afin qu’elles ne tombent pas aux mains de tiers ;
  • l’identité du délégué à la protection des données (voir plus loin) ;
  • s’il compte transférer ces données en dehors de l’Union européenne et, dans l’affirmative, les garanties nécessaires en matière de vie privée ;
  • le droit des personnes concernées par rapport aux données traitées :
  1.  le droit à l’information;
  2.  le droit de consulter les données;
  3.  le droit de les corriger;
  4.  le droit de les faire effacer, si elles ne sont plus nécessaires;
  5. le droit d’en limiter le traitement;
  6. le droit de s’opposer au traitement;
  7.  le droit de les faire exporter;
  8.  le droit ne de pas être soumis à une prise de décision automatisée;
  9.  le droit d’introduire une plainte auprès de la commission pour la vie privée par rapport au traitement.

L’employeur veille à que ses postulants, travailleurs, intérimaires et collaborateurs indépendants aient pris connaissance de cette déclaration. Par exemple, il les remet contre accusé de réception cette déclaration de confidentialité sur la protection du traitement des données.

L’employeur trouvera un modèle de déclaration de confidentialité sur la protection du traitement des données sur le site dossier GDPR.

5. Le délégué à la protection des données

L’employeur doit désigner un délégué à la protection des données (aussi appelé DPO) si :

  •  Il est une instance gouvernementale ;
  • Si son activité principale consiste à observer des individus à grande échelle, régulièrement et systématiquement ;
  •  S’il traite des données sensibles à grande échelle.

Ce délégué veillera au respect du RGPD dans son entreprise.

6. L’analyse d’impact relative à la protection des données

Si le traitement des données personnelles présente un risque important pour les droits et les libertés des personnes concernées, l’employeur doit effectuer au préalable une analyse d’impact relative à la protection des données.

La commission de protection de la vie privée doit encore préciser les types de traitements qui nécessitent une telle analyse.

7. Passer un contrat avec un prestataire de service externe

Si l’employeur transmet les données personnelles de ses collaborateurs à un prestataire de service externe (par exemple, un secrétariat social), ce prestataire doit offrir des garanties suffisantes afin que les données soient traitées de façon confidentielle, comme il doit le faire lui-même.

Dans le cadre de l’administration des salaires que l’employeur soustraite à  Group S – Secrétariat social ASBL, et le traitement des données personnelles qui s’en suit, la convention d’affiliation entre parties sera modifiée par une annexe pour que les engagements de chaque partie dans le cadre du RGPD soient fixés.  Cette annexe est basée sur un code de bonne conduite établi par l’Union des Secrétariats Sociaux.

Le prestataire de service externe doit également fournir à l’employeur toutes les informations nécessaires pour qu’il puisse contrôler si les engagements pris ont été respectés.

8. Les fuites de données

Il doit consigner dans un registre interne toutes les fuites de données (ordinateur volé, clé USB perdue, cyberattaque, etc.) qui pourraient rendre publiques des données personnelles de ses postulants, travailleurs, intérimaires et collaborateurs indépendants.

Si une telle situation se présente, il doit avertir :

  •  la commission de protection de la vie privée, dans les 72 heures après la détection de la fuite, s’il existe un risque pour les droits et les libertés de ses postulants, travailleurs, intérimaires et collaborateurs indépendants;
  • ses postulants, travailleurs, intérimaires et collaborateurs indépendants collaborateurs, s’il existe un risque élevé pour leurs droits et leurs libertés.

Si la fuite s’est produite chez un fournisseur de service externe (par exemple, Group S), ce dernier doit lui en avertir pour qu’il puisse transmettre les informations nécessaires à la commission de protection de la vie privée et/ou à ses postulants, travailleurs, intérimaires et collaborateurs indépendants.

9. Sanctions

La commission de protection de la vie privée pourra infliger à l’employeur une amende administrative s’il ne respecte pas les dispositions du RGPD :

  •  infraction simple : 10.000.000 euros, ou 2 % du chiffre d’affaires annuel ;
  •  infraction grave : 20.000.000 euros, ou 4 % du chiffre d’affaires annuel.