La fin de la relation de travail constitue souvent une situation délicate, d’autant que certaines obligations continuent de s’imposer aux parties après la rupture du contrat de travail. C’est notamment le cas en matière de confidentialité et de protection des données. Afin d’éviter les conséquences dommageables, surtout pour l’employeur, il convient de pointer quelques principes de base.
1. Rappeler au travailleur sortant ses obligations de confidentialité
L’article 17, 3°, a) de la loi du 3 juillet 1978 relatives aux contrats de travail prévoit une obligation générale de confidentialité pour le travailleur (secret de fabrication, secret d’affaires, etc.), tant au cours du contrat qu’après la cessation de celui-ci. Le libellé de cet article est parfois repris in extenso dans le contrat de travail. Il arrive également qu’une clause de confidentialité détaille les informations couvertes et les éventuelles sanctions encourues (en général, des dommages et intérêts dont l’application reste toutefois à l’appréciation du Tribunal).
Afin de protéger les données de l’entreprise, il convient pour l’employeur de rappeler au travailleur sortant la persistance de ses obligations légales de confidentialité (par exemple, dans la lettre de licenciement). En l’absence de clause de confidentialité dans le contrat de travail, il est recommandé de conclure une convention transactionnelle reprenant une clause de confidentialité, voire d’autres clauses protectrices, comme une clause interdisant la copie et l’effacement par le travailleur des données professionnelles informatisées, une clause relative aux médias sociaux, etc.
2. Limiter la communication relative à la fin de la relation de travail
Certaines entreprises ont l’habitude d’annoncer les changements de personnel par email, sur leur intranet, voire sur leur site internet. Si de telles communications peuvent être considérées comme nécessaires eu égard à l’exécution du contrat et la politique du personnel, encore faut-il qu’elles soient conformes au principe de minimisation des données (art. 5.1.c du RGPD), c’est-à-dire qu’elles soient adéquates, pertinentes et limitées à ce qui est strictement nécessaire.
Dans ses dernières décisions (n° 14/2023 du 17 février 2023 et n° 63/2021 du 1er juin 2021) l’Autorité de Protection des Données rappelle que l’employeur doit s’abstenir de communiquer des informations telles que: la partie à l’initiative de la rupture, l’effet immédiat de la rupture, ou encore que la rupture a été décidée après des avertissements et des entretiens.
3. Bloquer la boite email professionnelle
Le compte email professionnel d’un travailleur n’est pas toujours systématiquement bloqué après son départ, par exemple parce que l’employeur souhaite ne pas perdre des messages professionnels importants, ou tout simplement par oubli. Or, le fait de conserver des comptes email d’anciens travailleurs a été considéré comme contraire aux principes de finalité, de licéité, de traitement minimal des données et de limitation de conservation.
Dans une importante décision (n° 64/2020 du 29 septembre 2020), l’Autorité de Protection des Données a sanctionné un employeur pour avoir tardé à fermer les boites email professionnelles de travailleurs sortants. Elle rappelle également les lignes directrices en cas de départ des travailleurs (triage des emails privés et professionnels par le travailleur avant son départ effectif, blocage des comptes emails au moment du départ effectif, message d’information, suppression du compte après un délai raisonnable (par exemple 1 mois, maximum 3 mois). Il est vivement recommandé de fixer ces procédures dans une politique IT.
4. Répondre à toute demande du travailleur concernant son dossier professionnel
Un travailleur sortant peut demander un accès aux données à caractère personnel le concernant (art. 15.1 du RGPD), par exemple une copie de ses évaluations professionnelles. En pratique, une telle demande intervient souvent en préparation d’un litige, en même temps qu’une demande des motifs de licenciement sur base de la CCT n° 109 concernant la motivation du licenciement (ou à la place d’une telle demande, par exemple lorsque le travailleur ne remplit pas les conditions d’ancienneté posée dans la CCT n° 109). L’employeur ne peut pas se contenter de décliner une telle demande ou de tarder à y répondre au motif qu’elle porterait atteinte aux droits et libertés d’autrui ou violerait la confidentialité des informations de l’entreprise.
En vertu du RGPD (art. 12.3), le responsable du traitement chez l’employeur doit fournir à la personne concernée des informations sur les mesures prises à la suite de la demande, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande, ou doit informer la personne concernée que le délai d’un mois est prolongé de deux mois au vu de la complexité de la demande (Autorité de Protection des Données, Ordonnance n° 70/2020 du 27 octobre 2020). Le cas échéant, les données à caractère personnel de tiers peuvent être anonymisées par l’employeur en vue de répondre favorablement à la demande du travailleur.
5. Fixer un délai de conservation des données des travailleurs
Le RGPD (art. 17) prévoit l’obligation pour l’employeur de ne pas conserver les données des travailleurs si celles-ci ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Aucun délai n’est toutefois fixé par le RGPD. D’un autre côté, l’article 3, §3 de la loi du 3 juillet 1978 relative aux contrats de travail prévoit, pour l’archivage électronique, un délai de conservation de cinq ans à compter de la fin du contrat de travail, et les articles 2, 2° et 25 de l’arrêté royal du 8 août 1980 relatif à la tenue des document sociaux, prévoient un délai similaire pour certains documents sociaux.
Un délai de conservation de cinq ans à compter de la fin du contrat de travail est recommandé pour la conservation des données du travailleurs sortants (hormis pour l’adresse email professionnelle, voir ci-dessus). Ce délai correspond en effet aux dispositions légales précitées ainsi qu’à la prescription de certaines actions naissant du contrat de travail (art. 5.60 du Code civil et art. 162 du Code pénal social). L’employeur veillera à fixer ce délai dans le registre des activités de traitement et la politique IT.
|
Découvrez Exconflicto, votre allié pour gérer les conflits dans l’entreprise de manière durable et efficace. Visitez Exconflicto pour des solutions et des conseils pratiques. |
À propos des auteurs
Johan Collard – Senior Associate, Osborne Clarke & Elisabeth Vleurinck – Junior Associate, Osborne Clarke
