Vous n’avez pas pu passer à côté ces derniers mois. Dès que vous traitez des données à caractère personnel, c’est-à-dire des données qui permettent (in)directement d’identifier une personne physique, par exemple son nom, son numéro de compte bancaire, ses qualifications professionnelles ou les données GPS de son véhicule de fonction, vous êtes tenu de respecter le RGPD, mieux connu sous son acronyme anglais GDPR. C’est donc forcément le cas de vos collaborateurs, et ce peu importe la taille de votre entreprise.
Certes, la (mise en) conformité avec le RGPD signifie d’allouer du temps et des ressources pour vous permettre de voir clair sur ce que vous devez faire…ou pas, par exemple en ce qui concerne la désignation obligatoire, ou facultative, d’un délégué à la protection des données (ou Data Protection Officer en anglais). Et gare aux cancres qui ne s’y conformeraient pas car de (lourdes) sanctions sont prévues ! En cela donc le RGPD est plutôt généralement perçu comme une contrainte.
Pour autant, c’est aussi une opportunité de mettre bon ordre dans ce qui, il faut bien le reconnaître, était jusque-là souvent un « bric-à-brac » d’informations diverses et non-structurées.
Mettez en place le « dashboard » des données que vous traitez
Ainsi, l’obligation d’établir et de maintenir un « registre des activités de traitement », c’est-à-dire un tableau de bord qui résume ce que vous faites des données traitées, par exemple le contrôle sur le lieu de travail ou le processus de recrutement, en indiquant notamment les catégories de données traitées et de destinataires (mais pas les données elles-mêmes), vous permettra dorénavant de davantage maîtriser vos flux RH, notamment au niveau de la gestion et de la conservation des dossiers du personnel. Ce registre sera également bien utile pour la communication obligatoire aux autorités de contrôle en cas de violation de la sécurité de ces données, c’est-à-dire un accès non autorisé à ces données, qu’il soit accidentel ou criminel (à l’instar d’un hacking ou de l’envoi d’une fiche fiscale au mauvais destinataire), lorsque cet accès présente un risque pour les personnes concernées, par exemple une usurpation d’identité.
Informez vos collaborateurs à ce sujet
Si ce registre ne doit pas être accessible aux personnes dont les données sont traitées, le résultat de cet exercice sera néanmoins pertinent pour structurer l’information que vous devez leur communiquer, notamment sur les finalités poursuivies par la collecte et la gestion de leurs données, ainsi que les droits dont elles bénéficient. En l’occurrence, cette information aux travailleurs peut avoir lieu par le biais d’une adaptation du règlement du travail ou d’une déclaration spécifique communiquée sur l’intranet et/ou par email.
Vérifiez que pour chaque traitement il existe un fondement juridique le justifiant
Un point important consiste à vous assurer de disposer de base(s) légale(s) suffisante(s) et valable(s). Pour le dire autrement, les autorités de contrôle sont réticentes à accepter un traitement par un employeur qui serait prétendument basé sur le consentement du travailleur. Vu l’autorité patronale, d’aucuns doutent en effet qu’il puisse s’agir d’un consentement qui doit être libre, spécifique, éclairé et univoque. Dès lors, pour pouvoir justifier les traitements qu’il fait des données de ses collaborateurs, l’employeur s’appuiera le plus souvent sur la nécessité d’exécuter le contrat de travail et/ou celle de respecter une obligation légale à laquelle il est lui-même soumis (par exemple la législation sociale) voire même la poursuite de certains intérêts légitimes (par exemple en cas de géolocalisation des véhicules de société).
Impliquez vos sous-traitants
Enfin, n’oubliez pas que cet exercice concerne aussi vos « sous-traitants », c’est-à-dire celles et ceux qui traitent ces données pour votre compte, par exemple votre secrétariat social ou l’hébergeur cloud de votre logiciel de gestion RH. De fait, le RGPD stipule un certain nombre de mentions qui doivent normalement figurer dans le contrat avec votre sous-traitant. Soyez-y donc attentifs lorsque vous leur communiquez votre projet de contrat ou qu’au contraire, vous recevez leur « template »!
Saisissez cette opportunité
Pourquoi donc estimons-nous que toutes ces démarches constituent une opportunité pour le département RH ? Parce que cette transparence accrue envers vos collaborateurs et la nécessité de veiller à protéger leurs données contre des traitements illicites renforceront leur confiance, et donc leur engagement, envers leur employeur, vous en l’occurrence…
Plus d’informations sur www.autoriteprotectiondesdonnees.be
Avocats chez Younity :
