Précédent

RGPD et données du personnel : 4 conseils pratiques pour le service RH

04 octobre 2019 Florence Cordonnier Employeurs

Le Règlement général sur la protection des données (RGPD) est entré en vigueur depuis près d’un an et demi déjà. Ce règlement européen visant à protéger les données personnelles porte sur la collecte, l’utilisation et la sécurisation des données personnelles. Le RGPD a des implications, limitées ou étendues, pour votre entreprise.

Plus d'un tiers des PME déclarent dans l’enquête d’Acerta que le RGPD ne constitue pas une norme réaliste pour les plus petites entreprises. Le manque de temps et la complexité de la législation sont souvent les facteurs de mécontentement. Toutefois, il vaut mieux être en ordre car à défaut, vous risquez des amendes jusqu’à 4 % de votre chiffre d’affaires annuel.

Nous vous donnons 4 conseils pratiques pour vous conformer au RGPD et éviter ainsi les amendes.

Temps de lecture: Lire plus tard ?

1. Évaluez vos données personnelles. Vous en avez plus que vous ne le pensez

Que sont ces fameuses données personnelles ? Vous disposez de nombreuses données sur les membres de votre personnel. Celles-ci ne se limitent pas aux nom, prénom, sexe, âge et adresse bien entendu. Vous possédez aussi des évaluations, des images vidéo, des certificats médicaux, des avertissements, des photos sur l’intranet, des données de contrôle des e-mails et de l’utilisation d’Internet, des données sur l’enregistrement du temps, etc. Outre celles-ci, vous disposez peut-être de données de fournisseurs ou de clients et de candidats.

Reprenez un aperçu de toutes ces données personnelles dans un registre de traitement. Celui-ci doit indiquer tous les traitements de données, ainsi que leur finalité et leur fondement (voir ci-après).

2. Vérifiez sur quelle base légale vous pouvez vous appuyer pour l’utilisation des données

Vous devez toujours avoir une base légale pour traiter, enregistrer, transmettre, etc. des données personnelles. Le consentement de la personne concernée constitue une base légale possible, à condition que celui-ci soit libre, spécifique et informé. Un consentement « libre » dans le cadre d’une relation travailleur-employeur est toujours sujet à discussion, certes. D’où ce conseil : appuyez-vous en premier lieu sur une des bases légales suivantes si possible :

  • exécution d'un contrat
  • respect d'une obligation légale
  • intérêt légitime

Si vous pouvez invoquer une des bases susmentionnées, le consentement du travailleur n’est en principe plus nécessaire (même s'il existe quelques exceptions).

Ainsi, la base légale pour le traitement du nom, de l’adresse et du numéro de compte du travailleur est par exemple l’exécution du contrat de travail. Pour utiliser les données d'une évaluation, vous pouvez démontrer un intérêt légitime comme fondement. Si vous souhaitez toutefois utiliser des photos de travailleurs (en interne comme en externe), vous avez toujours besoin du consentement explicite de la personne sur la photo.

3. Élaborez les politiques nécessaires

En outre, le RGPD prévoit une obligation d'information. Cela signifie que vous devez informer votre travailleur ou une autre personne concernée du traitement de ses données personnelles. C’est pourquoi nous conseillons d’établir une politique (« politique de confidentialité ») dans laquelle vous informez vos collaborateurs de la nature des données personnelles que vous collectez, de la finalité et du fondement du traitement. Vous devez leur communiquer la durée pendant laquelle vous conservez ces données ainsi que leurs droits. Enfin, il importe également que vos collaborateurs aient un interlocuteur s’ils ont une plainte ou s'ils souhaitent consulter, modifier ou supprimer leurs données.

Par ailleurs, il est préférable de définir un code de conduite pour vos collaborateurs, dans lequel vous décrivez qui peut traiter les données personnelles de clients, fournisseurs et autres parties prenantes, comment ils doivent s'y prendre et quelles sont les sanctions en cas de non-respect. Un collaborateur peut-il imprimer des documents confidentiels à la maison, par exemple ? Tout le monde possède-t-il un mot de passe personnel, ou tous les postes sont-ils ouvertement disponibles ?

Enfin, nous vous recommandons de vérifier si vos politiques actuelles (concernant Internet et les e-mails, la surveillance vidéo, etc.) sont conformes au RGPD.

4. N'oubliez pas les délais de conservation

Le RGPD stipule que les données personnelles ne peuvent plus être conservées plus longtemps que nécessaire. En gardant à l’esprit cette règle abstraite comme directive, vous devez donc vérifier quel est le délai de conservation légal des différentes données personnelles, en tenant compte de la finalité des données. Si les données dépassent le délai de conservation légal, vous devez les effacer ou les rendre anonymes. Un exemple : combien de temps conservez-vous un avertissement ? En vue de déterminer le délai de conservation, il vaut mieux tenir compte des délais légaux durant lesquels un travailleur peut contester son licenciement.

Vérifiez donc les délais de conservation à l’aide des réglementations en vigueur et cartographiez-les (dans le registre de traitement).

Le RGPD est complexe. Vous ne savez pas par où commencer ? Suivez donc une de nos formations pour vous y mettre concrètement :

Partagez cet article
Florence Cordonnier

Écrit par Florence Cordonnier

Managing consultant

Articles liés

Se conformer au RGPD : pas mission impossible
Employeurs

Se conformer au RGPD : pas mission impossible

30 octobre 2018

Le dernier mot concernant le RGPD n’a pas encore été écrit. Une étude menée par ACERTA montre que plus de 90 % des PME belges prêtent attention à cette réglementation européenne. Son application pratique est en revanche une autre paire de manches.

En savoir plus