En règle avec le RGPD

Le nouveau Règlement général sur la protection des données. Il y avait et il y a encore beaucoup de choses à faire. À juste titre, car la vie privée ne doit pas être prise à la légère. Et durant cette ère numérique, il convient de mieux délimiter le terrain de jeu. Toutefois, la nouvelle réglementation a causé beaucoup de confusion et de doutes dans les entreprises, les organisations non marchandes et les instances publiques, alors qu’il est justement très important d’appliquer correctement le RGPD. Si les règles ont été durcies, la probabilité d’écoper d’une amende salée augmente également : jusqu’à 4 pour cent de votre chiffre d’affaires annuel, avec un maximum de 20 millions d’euros. Pas de stress ! Nos juristes maîtrisent la matière et partagent volontiers leurs connaissances avec vous.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données a vu le jour afin de mieux protéger les données à caractère personnel dans un environnement numérique. Cette législation est très vaste et a un impact sur toute entreprise ou organisation qui traite les données de collaborateurs, candidats, clients, fournisseurs, prestataires de services, etc.

Les dix mesures les plus importantes

Nous parcourons brièvement les principales nouvelles mesures que vous devez prendre :

  1. Justification des efforts liés au RGPD. Le respect de la vie privée des personnes doit être garanti. Vous devez pouvoir démontrer que vous avez pris les mesures nécessaires pour protéger les données à caractère personnel de manière convaincante.
  2. Consentement explicite pour l’utilisation des données. Dans la plupart des cas, vous avez besoin d'une autorisation expresse pour enregistrer et traiter des données à caractère personnel.
  3. Prudence avec les données sensibles. Pour les données sensibles (santé, conviction politique, religion, race, etc.), des règles encore plus strictes sont d'application.
  4. PIA: vos systèmes sont-ils conformes en matière de vie privée ? Des Privacy Impact Assessments (PIA) ou évaluations de l'impact sur la vie privée doivent systématiquement être prévus lors de la conception de systèmes d'information ou de la création de bases de données. Il en résulte que, lors du développement de nouveaux produits, vous devez immédiatement prendre en considération les valeurs clés du respect de la vie privée.
  5. Transparence à tout moment. Vous devez communiquer de manière compréhensible quelles données vous collectez, ce que vous en faites et combien de temps vous les conservez.
  6. Droit de propriété des personnes. Vous devez tenir compte de droits supplémentaires : droit de consultation, droit à l'oubli, droit de rectification.
  7. Justification du respect. Vous devez à tout moment pouvoir démontrer votre conformité, notamment à l'aide d'un registre de données.
  8. Communication immédiate des fuites de données. Toute fuite de données doit être signalée dans les 72 heures à l'instance européenne. Vous devez ensuite immédiatement agir pour remédier au problème.
  9. Désignation d’un DPO. Une instance publique ou une entreprise exerçant le contrôle et/ou traitement d'une grande quantité de données sensibles doit désigner un Data Protection Officer (DPO, délégué à la protection des données).
  10. Législation en vigueur dans le monde entier. Le RGPD s’applique à toute organisation qui traite des données personnelles de citoyens de l’Union européenne, partout dans le monde.

Les conséquences pour vous

Le plus grand changement concerne l’enregistrement et la conservation de données à caractère personnel. Les travailleurs, candidats, fournisseurs et prestataires de services ont le droit de savoir ce que l'on fait de leurs données personnelles. Cela a un impact sur la façon dont les informations du payroll, les informations générales sur les travailleurs, les CV, les données médicales, les rapports d'entretiens de fonctionnement, etc. sont traités.

Cinq points d’attention

  1. 1. Il n'est plus permis de conserver des données indéfiniment

    En vertu du nouveau règlement, vous ne pouvez pas conserver de données plus longtemps que nécessaire. Cela signifie, par exemple, que les données de candidats qui n'ont pas été retenus doivent être supprimées après la clôture de la procédure. De même, les données de travailleurs qui quittent l'entreprise ne peuvent être conservées que brièvement.

    2. L'échange de données est limité

    Si votre entreprise échange régulièrement des données à caractère personnel avec d'autres entreprises, il est important de conclure un bon contrat de traitement des données. Il convient de se mettre d'accord sur la durée, la description et les finalités du traitement de données, les mesures de protection, etc.

    3. Les données demandées doivent être axées sur un objectif

    Vous ne pouvez consulter que les données dont vous avez vraiment besoin pour accompagner la carrière de votre travailleur. Vous devez obtenir une autorisation expresse pour toutes les autres données. Cela s'applique, par exemple, aussi au contrôle de l'utilisation d'Internet, à l'enregistrement d'images caméra, etc.

    4. Les données demandées doivent être utilisées avec cohérence

    Vous pouvez uniquement utiliser les données pour l'objectif pour lequel elles ont été demandées. Ainsi, il n'est plus permis, par exemple, d'enregistrer sans autorisation des coordonnées personnelles dans un talent pool.

    5. Transparence

    En cas d'information pour laquelle le consentement des collaborateurs est requis, il faut aussi retenir quand celui-ci a été donné. Les travailleurs ont le droit de savoir qui a accès à quelles données, et ils ont le droit de retirer leur consentement. Ils ont en outre le droit de corriger les données. Le droit à l'oubli est tout à fait nouveau. Exemple : lorsqu'un travailleur quitte l’entreprise, il peut vous demander d’effacer ses données à caractère personnel.

Conformez votre entreprise au RGPD

Il est donc grand temps de porter un regard critique sur vos procédures, processus et politiques internes. Acerta ne serait pas Acerta si nous n'avions pas réfléchi à la façon dont nous pouvons vous aider concrètement. C’est pourquoi nous avons développé quatre service packs : Basic, Premium Class, First Class et All-in.

Spécialement pour les PME

Vous trouverez plus d'informations sur le site web de l’Autorité de protection des données (www.autoriteprotectiondonnees.be). La brochure RGPD vade-mecum pour les PME vous met déjà sur la voie concernant la réglementation et les obligations qui valent spécifiquement pour les PME. En outre, Acerta dispose d'une offre de base pour les PME.

  • Registre de traitement RGPD – grâce à notre connaissance de l’administration du personnel et des salaires, nous avons développé un registre dans lequel vous renseignez comment vous traitez les données de vos travailleurs, comme le demande la nouvelle réglementation en matière de vie privée. Vous consignez aussi d’autres données à caractère personnel, comme celles de clients ou de fournisseurs ? Dans ce cas, vous pouvez aussi utiliser et compléter le registre à cet effet.
  • Aperçu des données à caractère personnel collectées - Chaque travailleur a le droit de demander les données conservées à son égard. C’est pourquoi nous avons compilé les données que vous nous confiez dans le cadre de l’administration du personnel et des salaires dans des fiches d’information individuelles. Vous pouvez les remettre facilement à votre collaborateur.

Vous avez besoin d'une assistance plus concrète ? Dans ce cas, faites appel aux consultants juridiques d’Acerta. Nous avons développé un forfait RGPD qui s’adresse spécialement aux PME. Nous vous aidons volontiers à mener à bien votre politique en matière de vie privée.
Pendant une concertation dans votre entreprise :

  • Nous vous sensibilisons à la réglementation et à son impact sur votre entreprise.
  • Nous évaluons les points à améliorer et nous établissons un plan d’action pour conformer votre entreprise au RGPD sur le plan des ressources humaines.

Avec l’expérience acquise, vous pouvez aussi appliquer le RGPD dans les autres départements de votre organisation.

Abonnement RGPD

Dans notre formule d’abonnement, nous faisons office de caisse de résonnance et nous vous offrons une assistance juridique dans les domaines suivants :

  • Questions juridiques sur la mise en place du RGPD dans l’entreprise
  • Révision de documents dans le cadre du RGPD (par exemple politique en matière de caméras, contrats de travail, politique track and trace)
  • Rédaction de nouveaux documents (par exemple politique de gestion des données de travailleurs par l’entreprise, politique pour les codes de comportement à respecter par les travailleurs lorsqu’ils entrent en contact avec les données à caractère personnel de tiers, de fournisseurs, etc.)

Politiques en matière de RGPD

D’une part, vous devez établir un code de comportement pour informer votre travailleur des données à caractère personnel que vous traitez le concernant et lui expliquer pourquoi vous les traitez, combien de temps vous les conservez, quels droits il a, etc.

D’autre part, il vaut mieux rédiger une politique pour vos travailleurs lorsqu'ils sont en contact avec des données à caractère personnel confidentielles de clients, fournisseurs, etc. tous les jours dans l’exercice de leur fonction.

Pour l’adaptation de votre règlement de travail, nous avons créé les documents suivants :

  • Une Employee privacy policy : ce code de comportement reflète la manière (confidentielle) dont vous gérez les données à caractère personnel de vos travailleurs.
  • Une Company privacy policy : ce code de comportement détermine comment votre personnel doit gérer les données et les informations de tiers (fournisseurs, clients, etc.).

Ces documents peuvent être joints au règlement de travail ou conclus comme convention individuelle. Sur demande, nos consultants rédigent ces politiques d’après les besoins de votre entreprise.

Formations sur le RGPD

Besoin d’explications approfondies sur le règlement européen de protection des données ? Nos formations vous aident à faire vos premiers pas pour évaluer vos flux de données et en adapter la gestion. De plus, nous vous fournissons des instruments pratiques que vous pouvez immédiatement utiliser dans votre organisation.