Précédent

RGPD et données du personnel : 4 conseils pratiques pour le service RH

14 octobre 2022 Employeurs
Florence Cordonnier

Le Règlement général sur la protection des données (RGPD) est un règlement européen visant à protéger les données personnelles porte sur la collecte, l’utilisation et la sécurisation des données personnelles. Le RGPD a des implications, limitées ou étendues, pour votre entreprise. Il vaut mieux être en ordre car à défaut, vous risquez des amendes jusqu’à 4 % de votre chiffre d’affaires annuel. Nous vous donnons 4 conseils pratiques pour vous conformer au RGPD et éviter ainsi les amendes.

Temps de lecture: Lire plus tard ?

1. Évaluez vos données personnelles. Vous en avez plus que vous ne le pensez

Que sont ces fameuses données personnelles ? Vous disposez de nombreuses données sur les membres de votre personnel. Celles-ci ne se limitent pas aux nom, prénom, sexe, âge et adresse bien entendu. Vous possédez aussi des évaluations, des images vidéo, des certificats médicaux, des avertissements, des photos sur l’intranet, des données de contrôle des e-mails et de l’utilisation d’Internet, des données sur l’enregistrement du temps, etc. Outre celles-ci, vous disposez peut-être de données de fournisseurs ou de clients et de candidats.

Reprenez un aperçu de toutes ces données personnelles dans un registre de traitement. Celui-ci doit indiquer tous les traitements de données, ainsi que leur finalité et leur fondement (voir ci-après).

2. Vérifiez sur quelle base légale vous pouvez vous appuyer pour l’utilisation des données

Vous devez toujours avoir une base légale pour traiter, enregistrer, transmettre, etc. des données personnelles. Le consentement de la personne concernée constitue une base légale possible, à condition que celui-ci soit libre, spécifique et informé. Un consentement « libre » dans le cadre d’une relation travailleur-employeur est toujours sujet à discussion, certes. D’où ce conseil : appuyez-vous en premier lieu sur une des bases légales suivantes si possible :

  • exécution d'un contrat
  • respect d'une obligation légale
  • intérêt légitime

Si vous pouvez invoquer une des bases susmentionnées, le consentement du travailleur n’est en principe plus nécessaire (même s'il existe quelques exceptions).

Ainsi, la base légale pour le traitement du nom, de l’adresse et du numéro de compte du travailleur est par exemple l’exécution du contrat de travail. Pour utiliser les données d'une évaluation, vous pouvez démontrer un intérêt légitime comme fondement. Si vous souhaitez toutefois utiliser des photos de travailleurs (en interne comme en externe), vous avez toujours besoin du consentement explicite de la personne sur la photo.

3. Élaborez les politiques nécessaires

En outre, le RGPD prévoit une obligation d'information. Cela signifie que vous devez informer votre travailleur ou une autre personne concernée du traitement de ses données personnelles. C’est pourquoi nous conseillons d’établir une politique (« politique de confidentialité ») dans laquelle vous informez vos collaborateurs de la nature des données personnelles que vous collectez, de la finalité et du fondement du traitement. Vous devez leur communiquer la durée pendant laquelle vous conservez ces données ainsi que leurs droits. Enfin, il importe également que vos collaborateurs aient un interlocuteur s’ils ont une plainte ou s'ils souhaitent consulter, modifier ou supprimer leurs données.

Par ailleurs, il est préférable de définir un code de conduite pour vos collaborateurs, dans lequel vous décrivez qui peut traiter les données personnelles de clients, fournisseurs et autres parties prenantes, comment ils doivent s'y prendre et quelles sont les sanctions en cas de non-respect. Un collaborateur peut-il imprimer des documents confidentiels à la maison, par exemple ? Tout le monde possède-t-il un mot de passe personnel, ou tous les postes sont-ils ouvertement disponibles ?

Enfin, nous vous recommandons de vérifier si vos politiques actuelles (concernant Internet et les e-mails, la surveillance vidéo, etc.) sont conformes au RGPD.

4. N'oubliez pas les délais de conservation

Le RGPD stipule que les données personnelles ne peuvent plus être conservées plus longtemps que nécessaire. En gardant à l’esprit cette règle abstraite comme directive, vous devez donc vérifier quel est le délai de conservation légal des différentes données personnelles, en tenant compte de la finalité des données. Si les données dépassent le délai de conservation légal, vous devez les effacer ou les rendre anonymes. Un exemple : combien de temps conservez-vous un avertissement ? En vue de déterminer le délai de conservation, il vaut mieux tenir compte des délais légaux durant lesquels un travailleur peut contester son licenciement.

Vérifiez donc les délais de conservation à l’aide des réglementations en vigueur et cartographiez-les (dans le registre de traitement).

Partagez cet article

Florence Cordonnier_acerta

Écrit par Florence Cordonnier

Managing consultant

Articles liés

Employeurs

Travail hybride et télétravail : ne perdez pas le RGPD de vue

03 septembre 2021
Florence Cordonnier

Dans quelle mesure les PME ont-elles déjà pris des mesures en matière de protection des données personnelles ? Et dans quelle mesure la COVID-19 et le télétravail obligatoire ont-ils eu un impact sur ce point ?

En savoir plus
privacy gdpr_acerta
Employeurs

Cinq conseils pratiques pour que votre organisation se conforme au RGPD

28 janvier 2021
Florence Cordonnier

Votre organisation applique-t-elle bien tous les principes du RGPD ? Toute violation de ce règlement peut mener à de lourdes sanctions. Évitez les amendes grâce à nos conseils pratiques.

En savoir plus
Employeurs

Le RGPD, extrêmement pertinent même en période de coronavirus

02 novembre 2020
Florence Cordonnier

Le RGPD a été relégué quelque peu à l’arrière-plan en raison de la situation actuelle. Pourtant, les directives générales restent en vigueur même maintenant, mais il y a aussi certaines spécificités dont vous devez tenir compte en raison du coronavirus.

En savoir plus