Prêt(e) pour le GDPR ?

Aujourd’hui, le GDPR (General Data Protection Regulation), aussi appelé RGPD en francais, entre officiellement en vigueur. Si vous traitez les données personnelles de candidats, travailleurs et clients, vous devrez dorénavant respecter les règles du GDPR.

En tant que responsable du traitement, vous avez entre autres :

• une obligation de documentation pour laquelle vous utilisez un registre de données ;
• une obligation d’information vis-à-vis de votre personnel comme de vos candidats ;
• une obligation d’engager un DPO (Data Protection Officer ou responsable de la protection des données) si certaines conditions sont remplies ;
• une obligation de ne pas conserver les données personnelles plus longtemps que nécessaire.

Soyez conscient(e) des risques. Le contrôle du respect des nouvelles obligations incombe à une autorité de protection des données. En Belgique, ce rôle est réservé à la Commission vie privée. Les sanctions en cas d’application incorrecte du GDPR sont diverses et variées et peuvent aller d’un avertissement ou un blâme à une amende salée ou encore une interdiction temporaire de traiter des données.  

Obligation de documentation : établir un registre des données

Chaque traitement de données personnelles par l’employeur doit en principe être noté dans le registre des données. Un exemple d’un tel registre peut être consulté sur le site web de l’Autorité de protection des données. Ce registre des données devra entre autres comporter l’objectif et les fondements juridiques des traitements, les catégories des données personnelles...

L'obligation de tenir à jour ce registre est en règle générale d’application pour les entreprises comptant au moins 250 travailleurs.
Attention cependant, de plus petites entreprises seront dans certains cas tenus d’établir un registre de données. C’est par exemple le cas lorsqu’une entreprise de moins de 250 travailleurs :

• traite des informations sensibles ou des données personnelles sur une base non occasionnelle. Si l’entreprise effectue des activités en lien avec la gestion du personnel, l’autorité de protection des données ne considère pas ceci comme un traitement non occasionnel. Dans ce cas, vous devez disposer d’un registre. Selon l’autorité de protection des données, les entreprises de moins de 250 travailleurs peuvent aussi se limiter à la reprise dans le registre des données de traitements non occasionnels.
• enfin, un registre est également dû lorsque le traitement pose un risque pour les droits et libertés des personnes intéressées.

Obligation d'information

Vous être tenu(e) d’informer votre personnel et vos candidats du fait que vous traitez des données personnelles.

Vous pouvez respecter l’obligation d’information en optant par exemple pour :

• une annexe au règlement de travail ;
• une annexe au contrat de travail ;
• une politique de confidentialité spécifique.

Soyez conscient(e) du fait que les intéressés jouissent de droits plus étendus, dont le droit de consulter, modifier, adapter, supprimer, limiter ou transférer.


Éventuellement l’obligation d’engager un DPO

Vous devez avoir un DPO (responsable de la protection des données) :

• si vous êtes un service public ;
• si votre activité principale se compose d’une observation de données personnelles à grande échelle, régulière et systématique ;
• si vous traitez des données sensibles à grande échelle.

Le DPO doit entre autres :

• informer et conseiller l’employeur et les travailleurs à propos du GDPR ;
• vérifier si les traitements des données personnelles se déroulent conformément au GDPR ;
• faire office de personne de contact pour l’autorité de contrôle.

Veillez aux délais de conservation des données personnelles !

Le GDPR ne détermine pas de délais de conservation précis. Le GDPR prévoit en revanche que dans le cadre des données personnelles :

• soit un délai de conservation précis doit être déterminé
• soit vous devez établir des critères sur la base desquelles le délai de conservation peut être déduit.

Vous tenez donc concrètement compte des dispositions légales prévues pour déterminer les délais de conservation. Ainsi, des délais de conservation spécifiques sont par exemple prévus pour des documents sociaux spécifiques.