Tous les employeurs sont concernés par ce nouveau règlement européen, et ce peu importe la taille de l'entreprise. Dès que vous traitez des données à caractère personnel, c'est-à-dire des données qui permettent (in)directement d'identifier une personne physique, par exemple son nom, son numéro de compte bancaire, ses qualifications professionnelles ou les données GPS de son véhicule de fonction, vous êtes tenu de respecter la législation sur la vie privée. C'est donc forcément le cas de vos collaborateurs.
...

Tous les employeurs sont concernés par ce nouveau règlement européen, et ce peu importe la taille de l'entreprise. Dès que vous traitez des données à caractère personnel, c'est-à-dire des données qui permettent (in)directement d'identifier une personne physique, par exemple son nom, son numéro de compte bancaire, ses qualifications professionnelles ou les données GPS de son véhicule de fonction, vous êtes tenu de respecter la législation sur la vie privée. C'est donc forcément le cas de vos collaborateurs. Ce nouveau règlement (mieux connu sous son acronyme anglais GDPR) vient non seulement renforcer la législation existante, par exemple au niveau des informations à communiquer aux personnes concernées, mais crée également de nouvelles obligations à charge de celles et ceux qui traitent ces données, par exemple en ce qu'il leur impose, dans certains cas, de désigner un délégué à la protection des données. Et gare aux cancres qui ne s'y conformeraient pas car de (lourdes) sanctions sont prévues ! Comment procéder en pratique ? Tout d'abord, allouez du temps et des ressources à ce projet. Pourquoi ? Parce que cela vous permettra de voir clair sur ce que vous devez faire... ou pas. Il est possible que certaines obligations ne soient pas nécessaires, par exemple si rien ne justifie de réaliser ce qu'on appelle un privacy impact assessment, c'est-à-dire une analyse d'impact lorsque certains traitements font encourir des risques élevés sur la vie privée des personnes concernées. Le groupe de travail européen indépendant Article 29 considère que cette analyse est nécessaire, par exemple, en cas de cybersurveillance au bureau. Si vous devez connaître précisément les données de vos collaborateurs, il vous faudra préciser les finalités légitimes que vous poursuivez en traitant ces données (par exemple l'administration du personnel ou le contrôle sur le lieu de travail). Une fois réalisé ce data mapping, vous devrez vous assurer de disposer d'une base légale suffisante. Les autorités de contrôle sont en effet réticentes à accepter un traitement par un employeur qui serait prétendument basé sur le consentement du travailleur car vu l'autorité patronale, d'aucuns doutent en effet qu'il puisse s'agir d'un consentement libre, spécifique, éclairé et univoque. Dès lors, pour pouvoir justifier les traitements qu'il fait des données de ses collaborateurs, l'employeur s'appuiera le plus souvent sur la nécessité d'exécuter le contrat de travail et/ou celle de respecter une obligation légale à laquelle il est lui-même soumis (par exemple la législation sociale). Toutes ces informations devront d'ailleurs figurer dans un registre électronique qu'il faudra tenir à disposition des autorités de contrôle. A cet égard, il est utile de souligner que la dérogation visée dans le GDPR pour les organisations occupant moins de 250 employés a une portée très limitée. En effet, pour la Commission Vie Privée, la gestion du personnel est une activité qui empêche d'en bénéficier. En d'autres termes, la tenue de ce registre paraît inévitable. Avoir une bonne compréhension de ce que vous collectez comme données et de ce que vous en faites est essentiel. Cela vous permettra d'adopter les mesures nécessaires en connaissance de cause (ainsi que de les documenter), par exemple au niveau de l'information à communiquer à vos collaborateurs. Enfin, n'oubliez pas que cet exercice concerne aussi vos sous-traitants, c'est-à-dire ceux qui traitent ces données pour votre compte, par exemple votre secrétariat social ou l'hébergeur cloud de votre logiciel de gestion RH. De fait, le GDPR stipule un certain nombre de mentions qui doivent normalement figurer dans le contrat avec votre sous-traitant. Soyez-y donc attentifs ! Plus d'informations sur www.privacycommission.be