Reliance
Newsflash

RGPD : Des nouvelles obligations RH? Des outils adaptés mis à votre disposition

Partager

A quelques semaines de l’entrée en application du Règlement Général sur la Protection des Données (« RGPD », plus connu sous son vocable anglais « GDPR »), chacun se concentre sur les actions à entreprendre pour se conformer aux nouvelles règles applicables dès le 25 mai prochain. La gestion des ressources humaines implique le traitement de nombreuses données à caractère personnel. Une attention particulière doit dès lors être portée à la conformité des traitements de données à caractère personnel des travailleurs.

Rappel sur le RGPD

Le RGPD est une opportunité de définir une politique claire, transparente et sécurisée de traitements de données à caractère personnel qui ne pourra qu’être profitable à votre réputation en qualité d’employeur. Son respect vous permettra d’éviter de nombreux désagréments dans les négociations individuelles ou collectives. Par ailleurs, en cas de manquement, les sanctions prévues sont très élevées.

La réglementation est construite autour de l’idée suivante : le responsable du traitement doit pouvoir assurer que les données ne sont traitées que pour la finalité légitime annoncée, dans la seule mesure nécessaire à cette finalité, et avec exactitude et sécurité (principes de finalité – licéité – transparance – intégrité – minimilisation – exactitude).

Toutes les entreprises ou organisations qui collectent, traitent ou stockent des données à caractère personnel relatives à des citoyens de l’Union européenne doivent respecter le RGPD.

L’objectif du RGPD est :

  • de protéger les personnes physiques contre le traitement abusif de leurs données à caractère personnel et, en conséquence, de protéger leur vie privée ;
  • tout en permettant la libre circulation des données dans l’Union européenne.

Pour ce faire, le RGPD a :

  • prévu une application uniforme dans l’ensemble de l’Union européenne ;
  • renforcé le contrôle/les droits des personnes concernées ;
  • renforcé la transparence et l’information sur les traitements mis en place ;
  • renforcé les sanctions et amendes les portant jusqu’à 4% du chiffre d’affaires annuel mondial total.

Conséquences pour les ressources humaines

La gestion des ressources humaines implique la collecte et le traitement de nombreuses données qui doivent être cartographiées dans un registre interne.

Toute entreprise ou organisation de plus de 250 travailleurs est tenue d’établir une cartographie de ses traitements de données à caractère personnel en établissant un registre des traitements. Les entreprises occupant moins de 250 travailleurs seront également tenues à cette obligation notamment si elles procèdent à des traitements qui ne sont pas occasionnels. En pratique, une grande majorité des employeurs sera tenue d’établir un tel registre des traitements. Plusieurs traitements sont susceptibles d’intervenir au cours de la vie du contrat de travail :

Candidature et recrutement

Le futur employeur doit prévoir une information et un consentement sur la collecte, le traitement et le stockage de données à caractère personnel au moment de la réception des données (case à cocher sur un site internet, accord écrit, retour d’email, etc.).

Un traitement de données à caractère personnel intervient dès l’instant où un candidat postule (envoi d’un curriculum vitae, d’une lettre de motivation, création d’un fichier de candidats, etc.). Dès cet instant, vous avez l’obligation – en qualité de responsable de traitement – d’informer le candidat sur l’utilisation que vous entendez faire des données ainsi récoltées. Avant d’envisager une quelconque utilisation des données, vous devrez donc veiller à obtenir et pouvoir établir le consentement du candidat.

Vous ne pourrez en outre pas conserver et stocker les données de vos candidats de façon indéfinie. Ainsi, il n’est pas possible de conserver les curriculum vitae de vos candidats sous prétexte que vous pourriez en avoir « un jour » besoin. Vous ne pourrez conserver ces curriculum vitae que pour autant que vous en ayez informé le candidat et uniquement pour la durée initialement prévue (et limitée à ce qui est nécessaire).

Lors du recrutement ou à la réception de candidatures, vous devrez donc veiller à :

  • informer les candidats sur les traitements qu’implique leur candidature ;
  • obtenir au préalable leur consentement sur le traitement de leurs données à caractère personnel (autorisation écrite ou case à cocher sur la plateforme électronique) et le conserver ;
  • déterminer une politique de stockage des données collectées lors du recrutement.

Des spécificités devront en outre être prévues en cas de recrutement en-dehors de l’Union européenne, si le recrutement implique des décisions individuelles fondées sur un traitement automatisé  (chatbot) ou encore si vous travaillez avec des sociétés de recrutement.

 Conclusion du contrat de travail

L’employeur doit informer les travailleurs quant aux traitements de données à caractère personnel et leurs finalités et pouvoir justifier leur base légale. Des données à caractère personnel sont récoltées afin de permettre l’exécution du contrat de travail et un avenant au contrat de travail contenant ces informations devrait être soumis à la signature de chaque travailleur.

La conclusion d’un contrat de travail impose le traitement de données à caractère personnel. Ces traitements pourront se fonder sur différentes bases légales (notamment la nécessité pour l’exécution du contrat de travail, une obligation légale ou le consentement). Vu le déséquilibre entre l’employeur (responsable de traitement) et le travailleur, la validité d’un consentement donné lors de la conclusion du contrat sera sujet à caution. Dans quelle mesure en effet ce consentement est-il libre ? (pas de consentement, pas de contrat de travail). Chaque traitement devra donc idéalement se fonder sur une autre base légale. Il s’agira le plus souvent de la nécessité au regard de l’exécution du contrat de travail.

La conclusion du contrat de travail est l’occasion d’informer adéquatement les travailleurs quant aux données à caractère personnel qui seront traitées à leur sujet. Vous devrez également informer les travailleurs des destinataires de leurs données (tels que les sous-traitants comme le secrétariat social). En outre, le transfert des données en-dehors de l’Union européenne devra également faire l’objet d’une information et, dans certains cas, d’un accord particulier du travailleur. Enfin, une attention spécifique devra être portée au traitement de données « particulières » (telles que celles qui seraient liées à la santé), en principe interdit mais pour lequel des dérogations existent.

Afin de répondre à ces exigences d’information, nous vous conseillons de soumettre à la signature de vos travailleurs un avenant distinct du contrat de travail informant le travailleur des catégories de données traitées et des finalités poursuivies. Ce document devra également être soumis à la signature des travailleurs déjà en service lors de l’entrée en application du RGPD.

Vie du contrat de travail

La transparence est essentielle en matière de traitement de données à caractère personnel. Sans une information claire et adéquate sur les traitements que vous opérez, certaines données ne pourront pas être utilisées. Ceci peut être très handicapant, par exemple dans le cadre d’un litige ultérieur.

Au fur et à mesure de l’exécution du contrat de travail, de nombreuses données à caractère personnel seront récoltées et traitées : données nécessaires au payroll, informations liées à la gestion de carrière (évaluations, sanctions disciplinaires, mobilité interne, etc.), données relatives à l’implication du travailleur dans la vie collective (élections sociales), informations liées à l’utilisation du matériel de l’entreprise (ordinateur, GSM, GPS, etc.) ou encore informations résultant des moyens de sécurité mis en place (badge, vidéosurveillance, etc.).

Ces informations ne pourront être traitées par l’employeur que pour autant qu’une base légale le permette et qu’une information préalable ait été communiquée aux travailleurs. A défaut de veiller dès aujourd’hui à pouvoir utiliser certaines de ces informations, il pourrait s’avérer difficile de les exploiter ultérieurement (par exemple dans le cadre d’un litige lors de la rupture du contrat de travail). La conclusion d’un avenant au contrat de travail tel que décrit ci-dessus est dès lors essentielle.

Il faudra par ailleurs également veiller à respecter les autres réglementations liées à l’utilisation de certains outils (par exemple la vidéosurveillance) et à adapter les polices et le règlement de travail existants.

Fin du contrat de travail

Une procédure de sortie claire et transparente est essentielle pour éviter une fuite de données lors de la fin du contrat de travail et assurer la sécurité de chacun. Le rôle de l’employeur consiste donc à déterminer ces procédures et à ne pas conserver au-delà de ce qui est nécessaire des données concernant les travailleurs sortis.

Lorsqu’un contrat de travail prend fin, certaines mesures doivent être adoptées afin de déterminer le sort des données récoltées mais aussi afin d’assurer la sécurité de chacun. Il est donc essentiel de définir une procédure de sortie prévoyant à tout le moins :

  • le sort des boîtes d’emails/des emails ;
  • le retour des appareils mis à disposition et le sort des données qui y figurent ;
  • le sort du dossier personnel du travailleur ;
  • la fin des accès au réseau de l’entreprise, aux bâtiments, etc. ;
  • la durée de conservation des différents éléments récoltés.

Période ultérieure à la fin du contrat de travail

Les données des travailleurs devront être conservées suffisamment longtemps pour respecter vos obligations légales ainsi que pour faire face à une éventuelle procédure judiciaire. Une analyse de l’existence des délais légaux de conservation ainsi que des délais de prescription est donc nécessaire pour déterminer la durée de conservation optimale des données.

Les données à caractère personnel des travailleurs sortis pourront être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (limitation de conservation).

Tout employeur doit dès lors définir une durée de conservation des données qu’il récolte. Le moment où l’effacement des données devra intervenir dépendra de:

  • l’existence d’une base légale à la conservation (par exemple : délais de conservation des documents sociaux imposés par la loi) ;
  • la durée des délais de prescription (conservation des données suffisamment longtemps afin de pouvoir faire face à une éventuelle procédure en justice) ;
  • l’existence de besoins spécifiques liés à l’entreprise.

La durée de conservation pourra varier d’une entreprise à l’autre et d’une donnée à l’autre. L’employeur doit toutefois pouvoir justifier son choix de durée de conservation des données.

L’employeur doit également veiller à organiser son archivage adéquatement et détruire de façon sécurisée les dossiers papiers de ses travailleurs.

Conclusion

Il n’est pas trop tard pour se conformer au RGPD ou pour améliorer les procédures en place. Anticiper et encadrer vos traitements de données à caractère personnel pour assurer la sécurité de tous.

Le RGPD ne se limite pas aux ressources humaines d’une entreprise. Ce seul volet implique déjà à lui seul un nombre important de traitements qu’il faut pouvoir encadrer.

Afin d’aider les entreprises à gérer ces traitements, le RGPD a créé un nouvel acteur dans le traitement de données, à savoir le délégué à la protection de données. Ce délégué doit informer et conseiller le responsable de traitement, contrôler le respect du règlement et coopérer avec l’autorité de contrôle dont il est le point de contact dans l’entreprise. Un tel délégué peut être externe à l’entreprise et est obligatoire pour :

  • les entreprises publiques ou organismes publics ;
  • les entreprises qui procèdent à des traitements à grande échelle de données à caractère personnel particulières (ex: les hôpitaux) ;
  • les entreprises dont l’activité de base consiste à procéder à des traitements qui par leur nature, leur portée et/ou leur finalité imposent un suivi régulier et systématique à grande échelle (ex: entreprises de recrutement).

Afin de vérifier la conformité de votre entreprise au RGPD, vous devrez principalement :

  • pouvoir établir une cartographie des traitements de données à caractère personnel ;
  • pouvoir démontrer que ces traitements se font, sur le plan technique et organisationnel, conformément au RGPD (mise en place de règles internes – règlements, contrats, etc. – et de processus pour démontrer le fondement des traitements, leurs finalités, l’information des travailleurs, la minimisation, ) ;
  • veiller à ce que les sous-traitants à qui vous confiez le traitement des données de vos travailleurs présentent eux-mêmes toutes les garanties de respect sur le plan technique et organisationnel et conclure avec eux des conventions reprenant les mentions imposées par le RGPD ;
  • établir des procédures de sécurité et veiller au maintien de cette sécurité en cas de transfert des données en dehors de l’Union européenne ;
  • établir des procédures permettant de réagir en cas de violation des données (dans les 72 heures).

Reliance peut vous aider dans ces tâches – en ce compris en assumant le rôle de délégué à la protection des données au sein de votre entreprise –. N’hésitez pas à consulter notre page Web https://reliancelaw.be/en/gdpr dédiée au RGPD sur laquelle vous pourrez trouver certains documents types. Nous restons en outre à votre disposition. N’hésitez pas à nous contacter.

Stéphanie De Ridder

 

 

Partager