Comment protéger les données personnelles de vos collaborateurs ?
Quelles règles devez-vous suivre pour collecter, utiliser et protéger les données personnelles de vos collaborateurs ? À l’occasion de la journée européenne de la protection des données qui a lieu le 28 janvier, arrêtons-nous un instant sur les procédures visant à garantir la protection de la vie privée. Il s’agit également d’un sujet pertinent pour le monde des RH, car les organisations disposent souvent de toutes sortes de données sur leurs collaborateurs.
À quoi veille le RGPD ?
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Ce règlement européen fixe des règles en matière de collecte, d’utilisation et de protection des données personnelles. Il s’agit par exemple des données personnelles de vos collaborateurs, mais également par extension des données relatives aux clients.
Le concept de « données personnelles » est très large. Il renvoie non seulement aux données classiques (nom, prénom), mais également aux rapports, aux formulaires d’évaluation, aux photos prises lors des fêtes du personnel ou des formations, etc.
Vous ne respectez pas les règles ? Vous vous exposez alors à une amende très salée. L’Autorité de protection des données (APD) a ainsi infligé une amende de 15 000 euros à une PME qui refusait de clôturer les boîtes mail d’ex-collaborateurs.
Étape par étape vers une protection optimale
Le RGPD est complexe. Le cadre conceptuel n’est pas simple et le règlement impose plusieurs obligations, telles que l’obligation de documentation et l’obligation d’information. Les employeurs ne savent souvent pas par quoi commencer. Ce plan par étapes peut vous mettre sur la bonne voie :
1. Répertoriez toutes les données personnelles à l’aide d’un registre de traitement (registre de données).
Ce registre remplace l’ancienne déclaration à l’APD et fait partie de l’obligation de documentation. En cas de contrôle éventuel, vous pouvez vous attendre à ce que l’on vous demande ce registre à coup sûr. Le registre de traitement doit être actualisé en permanence.
2. Identifiez le fondement juridique sur base duquel le traitement est effectué.
Il existe 4 fondements juridiques :
- l’exécution du contrat ;
- l’obligation légale ;
- l’intérêt légitime ;
- l’autorisation de l’intéressé.
Concernant l’autorisation de l’intéressé, il est indiqué que le consentement doit être libre, explicite et éclairé.
3. Tenez compte de la durée de conservation des données personnelles.
Les données ne peuvent pas être conservées plus longtemps que le strict nécessaire. Vous devez donc suivre les règles propres aux réglementations locales en vigueur afin d’identifier les durées de conservation. Par souci de transparence, classez également ces durées de conservation par thème dans le registre de traitement.
4. Soyez conscient de votre obligation d’information.
Vous devez ainsi informer vos travailleurs des données que vous traitez, des durées de conservation, du droit à l’information s’il est nécessaire de corriger certaines données, etc.
Dans le cadre de cette obligation d’information, vous fixez également les règles à respecter en interne concernant le traitement des données des clients, l’accès aux données des clients et les éventuelles sanctions en cas de violation de ces accords.
Vous pouvez respecter cette obligation d’information en travaillant avec une politique de confidentialité spécifique, par exemple.
Évitez les amendes en cas de non-respect du RGPD
Les amendes en cas de non-respect du RGPD peuvent être très salées. Assurez-vous que votre entreprise soit conforme au RGPD.
Écrit par
Conseillère juridique