RGPD et données du personnel : 4 conseils pratiques pour le service RH
Le Règlement général sur la protection des données (RGPD) est un règlement européen visant à protéger les données personnelles porte sur la collecte, l’utilisation et la sécurisation des données personnelles. Le RGPD a des implications, limitées ou étendues, pour votre entreprise. Il vaut mieux être en ordre car à défaut, vous risquez des amendes jusqu’à 4 % de votre chiffre d’affaires annuel. Nous vous donnons 4 conseils pratiques pour vous conformer au RGPD et éviter ainsi les amendes.
1. Évaluez vos données personnelles. Vous en avez plus que vous ne le pensez
Que sont ces fameuses données personnelles ? Vous disposez de nombreuses données sur les membres de votre personnel. Celles-ci ne se limitent pas aux nom, prénom, sexe, âge et adresse bien entendu. Vous possédez aussi des évaluations, des images vidéo, des certificats médicaux, des avertissements, des photos sur l’intranet, des données de contrôle des e-mails et de l’utilisation d’Internet, des données sur l’enregistrement du temps, etc. Outre celles-ci, vous disposez peut-être de données de fournisseurs ou de clients et de candidats.
Reprenez un aperçu de toutes ces données personnelles dans un registre de traitement. Celui-ci doit indiquer tous les traitements de données, ainsi que leur finalité et leur fondement (voir ci-après).
2. Vérifiez sur quelle base légale vous pouvez vous appuyer pour l’utilisation des données
Vous devez toujours avoir une base légale pour traiter, enregistrer, transmettre, etc. des données personnelles. Le consentement de la personne concernée constitue une base légale possible, à condition que celui-ci soit libre, spécifique et informé. Un consentement « libre » dans le cadre d’une relation travailleur-employeur est toujours sujet à discussion, certes. D’où ce conseil : appuyez-vous en premier lieu sur une des bases légales suivantes si possible :
- exécution d'un contrat
- respect d'une obligation légale
- intérêt légitime
Si vous pouvez invoquer une des bases susmentionnées, le consentement du travailleur n’est en principe plus nécessaire (même s'il existe quelques exceptions).
Ainsi, la base légale pour le traitement du nom, de l’adresse et du numéro de compte du travailleur est par exemple l’exécution du contrat de travail. Pour utiliser les données d'une évaluation, vous pouvez démontrer un intérêt légitime comme fondement. Si vous souhaitez toutefois utiliser des photos de travailleurs (en interne comme en externe), vous avez toujours besoin du consentement explicite de la personne sur la photo.
3. Élaborez les politiques nécessaires
En outre, le RGPD prévoit une obligation d'information. Cela signifie que vous devez informer votre travailleur ou une autre personne concernée du traitement de ses données personnelles. C’est pourquoi nous conseillons d’établir une politique (« politique de confidentialité ») dans laquelle vous informez vos collaborateurs de la nature des données personnelles que vous collectez, de la finalité et du fondement du traitement. Vous devez leur communiquer la durée pendant laquelle vous conservez ces données ainsi que leurs droits. Enfin, il importe également que vos collaborateurs aient un interlocuteur s’ils ont une plainte ou s'ils souhaitent consulter, modifier ou supprimer leurs données.
Par ailleurs, il est préférable de définir un code de conduite pour vos collaborateurs, dans lequel vous décrivez qui peut traiter les données personnelles de clients, fournisseurs et autres parties prenantes, comment ils doivent s'y prendre et quelles sont les sanctions en cas de non-respect. Un collaborateur peut-il imprimer des documents confidentiels à la maison, par exemple ? Tout le monde possède-t-il un mot de passe personnel, ou tous les postes sont-ils ouvertement disponibles ?
Enfin, nous vous recommandons de vérifier si vos politiques actuelles (concernant Internet et les e-mails, la surveillance vidéo, etc.) sont conformes au RGPD.
4. N'oubliez pas les délais de conservation
Le RGPD stipule que les données personnelles ne peuvent plus être conservées plus longtemps que nécessaire. En gardant à l’esprit cette règle abstraite comme directive, vous devez donc vérifier quel est le délai de conservation légal des différentes données personnelles, en tenant compte de la finalité des données. Si les données dépassent le délai de conservation légal, vous devez les effacer ou les rendre anonymes. Un exemple : combien de temps conservez-vous un avertissement ? En vue de déterminer le délai de conservation, il vaut mieux tenir compte des délais légaux durant lesquels un travailleur peut contester son licenciement.
Vérifiez donc les délais de conservation à l’aide des réglementations en vigueur et cartographiez-les (dans le registre de traitement).
Évitez les amendes en cas de non-respect du RGPD
Les amendes en cas de non-respect du RGPD peuvent être très salées. Assurez-vous que votre entreprise soit conforme au RGPD :
Écrit par
Managing consultant