G.E.I.E Securex Corporate
Siège social: avenue de Tervueren 43, 1040 Bruxelles
Numéro d'entreprise: TVA BE 0877.510.104 - RPM Bruxelles

Vie privée

1. Le traitement de données à caractère personnel dans le cadre de la gestion de votre personnel

Introduction

La Belgique a déjà adopté des règles strictes en matière de protection de la vie privée auxquelles les employeurs étaient tenus de se conformer : le respect de la vie privée, reconnu par l’article 8, 1° de la CEDH1 et par l’article 22 de la Constitution, doit être garanti tout au long de l’exécution du contrat de travail et pas uniquement au moment du recrutement et du licenciement.

À ces dispositions, s’ajoute désormais le Règlement européen 2016/679 ("Règlement général sur la protection des données", ci-après RGPD), publié le 4 mai 20162. Ce règlement est directement applicable dans tout état membre de l’UE, et donc pas uniquement en Belgique, depuis le 25 mai 2018. Il régit également la relation de travail3.

Le contexte des relations de travail représente toutefois un domaine spécifique quant à l’application de la protection des données à caractère personnel. En effet, deux principes s’affrontent ici :

Bien que le RGPD vise à harmoniser la réglementation en matière de protection des données à caractère personnel au sein de l’Union européenne4, il prévoit toutefois une exception pour le domaine des relations de travail, en raison, précisément, des principes précités. Les états membres ou des conventions collectives de travail peuvent, par conséquent, imposer, au niveau sectoriel ou de l’entreprise, des règles spécifiques concernant le traitement des données à caractère personnel des travailleurs dans le cadre des relations de travail. Ces règles concernent, plus particulièrement, les conditions dans lesquelles les données à caractère personnel collectées dans le cadre des relations de travail peuvent être traitées aux fins :

Par souci de clarté, ce dossier consacré à la protection de la vie privée dans le cadre des relations de travail est découpé en 9 parties :

La première partie est consacrée aux obligations de l’employeur en matière de traitement de données à caractère personnel dans le cadre de la gestion du personnel.

 


1 Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

2 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:3201 6R0679&from=EN.

3 Étant donné que, depuis le 25 mai 2018, tant l’employeur que le législateur belge sont tenus de respecter le RGPD, notre réglementation devra être remplacée par une loi-cadre.

4 Le Groupe de travail article 29, organe consultatif et de concertation européen indépendant, composé des autorités nationales de contrôle, a par exemple pour mission de promouvoir l’application uniforme de la législation européenne en matière de protection de la vie privée au sein des États membres, par le biais notamment de recommandations concernant l’interprétation de certaines obligations incombant au responsable du traitement.

Quelles sont les données à caractère personnel visées par le RGPD ?

Qu’est-ce qu’une donnée à caractère personnel ?

Identification directe ou indirecte d’une personne

Par "données à caractère personnel", il y a lieu d’entendre toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une "personne physique identifiable" une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Dans le cadre des relations de travail, il peut, par exemple, s’agir des données suivantes : nom, prénom, numéro de personnel, adresse, rémunération, numéro de compte, statut social, adresse e-mail, numéro de registre national, photo, empreinte digitale, numéro de téléphone privé ou professionnel...

Données à caractère personnel sensibles

Le traitement de données à caractère personnel sensibles est en principe interdit. Il s’agit des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle est également interdit.

Le traitement de ces données est toutefois autorisé :

  • si la personne intéressée y a expressément consenti (à moins que le traitement de ces données ne soit impossible en vertu du droit national applicable)5 ;
  • si le traitement est nécessaire en matière de droit du travail et de la sécurité sociale ;
  • si le traitement porte sur des données à caractère personnel rendues publiques par la personne concernée ;
  • si le traitement est nécessaire à l’exercice de droits en justice ;
  • si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur dans la mesure où ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel ou sous sa responsabilité.

L’employeur ne peut ainsi ignorer qu’un de ses travailleurs est délégué syndical dès lors qu’il doit tenir compte de la protection contre le licenciement accordée à ce dernier.

Conclusion : dans le cadre des relations de travail, le traitement de ce type de données à caractère personnel est donc parfois autorisé, mais requiert une certaine prudence.

Deux traitements différents dans le cadre des relations de travail

Concrètement, l'employeur procède principalement aux traitements de données suivants : 1) l'administration du personnel et des salaires, 2) la gestion du personnel et l'organisation du travail et 3) le contrôle sur le lieu de travail.

Dans la plupart des entreprises, ces deux volets forment un tout. Les logiciels ainsi que les dossiers du personnel contiennent des données à caractère personnel utilisées pour l’administration tant des salaires que du personnel. Si, dans la pratique, ces traitements ne doivent pas être scindés, ils doivent toutefois être mentionnés séparément dans le registre des données.

Données à caractère personnel dans le cadre de l’administration du personnel et des salaires

Il s’agit des données à caractère personnel prescrites par les lois, règlements et directives en matière de droit du travail, de sécurité sociale, de législation fiscale, adoptées au niveau régional, fédéral et international, y compris les conventions collectives et individuelles de travail ainsi que les règlements de travail.

Cela concerne l'administration des salaires, indemnités et commissions.

Le responsable du traitement est, en l’occurrence, l’employeur. En tant que secrétariat social, Securex est considéré comme sous-traitant principal pour l’administration des salaires.

Données à caractère personnel dans le cadre de la gestion du personnel et de l'organisation du travail

Il s’agit des données à caractère personnel traitées au sein de l’entreprise, mais qui ne sont pas directement prescrites par des dispositions légales, réglementaires ou conventionnelles en matière d’emploi, et qui ne peuvent dès lors être classées dans le volet "administration des salaires".

Ces données sont plus particulièrement liées à la sélection, au recrutement, à la formation, aux avantages sociaux, à l’organisation du travail, à la planification des carrières, aux appréciations et évaluations, etc.

Les données enregistrées au sein de l’entreprise dans le cadre de l’administration du personnel ne sont pas traitées par Securex. En effet, elles ne sont normalement pas visées par les missions d’un secrétariat social. Securex n’intervient donc pas en tant que sous-traitant pour l’administration du personnel des entreprises. Le responsable du traitement est ici aussi l’employeur.

Données à caractère personnel dans le cadre du contrôle sur le lieu de travail

Il s'agit des données à caractère personnel qui sont traitées lors du contrôle, via une caméra ou des systèmes informatiques tels que le contrôle des e-mails, de l'usage d'internet, du téléphone…, de l'activité professionnelle sur le lieu de travail.

 


5 Il convient de souligner le caractère précaire du consentement du travailleur dans le cadre d’une relation de travail, vu le rapport d’autorité existant entre l’employeur et le travailleur.

L’employeur doit-il tenir un registre des activités de traitement ou registre de données pour le traitement de données à caractère personnel ?

Qui doit tenir un registre de données ?

Le RGPD oblige le responsable du traitement (ou son représentant) ainsi que les sous-traitants à conserver une documentation interne concernant les activités de traitement effectuées sous leur responsabilité6. Il s’agit du registre des activités de traitement ou registre de données.

Cette obligation remplace l’ancienne obligation de déclaration auprès de la Commission de la protection de la vie privée7.

Presque toutes les entreprises sont obligées de tenir un registre de données

La tenue d’un registre de données est obligatoire pour toutes les entreprises occupant plus de 250 travailleurs. Les entreprises de plus petite taille sont uniquement obligées de tenir un registre :

  1. si le traitement effectué porte sur certaines catégories particulières de données ou sur des données relatives à des condamnations pénales et à des infractions ; OU
  2. si le traitement effectué est susceptible de comporter un risque pour les droits et libertés des personnes concernées ; OU
  3. si le traitement effectué n’est pas occasionnel.

Cette dernière exception implique que pratiquement tous les employeurs devront tenir un registre de données. Selon l’Autorité de protection des données, la gestion du personnel constitue en effet un traitement non occasionnel.

Enfin, l’Autorité de protection des données recommande à toutes les entreprises de tenir un registre de données, et ce même si cette obligation ne leur est pas applicable.

Vous trouverez de plus amples informations à ce sujet ainsi qu’un schéma reprenant les situations dans lesquelles la tenue d’un registre est obligatoire sur le site web de l’Autorité de protection des données.

 

Quelles informations doit contenir le registre de données ?

Ce registre donne une vue d’ensemble des activités de traitement effectuées au sein d’une entreprise. Il fait par ailleurs office de document justificatif quant aux traitements de données à caractère personnel détenues par l’entreprise.

Le registre doit se présenter sous une forme écrite (ou électronique) et doit être clair et compréhensible. Il doit comporter les informations suivantes :

  • Qui ? Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Pourquoi ? Les finalités du traitement ;
  • Quoi ? Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Où ? Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ; le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, éventuellement, les documents attestant de l’existence de garanties appropriées ;
  • Combien de temps ? Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Comment ? Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

Ce registre de données ne contient donc pas que des informations relatives aux traitements effectués dans le cadre de l'administration du personnel - et personnes intermédiaires, aux traitements effectués dans le cadre de la gestion du personnel - et personnes intermédiaires - et aux traitements effectués dans le cadre de l'organisation du travail. Il répertorie en effet également les traitements concernant la gestion clients ou fournisseurs, les données de vidéosurveillance...

Vous pouvez obtenir gratuitement un modèle de registre de données auprès de l’Autorité de protection des données.

Sanction en cas d’absence de registre de données

Toute violation de cette obligation peut faire l’objet d’une amende administrative pouvant s’élever jusqu’à 10 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu8.

L’autorité de contrôle peut par ailleurs exercer tous les pouvoirs d’enquête dont elle dispose à l’égard du responsable du traitement et du sous-traitant dès lors qu’ils ne respectent pas leur obligation de tenir un registre9.

 


6 Article 30 du RGPD.

7 Depuis le 25 mai, cette commission a cédé la place à l’Autorité de protection des données.

8 Article 83,4 du RGPD

9 Article 58 du RGPD.

Qu’implique l’obligation d’information à l’égard des travailleurs ?

Le RGPD étend encore davantage l’obligation d’information

L’obligation d’information, qui existait pourtant déjà, a été étendue avec l’entrée en vigueur du RGPD.

Cette obligation d’information implique en effet que le travailleur concerné doit disposer, au plus tard au moment où les données en question sont obtenues, des informations suivantes10 :

  • l’identité et l’adresse du responsable du traitement, en l’occurrence l’employeur,
  • si la communication de données à caractère personnel constitue une obligation légale ou contractuelle ou une condition nécessaire à la conclusion d’un contrat ainsi que les conséquences en cas de non-communication desdites données ;
  • les finalités du traitement des données à caractère personnel (administration du personnel et personnes intermédiaires et/ou gestion du personnel et organisation du travail) ;
  • les catégories de données traitées et la source d’où elles proviennent (si les données ne sont pas collectées directement auprès de la personne concernée) ;
  • le(s) destinataire(s) des données11 ;
  • les droits des travailleurs et à qui ils peuvent s’adresser pour les exercer : droit d’accès, de rectification ou d’effacement des données à caractère personnel, droit d’en limiter le traitement, droit à la portabilité des données et droit de s’opposer au traitement.

Le RGPD oblige toutefois également l’employeur à communiquer au travailleur les informations suivantes :

  • la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée12 ;
  • lorsque le traitement est fondé sur le consentement du travailleur, le droit de retirer ledit consentement à tout moment ;
  • le droit d’introduire une réclamation auprès de l’autorité de contrôle.

De quels droits le travailleur doit-il être informé ?

Le travailleur dispose de plusieurs droits à l’égard du traitement de ses données à caractère personnel et l’employeur est tenu de l’en informer.

Le droit d’accès et de copie implique pour le travailleur qu’il peut demander au responsable du traitement si des données à caractère personnel le concernant font l’objet d’un traitement. Il a également le droit d’accéder aux données traitées par l’employeur, d’être informé des finalités du traitement, de la source d’où elles proviennent (lorsqu’elles n’ont pas été collectées auprès du travailleur même), des destinataires auxquels elles sont communiquées, de la durée de conservation des données envisagée, de l’utilisation éventuelle de ces données aux fins d’une prise de décision automatisée et, le cas échéant, des modalités afférentes à cette utilisation, de l’éventuelle intention du responsable du traitement de transférer les données vers un pays non membre de l’Union européenne ainsi que des autres droits dont il dispose à l’égard des données à caractère personnel le concernant. Le travailleur a aussi le droit d’obtenir gratuitement une copie de ces données à caractère personnel.

Le travailleur dispose par ailleurs du droit d’obtenir la rectification de toutes les données à caractère personnel le concernant qui sont inexactes. Il peut également demander l’effacement de toutes les données à caractère personnel qui sont non pertinentes ou erronées, dont la communication ou la conservation est interdite et de celles qui ont été conservées plus longtemps que nécessaire. Il peut aussi en interdire l’utilisation13. L’employeur peut donc uniquement refuser l’effacement et poursuivre le traitement des données à caractère personnel si ce dernier est nécessaire à l’exercice de droits en justice à l’encontre, p. ex., d’un ancien travailleur.

La réglementation prévoit aussi un droit d’opposition. Lorsque la personne concernée exerce ce droit, l’employeur doit cesser le traitement des données, à moins qu’il ne puisse invoquer un motif légitime ou que ledit traitement soit nécessaire à l’exercice de droits en justice. Ce droit n’est pas d’application lorsque le traitement des données à caractère personnel repose sur des motifs légitimes et impérieux qui l’emportent sur les intérêts, les droits et libertés du travailleur. Le droit d’opposition ne peut dès lors être exercé lorsque le traitement de données à caractère personnel est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (un contrat de travail, par exemple), ou découle du respect d’une obligation incombant au responsable du traitement (telle que, par exemple, le paiement des cotisations sociales).

Le travailleur est également en droit d’obtenir la limitation du traitement. Cette limitation doit être mentionnée dans le dossier. L’employeur ne pourra, dans ce cas, traiter les données à caractère personnel du travailleur concerné qu’avec le consentement de ce dernier, pour l’exercice de droits en justice ou pour la protection des droits de tiers.

Le travailleur dispose, enfin, du droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (par exemple, candidatures via Internet sans intervention humaine). Ce droit n’est toutefois pas applicable lorsque cette décision est nécessaire à l’exécution du contrat, autorisée par la réglementation nationale ou fondée sur le consentement explicite de la personne. Dans pareils cas, des mesures appropriées doivent toutefois être mises en œuvre.

À quel moment le travailleur doit-il être informé ?

Lorsque les données à caractère personnel sont collectées auprès du travailleur même, l’employeur doit lui fournir les informations énoncées ci-dessus au plus tard au moment où lesdites données sont obtenues. Ces informations ne doivent plus être communiquées si le travailleur en a déjà connaissance.

Lorsque les données à caractère personnel ne sont pas collectées auprès du travailleur même, l’employeur est également tenu de lui fournir les informations, sauf dans la mesure où :

  • la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés ;
  • l’obtention des informations est expressément prévue par la loi ; ou
  • les données à caractère personnel doivent rester confidentielles.

Il est dès lors recommandé d’informer le travailleur du traitement des données à caractère personnel qui le concernent et des droits dont il dispose à cet égard dès la prise de cours du contrat de travail.

Comment le travailleur doit-il être informé ?

Forme et accessibilité

L’obligation d’information dans le cadre du traitement n’est soumise à aucune condition de forme. Le Groupe de travail article 29 recommande toutefois une information écrite, mais ne mentionne aucune condition de forme. Il peut donc être tenu compte de toutes les circonstances de la situation.

Le Groupe de travail 29 recommande une information dite "par couches". L’attention doit être portée en priorité sur les détails concernant les finalités du traitement, l’identité du responsable du traitement, la description des droits de la personne concernée et les informations qui auront le plus d’impact sur le travailleur ou le candidat.

L’employeur doit pouvoir se justifier et démontrer que les travailleurs ont obtenu des informations précises et exactes. Les moyens utilisés aux fins de cette notification importent peu. Il doit en revanche veiller à ce que le travailleur ne soit pas contraint de rechercher lui-même les informations et prendre les mesures actives nécessaires pour lui fournir ces renseignements, ou du moins attirer de manière active son attention sur ces derniers (par le biais, p. ex., d’une vidéo, d’un e-mail, de séances d’information...).

Dans le cadre des relations de travail, ces informations peuvent être transmises de différentes manières. La notification peut :

  • soit être annexée au règlement de travail via la procédure classique. Techniquement, le règlement de travail ne doit toutefois faire l’objet d’aucune adaptation ;
  • soit être signée par chaque travailleur ;
  • soit être publiée de manière claire sur l’intranet à l’attention des travailleurs ;

La notification peut par ailleurs être adaptée en cas de nouvelles situations. Aussi est-il recommandé d’opter pour un document ou une procédure flexible.

Langage utilisé et libellé

Il est conseillé d’éviter les textes longs et confus. Le Groupe de travail 29 recommande le recours à un texte structuré (p. ex., table des matières, sous-titres, modèles...). Le langage utilisé doit être clair et compréhensible et, par conséquent, adapté au public cible. Il est, par exemple, déconseillé d’utiliser des termes vagues ou le mode conditionnel (p. ex., "ces informations pourraient être utilisées aux fins de…").

Solution : politique de confidentialité ou clause

Toutes ces conditions et obligations ont été prises en compte lors de l’établissement du modèle de politique de confidentialité à l’attention des travailleurs proposé par Securex. Ce document peut être obtenu (moyennant paiement) auprès de votre Legal Advisor ou via notre e-Shop. Securex a par ailleurs inséré dans les fiches de travailleurs une clause d’information à faire signer et compléter en partie par ces derniers.

Lorsqu’ils postulent à un poste, l’employeur est également tenu d’informer les candidats de sa politique de confidentialité. Pour répondre à cette obligation, il peut, par exemple, insérer une clause spécifique dans les questionnaires ou formulaires utilisés lors des entretiens d’embauche. Votre Legal Advisor peut vous aider à rédiger les clauses en matière de respect de la vie privée.

 


10 Le 'Groupe de travail article 29' a émis une recommandation concernant la transparence dans le cadre de la protection des données à caractère personnel. Ce Groupe de travail 29 est un organe consultatif et de concertation européen indépendant, composé des autorités nationales de contrôle. Il a pour objectif de promouvoir l’application uniforme de la législation européenne en matière de protection de la vie privée au sein des états membres.

11 Selon le Groupe de travail 29, un "destinataire" ne peut être une tierce partie. Il est par ailleurs recommandé de communiquer le nom de ce destinataire ou de décrire le plus précisément possible la catégorie de destinataires, de manière à ce que la personne concernée sache qui est en possession des données à caractère personnel le concernant.

12 La description de cette période doit être suffisamment concrète. Le Groupe de travail article 29 considère que la déclaration que les données ne seront pas conservées plus longtemps que nécessaire est insuffisante. Cette position va à l’encontre d’un point de vue précédemment défendu par la Commission de la protection de la vie privée, prédécesseur de l’Autorité de protection des données.

13 Dans le cadre des relations de travail, les situations suivantes peuvent, par exemple, se présenter : les finalités pour lesquelles les données ont été collectées ou traitées ont disparu ; le consentement sur lequel est fondé le traitement a été retiré ; le travailleur s’oppose au traitement pour des motifs légitimes ; aucun fondement juridique n’autorise le traitement.

L’employeur est-il tenu de désigner un délégué à la protection des données (DPO) ?

Désignation d’un DPO obligatoire dans trois situations

Conformément au RGPD, la désignation d’un délégué à la protection des données ('data protection officer', ci-après DPO) est obligatoire dans les cas suivants :

  • le traitement est effectué par des autorités publiques ;
  • les activités de base des responsables du traitement ou des sous-traitants consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • les activités de base des responsables du traitement ou des sous-traitants consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.

L’obligation de désigner un DPO n’est pas vraiment liée au fait d’être employeur, mais plutôt au type de traitements effectués au sein de l’entreprise.

Dans les cas où la désignation d’un DPO n’est pas obligatoire, il est néanmoins recommandé de prévoir au sein de l’entreprise une personne de contact pour la protection des données à laquelle les travailleurs peuvent s’adresser lorsqu’ils souhaitent exercer certains droits, émettre un avis critique concernant la protection des données, etc.

Reste à savoir comment le législateur belge définira et protègera cette fonction. Nous ne manquerons pas de vous tenir informé.

Missions et position du DPO

Le DPO doit faire office de point de contact pour l’Autorité de protection des données14, contrôler le respect des principes du RGPD et dispenser des conseils sur les mesures à mettre en œuvre dans le cadre du RGPD. Il devra donc disposer des connaissances professionnelles requises en matière de protection des données.

Le DPO doit par ailleurs pouvoir assumer ses fonctions et obligations en toute indépendance. Celle-ci est appréciée in concreto. L’indépendance du DPO est, par exemple, compromise dès lors qu’il fait partie de la direction de l’entreprise. Celle-ci ne peut être garantie que si le DPO bénéficie d’une protection contre le licenciement empêchant qu’il puisse être licencié pour des raisons liées à l’exercice de sa fonction.

Signalons enfin que le DPO peut être un travailleur ou un prestataire de services indépendant, tant qu’il répond aux conditions requises et qu’il fait rapport aux plus hauts niveaux de direction.

 


14 Ses coordonnées doivent dès lors être communiquées à l’Autorité de protection des données (vous trouverez de plus amples informations sur le site web de l’Autorité de protection des données.

Qu’implique l’obligation d’assurer une meilleure sécurité des données à caractère personnel ?

Protection des données dès la conception et protection des données par défaut

Les entreprises sont tenues de prendre les mesures organisationnelles et techniques appropriées afin d’assurer la sécurité du traitement des données à caractère personnel.

Lors de la conception ou de la mise en place de nouveaux systèmes, l’employeur doit indéniablement tenir compte du respect de la vie privée et de la protection des données à caractère personnel. Différentes mesures de sécurité doivent être mises en place. C’est ce qu’on appelle la protection des données dès la conception ('privacy by design'). Tous les systèmes et programmes doivent également être paramétrés pour offrir une protection maximale de manière à garantir par défaut un fonctionnement respectueux de la vie privée. Il est ici question de protection des données par défaut ('privacy by default').

Exemples de mesures techniques et organisationnelles appropriées

Le RGPD contient quelques exemples de mesures de sécurité :

  • la pseudonymisation ;
  • le chiffrement ;
  • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles ;

L’employeur doit dès lors prendre des mesures destinées à garantir que les travailleurs ou consultants agissant sous son autorité et ayant accès à des données à caractère personnel spécifiques ne traitent ces dernières que dans le cadre de leur mission, à moins que le droit de l’Union ou d’un État membre n’en dispose autrement. L’employeur peut définir, à cette fin, une politique ICT contenant les règles relatives non seulement à l’utilisation de données à caractère personnel, mais aussi à la sécurité du système. Pour plus d’informations à ce sujet, n’hésitez pas à contacter votre Legal Advisor.

Quand l’employeur doit-il effectuer une analyse d’impact relative à la protection des données ?

Qu’est-ce qu’une analyse d’impact relative à la protection des données ?

Le RGPD prône une approche réfléchie et méthodique de la sécurité des données à caractère personnel devant permettre aux entreprises d’adopter des mesures techniques et organisationnelles appropriées afin d’assurer la protection des données.

En cas de recours à une nouvelle technologie ou à un système susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le RGPD oblige l’entreprise à effectuer une analyse d’impact relative à la protection des données ('Data protection impact assessment', ci-après DPIA). Il s’agit d’une analyse des risques ayant pour objet de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques en les évaluant. Ce processus permet de définir ensuite les mesures appropriées pour assurer la sécurité de ces données.

Quand une DPIA est-elle obligatoire ?

Lorsque le traitement est susceptible d’engendrer un "risque élevé" pour les droits et libertés

Selon l’Autorité de protection des données, la probabilité d’un risque élevé suffit. L’organe européen qui chapeaute les autorités de contrôle a identifié neuf critères :

  • évaluation ou notation (y compris, notamment, le profilage et la prédiction) ;
  • prise de décision automatisée avec effet juridique ou effet similaire significatif ;
  • surveillance systématique ;
  • traitement des données sensibles ou données à caractère hautement personnel ;
  • traitement de données à caractère personnel à grande échelle (compte tenu du nombre de personnes concernées, du volume de données, de la durée ou de la permanence ou de l’étendue géographique de l’activité de traitement) ;
  • croisement et combinaison d’ensembles de données ;
  • données concernant des personnes vulnérables (p. ex., travailleurs) ;
  • utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles ;
  • lorsque, du fait du traitement même, les personnes concernées ne peuvent pas exercer un droit ou bénéficier d’un service ou d’un contrat.

Compte tenu des critères précités, l’Autorité de protection des données considère qu’une DPIA devrait être réalisée dès qu’un traitement répond à deux critères15. S’il estime néanmoins qu’il n’y a pas lieu de réaliser une DPIA, l’employeur doit pouvoir être en mesure de motiver et de documenter sa décision.

Trois situations spécifiques énumérées à l’article 35 (3) du RGPD

Une DPIA est requise dans les trois situations suivantes :

  • en cas d’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • en cas de traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou
  • en cas de surveillance systématique à grande échelle d’une zone accessible au public.
Listes à établir par l’autorité de contrôle

Signalons enfin que l’autorité de contrôle est aussi tenue d’établir une liste des opérations pour lesquelles une DPIA est requise. Cette liste viendrait compléter, mais non remplacer les situations énumérées ci-dessus.

Le prédécesseur de l’Autorité de protection des données, la Commission de la protection de la vie privée, a publié ses projets de listes dans sa recommandation. Celles-ci doivent encore être approuvées par l’Autorité de protection des données.

Traitements pour lesquels une DPIA est requise :

  • lorsque le traitement utilise des données biométriques en vue de l’identification unique des personnes intéressées se trouvant dans un lieu public ou dans un lieu privé accessible au public ;
  • lorsque des données à caractère personnel sont collectées auprès de tiers afin d’être prises ensuite en considération dans le cadre de la décision de refuser ou de cesser un contrat de service déterminé avec une personne physique ;
  • lorsque le traitement concerne des catégories particulières de données à caractère personnel au sens de l’article 9 du RGPD qui sont (ré)utilisées pour une (des) finalité(s) autre(s) que celle(s) pour laquelle (lesquelles) elles ont été collectées, sauf lorsque le traitement se fonde sur le consentement de la personne concernée ou s’il est nécessaire pour répondre à une obligation légale à laquelle le responsable du traitement est soumis ;
  • lorsque le traitement est réalisé à l’aide d’un implant et qu’une violation de données à caractère personnel pourrait compromettre la santé physique de la personne concernée ;
  • en cas de traitement à grande échelle de données à caractère personnel de personnes physiques vulnérables, notamment les enfants, pour une (des) finalité(s) autre(s) que celle(s) pour laquelle (lesquelles) elles ont été collectées ;
  • lorsque des données sont collectées à grande échelle auprès de tiers afin d’analyser ou de prédire la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ;
  • lorsque des catégories particulières de données à caractère personnel au sens de l’article 9 du RGPD ou des données de nature très personnelle (comme des données sur la pauvreté, le chômage l’implication de l’aide à la jeunesse ou le travail social, des données sur les activités domestiques et privées, des données de localisation) sont échangées systématiquement entre plusieurs responsables du traitement ;
  • lorsqu’il est question d’un traitement à grande échelle de données générées au moyen d’appareils dotés de capteurs qui envoient des données via Internet ou via un autre moyen (applications de "l’Internet des objets", comme les télévisions intelligentes, les appareils ménagers intelligents, les jouets connectés, les smart cities, les compteurs d’énergie intelligents, etc.) et que ce traitement sert à analyser ou prédire la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ;
  • lorsqu’il est question d’un traitement à grande échelle et/ou systématique de données de téléphonie, d’Internet ou d’autres données de communication, de métadonnées ou de données de localisation de personnes physiques ou permettant de mener à des personnes physiques (par exemple, le wifi-tracking ou le traitement de données de localisation de voyageurs dans les transports publics) lorsque le traitement n’est pas strictement nécessaire pour un service demandé par la personne concernée ;
  • lorsqu’il est question de traitements de données à caractère personnel à grande échelle où le comportement de personnes physiques est observé, collecté, établi ou influencé, y compris à des fins publicitaires, et ce de manière systématique via un traitement automatisé.

Traitements pour lesquels aucune DPIA n’est requise :

  • les traitements réalisés par des entités privées qui sont nécessaires pour répondre à une obligation légale qui leur incombe, moyennant une définition par la loi des finalités du traitement, des catégories de données à caractère personnel traitées et des garanties destinées à prévenir les abus ou l’accès ou le transfert illicite ;
  • les traitements de données à caractère personnel qui concernent uniquement des données qui sont nécessaires à l’administration des salaires de personnes en service ou actives pour le compte du responsable du traitement lorsque les données sont exclusivement utilisées pour cette administration des salaires, sont uniquement communiquées aux destinataires qui sont autorisés à cet effet et ne sont pas conservées plus longtemps que le temps nécessaire aux finalités du traitement ;
  • les traitements de données à caractère personnel qui concernent exclusivement l’administration du personnel en service ou actif pour le compte du responsable du traitement, dans la mesure où ce traitement ne porte pas sur des données relatives à la santé de la personne concernée, ni sur des catégories particulières de données au sens de l’article 9 du RGPD, ni sur des condamnations pénales et des infractions au sens de l’article 10 du RGPD ou sur des données ayant pour but une évaluation de la personne concernée et où les données à caractère personnel traitées ne sont pas conservées plus longtemps que le temps nécessaire à l’administration du personnel et uniquement dans le cadre de l’application d’une disposition légale ou réglementaire ou sont communiquées si nécessaire à des tiers pour la réalisation des finalités du traitement ;
  • les traitements de données à caractère personnel qui concernent exclusivement la comptabilité du responsable du traitement lorsque les données sont exclusivement utilisées pour cette comptabilité, lorsque le traitement concerne uniquement des personnes dont les données sont nécessaires pour la comptabilité et lorsque les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire à la réalisation des finalités du traitement et que les données à caractère personnel traitées sont uniquement communiquées à des tiers dans le cadre de l’application d’une disposition légale ou réglementaire ou lorsque la communication est nécessaire pour la comptabilité ;
  • les traitements de données à caractère personnel qui concernent exclusivement l’administration des actionnaires et associés lorsque le traitement porte uniquement sur des données nécessaires à cette administration, lorsque ces données concernent uniquement des personnes dont les données sont nécessaires à cette administration, lorsque les données sont communiquées à des tiers uniquement dans le cadre de l’application d’une disposition légale ou réglementaire et que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire à la réalisation des finalités du traitement ;
  • les traitements de données à caractère personnel effectués par une fondation, association ou toute autre institution sans but lucratif dans le cadre de ses activités habituelles, pour autant que le traitement porte uniquement sur des données à caractère personnel relatives à ses propres membres, relatives aux personnes avec lesquelles le responsable du traitement entretient des contacts réguliers et relatives aux bénéficiaires de la fondation, de l’association ou de l’institution et qu’aucune personne ne soit enregistrée sur la base de données obtenues de tiers et que les données à caractère personnel traitées ne soient pas conservées plus longtemps que le temps nécessaire à l’administration des membres, des personnes de contact et des bénéficiaires et soient uniquement communiquées à des tiers dans le cadre de l’application d’une disposition légale et réglementaire ;
  • les traitements de données à caractère personnel qui concernent exclusivement l’enregistrement de visiteurs dans le cadre d’un contrôle d’accès lorsque les données traitées restent limitées au nom et à l’adresse professionnelle du visiteur, à l’identification de son employeur, à l’identification du véhicule du visiteur, au nom, à la section et à la fonction de la personne visitée et au moment de la visite et où les données à caractère personnel traitées peuvent exclusivement être utilisées pour le contrôle d’accès et ne pas être conservées plus longtemps que le temps nécessaire à cette finalité ;
  • les traitements de données à caractère personnel effectués par des établissements d’enseignement en vue de la gestion de leurs relations avec leurs élèves ou étudiants dans le cadre de leurs missions d’enseignement, dans la mesure où le traitement ne porte que sur des données à caractère personnel relatives à des élèves ou étudiants potentiels, actuels et anciens de l’établissement d’enseignement en question et qu’aucune personne ne soit enregistrée sur la base de données obtenues de tiers et que ces données soient uniquement communiquées à des tiers dans le cadre de l’application d’une disposition légale ou réglementaire et ne soient pas conservées plus longtemps que le temps nécessaire à la gestion de la relation avec l’élève ou l’étudiant ;
  • Les traitements de données à caractère personnel qui concernent exclusivement la gestion de la clientèle ou des fournisseurs du responsable du traitement, pour autant que le traitement concerne uniquement des clients ou fournisseurs existants et anciens du responsable du traitement et que le traitement ne concerne pas des catégories particulières de données au sens de l’article 9 du RGPD, ni des condamnations pénales et des infractions visées à l’article 10 du RGPD et qu’en ce qui concerne l’administration de la clientèle, aucune donnée provenant de tiers ne soit enregistrée et que les données à caractère personnel traitées ne soient pas conservées pour une durée excédant celle nécessaire à la gestion normale de l’entreprise du responsable du traitement et ces données ne peuvent être transmises à des tiers que dans le cadre de l’application d’une disposition légale ou réglementaire ou pour la gestion normale de l’entreprise.
Comment se présente une DPIA ?

Pour plus d’informations à ce sujet, nous vous renvoyons à l’annexe 1 de la recommandation de l’Autorité de protection des données.

 


15 Compte tenu de ces critères, le département RH d’une grande entreprise disposant d’un large effectif devrait, en raison du nombre important de travailleurs, effectuer plusieurs DPIA pour différents processus.

Quand faut-il notifier une fuite de données à caractère personnel ?

Qu’est-ce qu’une fuite de données à caractère personnel ?

Par fuite de données ou violation de données à caractère personnel, on entend une violation de la sécurité de ces dernières entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

La perte d’une clé USB ou l’accès non autorisé à des données à caractère personnel peut ainsi relever de la définition de fuite de données. Il est également question de fuite de données lorsque l’entreprise fait l’objet d’une cyberattaque portant atteinte à la sécurité des données à caractère personnel des travailleurs.

En cas de violation des données à caractère personnel de ses travailleurs, l’employeur doit en principe entreprendre certaines actions.

Documentation de toutes les fuites de données

L’employeur doit pouvoir être informé, dans des délais appropriés, des fuites de données survenues dans son entreprise. Aussi doit-il instaurer différents processus internes destinés à analyser les incidents et à établir s’il s’agit d’une fuite de données à caractère personnel et si celle-ci implique la mise en œuvre d’actions.

En ce qui concerne les fuites de données, l’employeur doit entreprendre les actions suivantes :

Établissement d’une politique interne concernant les fuites de données

L’employeur peut définir une politique interne précisant la procédure de constatation et de traitement des fuites de données, le membre du personnel devant en être informé et le délai dans lequel doit intervenir cette information, les modalités d’évaluation du risque et à quel moment la fuite doit être notifiée à l’autorité de contrôle ou communiquée aux travailleurs. L’employeur peut établir à cette fin une data breach policy (politique sur la violation de la sécurité des données).

Documentation des fuites de données

L’employeur peut prévoir un document dans lequel sont répertoriées toutes les fuites de données, même celles qui n’engendrent aucun risque. L’autorité de contrôle peut ainsi contrôler le respect de l’obligation de notifier les fuites de données.

Notification d’une fuite de données à l’autorité de contrôle en cas de risque ou de risque élevé pour les droits et libertés du travailleur16

En principe, l’employeur est tenu de notifier la fuite de données à l’autorité de contrôle dans les meilleurs délais et au plus tard dans les 78 heures après en avoir pris connaissance17. Cette notification doit contenir suffisamment d’informations concernant les circonstances dans lesquelles est survenue la fuite18.

La fuite de données ne doit pas être notifiée si elle n’engendre aucun risque pour les droits et libertés des travailleurs.

Peuvent engendrer un risque ou risque élevé, les fuites de données susceptibles d’entraîner des "dommages physiques, matériels ou un préjudice moral, en particulier :

  • lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ;
  • lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ;
  • lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes ;
  • lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels ;
  • lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ; ou
  • lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées19".

Communication au travailleur d’une fuite de données engendrant un risque élevé pour ses droits et libertés20

Le responsable du traitement n’est tenu de communiquer, dans les meilleurs délais, à la personne concernée une fuite de données que lorsque celle-ci engendre un risque élevé (p. ex. données médicales) pour les droits et libertés d’une personne physique. Aucun délai fixe n’a été prévu à cette fin.

L’employeur doit décrire la fuite de données au travailleur en des termes clairs et simples21.

Cette obligation de communication connaît toutefois quelques exceptions. En effet, la communication à la personne concernée n’est pas obligatoire si l’une ou l’autre des conditions suivantes est remplie :

  • le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
  • le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ;
  • elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

L’autorité de contrôle peut, le cas échéant, exiger de l’employeur qu’il avertisse le travailleur en cas de risque élevé pour les droits et libertés de ce dernier.

Sanctions en cas de non-notification de la fuite de données

L’absence de notification ou de communication peut faire l’objet d’une amende administrative pouvant s’élever jusqu’à 10 000 000 euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

 


16 Article 33 du RGPD.

17 Lorsque la notification ne peut avoir lieu dans les 72 heures, elle doit être accompagnée des motifs du retard.

18 Pour la description précise des informations devant être absolument transmises, voyez l'article 33.3 du RGPD.

19 Considérant 75 du RGPD.

20 Article 34 du RGPD

21 Pour la description précise des informations devant être absolument transmises, voyez l'article 33.3 du RGPD.

Quelles sont les principales références légales ?

  • Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
  • Loi du 8 décembre 1992 (dite "loi vie privée"). Celle-ci sera toutefois remplacée le plus rapidement possible par une loi-cadre
  • Arrêté royal du 13 février 2001