To Delete Document
InEditMode: ("1" if Yes) IsNewDoc: ("1" if Yes) DspNow: UserCN: (username-CN) HistoryFields: (is used in the code for the history subform) -

-
> 1. Le traitement de données à caractère personnel dans le cadre de la gestion de votre personnel

Qu’implique l’obligation d’information à l’égard des travailleurs ?

Le RGPD étend encore davantage l’obligation d’information

L’obligation d’information, qui existait pourtant déjà, a été étendue avec l’entrée en vigueur du RGPD.

Cette obligation d’information implique en effet que le travailleur concerné doit disposer, au plus tard au moment où les données en question sont obtenues, des informations suivantes[1]:  

  • l’identité et l’adresse du responsable du traitement, en l’occurrence l’employeur ;
  • le cas échéant, les coordonnées du délégué à la protection des données (DPO) ;
  • si la communication de données à caractère personnel constitue une obligation légale ou contractuelle ou une condition nécessaire à la conclusion d’un contrat ainsi que les conséquences en cas de non-communication desdites données ;
  • les finalités du traitement des données à caractère personnel (administration du personnel et personnes intermédiaires et/ou gestion du personnel et organisation du travail) ;
  • les catégories de données traitées et la source d’où elles proviennent (si les données ne sont pas collectées directement auprès de la personne concernée) ;
  • le(s) destinataire(s) des données[2];
  • les droits des travailleurs et à qui ils peuvent s’adresser pour les exercer : droit d’accès, de rectification ou d’effacement des données à caractère personnel, droit d’en limiter le traitement, droit à la portabilité des données et droit de s’opposer au traitement;

Le RGPD oblige également l’employeur à communiquer au travailleur les informations suivantes :

  • la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée[3];
  • lorsque le traitement est fondé sur le consentement du travailleur, le droit de retirer ledit consentement à tout moment ;
  • le droit d’introduire une réclamation auprès de l’autorité de contrôle.
  • De quels droits le travailleur doit-il être informé ?

Le travailleur dispose de plusieurs droits à l’égard du traitement de ses données à caractère personnel et l’employeur est tenu de l’en informer.

Le droit d’accès et de copie

Le droit d’accès et de copie implique pour le travailleur qu’il peut demander au responsable du traitement si des données à caractère personnel le concernant font l’objet d’un traitement.

Il a également le droit d’accéder aux données traitées par l’employeur et d’être informé au sujet :

  • des finalités du traitement,
  • de la source d’où elles proviennent (lorsqu’elles n’ont pas été collectées auprès du travailleur même),
  • des destinataires auxquels elles sont communiquées,
  • de la durée de conservation des données envisagée,
  • de l’utilisation éventuelle de ces données aux fins d’une prise de décision automatisée
  • et, le cas échéant, des modalités afférentes à cette utilisation, de l’éventuelle intention du responsable du traitement de transférer les données vers un pays non membre de l’Union européenne ainsi que des autres droits dont il dispose à l’égard des données à caractère personnel le concernant.

Le travailleur a aussi le droit d’obtenir gratuitement une copie de ces données à caractère personnel.

Ces droits sont aussi valables auprès d’un ancien employeur[4].

Le droit à la rectification et à l’effacement des données

Le travailleur dispose par ailleurs du droit d’obtenir la rectification de toutes les données à caractère personnel le concernant qui sont inexactes.

Il peut également demander l’effacement de toutes les données à caractère personnel qui sont non pertinentes ou erronées, dont la communication ou la conservation est interdite et de celles qui ont été conservées plus longtemps que nécessaire.

Il peut aussi en interdire l’utilisation[5]. L’employeur peut donc uniquement refuser l’effacement et poursuivre le traitement des données à caractère personnel si ce dernier est nécessaire à l’exercice de droits en justice à l’encontre, p. ex., d’un ancien travailleur.

A ce sujet, l’Autorité de Protection des Données[6] a infligé à un employeur une amende administrative de 15.000 euros pour ne pas avoir clôturé les adresses e-mails de l’ancien administrateur délégué de l’entreprise. Les adresses emails étaient, en effet, restées actives plusieurs années après le départ de l’administrateur délégué, alors même que ce dernier en avait demandé la clôture.

Dans le même sens, l’Autorité de Protection des Données d’Hambourg a infligé une amende de 35,3 millions d’euros au service center de H&M pour avoir violé la vie privée de ses travailleurs en conservant de nombreuses données à caractère personnel. Il s’agissait de nombreuses données sensibles, telles que les symptômes de maladie ou les diagnostics médicaux, mais aussi des informations concernant les problèmes relationnels et les croyances. Ces données étaient collectées depuis 2014 et constamment mises à jour, et auraient été prises en compte pour la prise de décisions en matière d’emploi.

Le droit d’opposition

La réglementation prévoit aussi un droit d’opposition. Lorsque la personne concernée exerce ce droit, l’employeur doit cesser le traitement des données, à moins qu’il ne puisse invoquer un motif légitime ou que ledit traitement soit nécessaire à l’exercice de droits en justice.

Ce droit n’est pas d’application lorsque le traitement des données à caractère personnel repose sur des motifs légitimes et impérieux qui l’emportent sur les intérêts, les droits et libertés du travailleur. Le droit d’opposition ne peut dès lors être exercé lorsque le traitement de données à caractère personnel est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (un contrat de travail, par exemple), ou découle du respect d’une obligation incombant au responsable du traitement (telle que, par exemple, le paiement des cotisations sociales).

Le droit à la limitation du traitement

Le travailleur est également en droit d’obtenir la limitation du traitement. Cette limitation doit être mentionnée dans le dossier. L’employeur ne pourra, dans ce cas, traiter les données à caractère personnel du travailleur concerné qu’avec le consentement de ce dernier, pour l’exercice de droits en justice ou pour la protection des droits de tiers.

Le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé

Le travailleur dispose, enfin, du droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (par exemple, candidatures via Internet sans intervention humaine).

Ce droit n’est toutefois pas applicable lorsque cette décision est nécessaire à l’exécution du contrat, autorisée par la réglementation nationale ou fondée sur le consentement explicite de la personne. Dans pareils cas, des mesures appropriées doivent toutefois être mises en œuvre.

À quel moment le travailleur doit-il être informé ?

Lorsque les données à caractère personnel sont collectées auprès du travailleur même, l’employeur doit lui fournir les informations énoncées ci-dessus au plus tard au moment où lesdites données sont obtenues. Ces informations ne doivent plus être communiquées si le travailleur en a déjà connaissance.

Lorsque les données à caractère personnel ne sont pas collectées auprès du travailleur même, l’employeur est également tenu de lui fournir les informations, sauf dans la mesure où :

  • la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés ;
  • l’obtention des informations est expressément prévue par la loi ; ou
  • les données à caractère personnel doivent rester confidentielles.

Il est dès lors recommandé d’informer le travailleur du traitement des données à caractère personnel qui le concernent et des droits dont il dispose à cet égard dès la prise de cours du contrat de travail.

Comment le travailleur doit-il être informé ?

Forme et accessibilité

L’obligation d’information dans le cadre du traitement n’est soumise à aucune condition de forme. Le RGPD indique que l’information fournie doit l’être d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par écrit ou par d’autres moyens, y compris par voie électronique.

Le European Data Protection Board recommande  une information écrite, mais ne mentionne aucune condition de forme. Il peut donc être tenu compte de toutes les circonstances de la situation.

Une information dite "par couches" est recommandée. L’attention doit être portée en priorité sur les détails concernant les finalités du traitement, l’identité du responsable du traitement, la description des droits de la personne concernée et les informations qui auront le plus d’impact sur le travailleur ou le candidat.

L’employeur doit pouvoir se justifier et démontrer que les travailleurs ont obtenu des informations précises et exactes. Les moyens utilisés aux fins de cette notification importent peu. Il doit en revanche veiller à ce que le travailleur ne soit pas contraint de rechercher lui-même les informations et prendre les mesures actives nécessaires pour lui fournir ces renseignements, ou du moins attirer de manière active son attention sur ces derniers (par le biais, p. ex., d’une vidéo, d’un e-mail, de séances d’information...).

Dans le cadre des relations de travail, ces informations peuvent être transmises de différentes manières. La notification peut :

  • soit être annexée au règlement de travail via la procédure classique. Techniquement, le règlement de travail ne doit toutefois faire l’objet d’aucune adaptation ;
  • soit être signée par chaque travailleur ;
  • soit être publiée de manière claire sur l’intranet à l’attention des travailleurs ;

La notification peut par ailleurs être adaptée en cas de nouvelles situations. Aussi est-il recommandé d’opter pour un document ou une procédure flexible.

Langage utilisé et libellé

Il est conseillé d’éviter les textes longs et confus. Le Groupe de travail 29 recommande le recours à un texte structuré (p. ex., table des matières, sous-titres, modèles...). Le langage utilisé doit être clair et compréhensible et, par conséquent, adapté au public cible. Il est, par exemple, déconseillé d’utiliser des termes vagues ou le mode conditionnel (p. ex., "ces informations pourraient être utilisées aux fins de…").

Solution : politique de confidentialité ou clause

Toutes ces conditions et obligations ont été prises en compte lors de l’établissement du modèle de politique de confidentialité à l’attention des travailleurs proposé par Securex. Ce document peut être obtenu (moyennant paiement) auprès de votre Legal Advisor ou via notre e-Shop. Securex a par ailleurs inséré dans les fiches de travailleurs une clause d’information à faire signer et compléter en partie par ces derniers.

Lorsqu’ils postulent à un poste, l’employeur est également tenu d’informer les candidats de sa politique de confidentialité. Pour répondre à cette obligation, il peut, par exemple, insérer une clause spécifique dans les questionnaires ou formulaires utilisés lors des entretiens d’embauche. Votre Legal Advisor peut vous aider à rédiger les clauses en matière de respect de la vie privée.

 

 


[1] Articles 13 et 14 du RGPD

[2] Selon le European Data Protection Board, un "destinataire" ne peut être une tierce partie. Il est par ailleurs recommandé de communiquer le nom de ce destinataire ou de décrire le plus précisément possible la catégorie de destinataires, de manière à ce que la personne concernée sache qui est en possession des données à caractère personnel le concernant.

[3] La description de cette période doit être suffisamment concrète. La déclaration que les données ne seront pas conservées plus longtemps que nécessaire est insuffisante..

[4] L’APD s’est prononcée sur le droit d’accès aux données à caractère personnel d’un travailleur auprès de son ancien employeur dans une décision quant au fond n° 41/2020 du 29 juillet 2020 de sa Chambre Contentieuse.

[5] Dans le cadre des relations de travail, les situations suivantes peuvent, par exemple, se présenter : les finalités pour lesquelles les données ont été collectées ou traitées ont disparu ; le consentement sur lequel est fondé le traitement a été retiré ; le travailleur s’oppose au traitement pour des motifs légitimes ; aucun fondement juridique n’autorise le traitement. 

[6] Chambre Contentieuse de l’APD, décision quant au fond du 29 septembre 2020.

 

Secrétariat Social Securex - Legal 10/01/2021