To Delete Document
InEditMode: ("1" if Yes) IsNewDoc: ("1" if Yes) DspNow: UserCN: (username-CN) HistoryFields: (is used in the code for the history subform) -

-

Règlement général sur la protection des données : un employeur averti …

06/29/2017

Le Règlement général européen sur la protection des données (ci-après : le RGPD) a été adopté le 27 avril 2016. Il sera d'application à partir du 25 mai 2018. Voici quelques brèves explications qui devraient vous inciter, en tant qu'employeur, à entreprendre des démarches pour vous mettre en conformité avec le RGPD d'ici le 25 mai 2018.

En Belgique, nous connaissons déjà une protection stricte de la vie privée, dont les employeurs doivent tenir compte. Les principes existants en matière de protection de la vie privée et les concepts de base restent essentiellement les mêmes dans le RGDP[1]. Ce dernier élargit en revanche aussi un certain nombre de droits et de devoirs, et introduit quelques nouvelles obligations importantes pour l'employeur !

Pour rappel … traiter des données à caractère personnel

Traitez-vous des données à caractère personnel ?

Si oui, vous devez respecter la législation sur la protection de la vie privée

En tant qu'employeur, vous êtes responsable du traitement : c'est vous qui décidez pourquoi et comment les données à caractère personnel sont traitées.

Vous déléguez les tâches de traitement au sous-traitant qui agit pour le compte du responsable du traitement. Par exemple, le secrétariat social.

Un grand nombre de données à caractère personnel que vous traitez sont protégées

Les employeurs traitent une foule de données à caractère personnel de leurs travailleurs. Cela commence au moment de la création d'un dossier, avec le CV et la lettre de candidature d'un candidat travailleur. Sur base journalière, d'autres données à caractère personnel des travailleurs sont également traitées, comme celles qui sont utilisées dans le cadre de l'administration des salaires, l'administration du personnel, le numéro de personnel, une base de données contenant les données à caractère personnel des travailleurs, le transfert de données par e-mail ou le téléchargement de celles-ci au profit du secrétariat social ou de l'assureur groupe, l'enregistrement des présences, la surveillance par caméras…

Les données à caractère personnel sont toutes les données se rapportant à une personne qui est - ou peut être - directement ou indirectement identifiée. Le raisonnement est le suivant : si vous pouvez identifier une personne à l'aide de ces données, ne fût-ce que via les médias sociaux, il s'agit de données à caractère personnel.

Dès que ces données sont traitées, elles relèvent de la réglementation en matière de protection des données. Le terme ‘traitement’ recouvre la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données.

Passez à l'action, sinon, il y aura sanction !

Vu le futur impact du RGPD sur les procédés de traitement de l'information au sein de l'entreprise, la période transitoire sera utile à de nombreux employeurs pour se préparer.

Des amendes bien plus élevées

Bien qu'en Belgique, nous disposions déjà d'une réglementation en matière de traitement des données à caractère personnel et d'un certain nombre de sanctions pénales en cas de non-respect, les sanctions sont rarement infligées dans la pratique. Néanmoins, ce règlement permettra bientôt de sanctionner le non-respect de la protection des données de manière beaucoup plus sévère. Le RGPD prévoit des amendes qui pourront s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d’affaires annuel mondial d'une entreprise.

Renforcement des pouvoirs de la Commission vie privée

Avec l’entrée en vigueur du RGPD, la Commission de la protection de la vie privée (ci-après : la Commission vie privée) se voit en effet attribuer le pouvoir d'infliger ces sanctions. Lors de la constatation d'une infraction, elle peut tout d'abord donner un avertissement ou adresser un rappel à l'ordre à l'employeur. Elle peut, ensuite, donner une date limite à l'employeur pour se conformer à la réglementation. Elle peut contraindre l'employeur à traiter une demande du travailleur ou à notifier une infraction à un travailleur. Elle peut imposer une limitation temporaire ou définitive du traitement ou ordonner une suspension des flux de données vers un pays tiers. Elle peut, enfin, infliger une amende administrative. C'est le changement le plus important.

Que devez-vous faire ?

La Commission vie privée propose un plan en 13 étapes pour que les employeurs puissent établir une liste des choses à faire pour se préparer à la date d'entrée en vigueur officielle du RGPD.

Conscientisation

-        Informer les personnes clés, les décideurs et les collaborateurs de l'entreprise au sujet de la nouvelle réglementation ;

Inventaire

-        Désigner des responsables chargés de suivre le projet (juridique, RH, IT) ;

-        Se faire une idée précise de tous les processus de traitement de données qui ont lieu dans chaque pays et chaque département (RH, ventes, marketing, chaîne d'approvisionnement, etc.) ;

Rédaction et adaptation de documents et politiques

Quels sont les documents à rédiger ou adapter ?

-        Rédiger une déclaration de confidentialité ;

-        Contrats avec les sous-traitants ;

-        Clauses contractuelles pour le transfert de données vers des pays tiers ;

-        Registre des traitements (registre de données) ;

-        Politique en matière d’ICT ;

-        Politique en matière de caméras ;

-        Régime concernant les lanceurs d’alerte ;

-        Procédure en cas de risque de perte de données.

Notre avis

Vu que l'entrée en vigueur du RGPD peut avoir un impact considérable sur la politique en matière de protection de la vie privée et sur le traitement des données à caractère personnel dans votre entreprise, nous vous conseillons de passer à l'action le plus rapidement possible !

 


[1] Le règlement introduit un nouveau principe, à savoir le principe du 'one-stop-shop'. Les entreprises qui sont actives dans plusieurs États membres européens ne doivent s'adresser qu'à un seul guichet central. Le règlement européen permet la fixation, par loi ou par convention collective, de règles plus spécifiques concernant le traitement des données à caractère personnel dans le cadre de la relation de travail. Le législateur belge peut donc aller plus loin dans sa réglementation. Vu que le règlement accorde encore aux États membres européens une marge de manœuvre importante dans la relation de travail, une entreprise devra aussi, dans les faits, respecter une réglementation spécifique dans chaque État membre, en raison des différences entre les réglementations en matière de protection des données.

Secrétariat Social Securex - Legal 06/29/2017