To Delete Document
InEditMode: ("1" if Yes) IsNewDoc: ("1" if Yes) DspNow: UserCN: (username-CN) HistoryFields: (is used in the code for the history subform) -

-

RGPD - Obligations d’information et de documentation de l’employeur lors du traitement de données à caractère personnel

09/29/2017

L’employeur a jusqu’au 25 mai 2018 pour appliquer le Règlement général européen sur la protection des données (ci-après, le RGPD) dans son entreprise. Le RGPD confère des droits plus clairs au travailleur et impose des obligations plus claires à l’employeur. Le RGPD impose ainsi deux obligations majeures à l’employeur :

  • informer le travailleur ; et
  • documenter tous les traitements de données à caractère personnel dans un registre de données.

Obligation d’information de l’employeur

Le travailleur doit être informé de ses droits, mais aussi des obligations de l’employeur, de façon à garantir la transparence de l’ensemble du traitement des données à caractère personnel le concernant. Cette obligation de l’employeur n’est pas nouvelle, mais elle a été considérablement étendue (des informations supplémentaires doivent être communiquées) et est à présent clairement contraignante.

Quelles informations l’employeur doit-il communiquer et à quel moment ?

Le travailleur doit savoir :

  • quelles données à caractère personnel le concernant font l’objet d’un traitement et quelle est la finalité de ce traitement ;
  • d’où ces données proviennent : du travailleur lui-même ou d’autres sources ;
  • qui sera autorisé à les consulter ;
  • pendant combien de temps elles seront conservées ;
  • si elles sont amenées à être envoyées en dehors de l’UE et, si oui, quels sont ses droits ;
  • qui il peut contacter concernant le traitement de ses données ;
  • de quels droits il dispose pour pouvoir contrôler le traitement de ses données ;
  • ...

L’employeur doit communiquer ces informations à son travailleur à chaque fois qu’il collecte des données à caractère personnel le concernant, sauf si le travailleur dispose déjà de ces informations.

Exemple

Imaginons que l’employeur mette un téléphone à la disposition de ses travailleurs, que ceux-ci sont également autorisés à l’utiliser à des fins privées. Il est possible que l’employeur traite chaque mois certaines données à caractère personnel concernant ses travailleurs. L’enregistrement et le suivi de données téléphoniques sont en effet également protégés. Le travailleur doit donc être informé des données téléphoniques le concernant qui font l’objet d’un traitement, de la finalité de ce traitement et de la durée de conservation de ces données par l’employeur. Le travailleur doit aussi savoir quels sont ses droits, et doit pouvoir demander de consulter son dossier, par exemple.

Politique de confidentialité

Une politique de confidentialité énumère les droits du travailleur et l’informe également du traitement des données à caractère personnel le concernant. Une telle politique, dans laquelle toutes ces informations sont clairement exposées, permet en principe à l’employeur de satisfaire à son obligation d’information pour toute la durée du contrat de travail qui le lie au travailleur.

Établissement d’un registre de données

En remplacement de la déclaration de traitement à la Commission Vie Privée

Parallèlement à l’obligation d’information susmentionnée, l’employeur a l’obligation de conserver les mêmes informations dans un registre. Le RGPD oblige en effet les employeurs, dans certains cas, à tenir un registre de données. Cette obligation de tenue d’un registre des activités de traitement remplace l’obligation de déclaration à la Commission Vie Privée. L’obligation de tenir un registre de données réduit la charge administrative, mais reste une tâche administrative qui incombe au responsable du traitement.

Quelles sont les entreprises obligées de tenir un registre de données ?

Tout responsable du traitement ou sous-traitant a l’obligation de tenir un registre de données. Cette obligation s’applique en principe uniquement aux entreprises qui occupent au moins 250 travailleurs. Ce faisant, le RGPD entend épargner les petites et moyennes entreprises de cette charge administrative.

Les plus petites entreprises doivent quand même tenir un registre :

  • lorsque le traitement de données à caractère personnel auquel elles procèdent est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées ; ou
  • lorsque le traitement n’est pas occasionnel ; ou
  • lorsque le traitement porte sur des données sensibles.

La gestion de personnel, notamment, relève du "traitement non occasionnel" selon la Commission Vie Privée. Dans sa recommandation, la Commission Vie Privée a dès lors conseillé de toujours tenir un registre de données, quelle que soit la taille de l’entreprise. À cet égard, elle considère que les PME peuvent se limiter aux traitements non occasionnels et ne doivent donc pas y reprendre tous les traitements.

Quelles données contient un registre de données ?

Ce registre doit contenir un certain nombre d’informations concernant le traitement de données à caractère personnel, telles que la finalité du traitement, les catégories de données à caractère personnel traitées, les destinataires des données, le délai de conservation des données…

Quel est le service proposé par Securex ?

Securex propose une formation avancée sur le nouveau règlement sur la protection des données, qui abordera les changements précis et la manière dont vous pouvez satisfaire aux obligations qui vous incombent en tant qu’employeur. Vous pouvez vous inscrire et consulter le programme via notre calendrier de formations.

Nous avons également élaboré pour vous un modèle de politique de confidentialité qui vous permettra de satisfaire d’emblée à votre obligation d’information. Celle-ci est disponible prochainement sur notre e-Shop. Vous recevrez en plus un registre de données gratuit qui vous permettra de faire d’une pierre deux coups et de satisfaire également à votre obligation de documentation.

Secrétariat Social Securex - Legal 09/29/2017