To Delete Document
InEditMode: ("1" if Yes) IsNewDoc: ("1" if Yes) DspNow: UserCN: (username-CN) HistoryFields: (is used in the code for the history subform) -

-

RGPD vs. l’addiction de votre travailleur au poker en ligne

11/30/2017

L’addiction de votre travailleur au poker en ligne a introduit le virus "WannaCryAgain" dans votre entreprise. Comment, en tant qu’employeur, contrôler l’utilisation d’internet et les e-mails au sein de votre organisation et d’éviter ainsi ce type de problèmes ?

La fréquentation de sites de poker afin d’assouvir une addiction entraîne une absence virtuelle du travailleur concerné mais peut aussi introduire dans votre structure des virus, chevaux de Troie et autres logiciels malveillants.

Aussi certains employeurs souhaitent-ils surveiller les faits et gestes numériques de leur personnel au sein de l’entreprise. Mais peuvent-ils intervenir comme ils l’entendent ? Le Règlement général européen sur la protection des données (ci-après RGPD) entrera en outre prochainement en vigueur.[1] Ce nouveau règlement relatif à la protection de la vie privée implique-t-il des changements quant à la procédure ou à la possibilité de surveiller votre personnel ?

La surveillance des faits et gestes numériques de votre personnel est-elle autorisée ?

La surveillance des faits et gestes numériques de votre personnel implique une mise en balance délicate de différents principes, à savoir l’autorité de l’employeur, l’obligation pour l’employeur de protéger les données de son entreprise et le droit du travailleur au respect de sa vie privée. Dans la CCT n° 81, le Conseil National du Travail a fixé les règles relatives à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau.

Utilisez notre schéma !

Le schéma suivant vous aidera à instaurer la surveillance de votre personnel ou à vous assurer que vous respectez toutes les obligations imposées par la CCT n° 81 et le RGPD.

 

 

 

Impact du RGPD

 

Quand un employeur est-il autorisé à contrôler les données de communication électroniques en réseau (e-mail, utilisation d’internet et médias sociaux) du personnel ?

 

La base légale est la suivante : l’employeur peut instaurer un système de contrôle 

  • moyennant consentement explicite du travailleur
  • aux fins d’intérêts légitimes poursuivis par lui-même ou par les tiers auxquels sont communiquées les données et
  • lorsque le contrôle est nécessaire à l’exécution du contrat

Le RGPD renforce encore le principe du consentement.

Le consentement doit en effet être éclairé, non équivoque, libre, spécifique et personnel. Un consentement valable implique donc un acte positif de la part d’un travailleur informé, comme par exemple une signature.

L’employeur doit au préalable communiquer les informations suivantes :

  • qui est soumis au contrôle ;
  • la portée du contrôle ;
  • les prérogatives de l’employeur et du personnel de surveillance ;
  • la nature des abus pouvant donner lieu au contrôle ;
  • la durée des contrôles et le caractère permanent ou non du contrôle ;
  • la procédure qui sera mise en œuvre à l’issue du contrôle ;
  • les finalités du contrôle ;
  • le fait que les données à caractère personnel soient ou non conservées, le lieu et la durée de la conservation.

 

Le RGPD impose des informations supplémentaires :

  • le fondement légal du traitement des données ;
  • le type de données traitées ;
  • si les données franchiront les frontières de l’UE ;
  • les droits du travailleur qui seront désormais plus étendus, à savoir le droit d’accès, le droit de porter plainte auprès de la police, le droit de réduire le traitement des données à caractère personnel...

 

Finalité : Le contrôle n’est autorisé que si des finalités légitimes sont poursuivies. La CCT n° 81 en énumère quelques-unes.

  • Prévention de faits illicites/diffamatoires, contraires aux bonnes mœurs ou portant atteinte à la dignité d’autrui
  • Protection d’intérêts commerciaux, économiques et financiers confidentiels et lutte contre les intérêts contraires à ces derniers
  • Sécurité et/ou bon fonctionnement technique des systèmes informatiques en réseau, protection physique de l’entreprise
  • Respect de bonne foi des principes et règles d’utilisation des technologies en réseau appliqués dans l’entreprise

 

Proportionnalité : Le contrôle des données de communication électroniques en réseau ne peut être excessif au regard des finalités poursuivies[2].

Une ingérence dans la vie privée du travailleur doit être pertinente et réduite à un minimum.

En principe, seul un contrôle global est possible

  • Contrôle des sites internet : l’employeur peut collecter des données relatives à la durée de la connexion par poste de travail mais ne peut individualiser les sites consultés.
  • Contrôle des e-mails : l’employeur peut collecter des données concernant le nombre et le volume des courriers sortants par poste de travail mais ne peut identifier le travailleur qui les a transmis.

MAIS l’individualisation par travailleur n’est possible que si des indices laissent présumer l’existence d’un abus.

Type individualisation

  • Individualisation directe : pour les finalités 1-3 ;
  • Individualisation indirecte : en ce qui concerne la finalité 4, il y a lieu de suivre une procédure spécifique consistant en une phase d’information collective préalable à l’individualisation et le travailleur concerné a le droit d’être entendu.                 

Recherche d’alternatives :

L’employeur doit vérifier si la finalité poursuivie ne peut être atteinte d’une manière moins intrusive.

 

Transparence : Procédure d’information

 

Les organes de concertation doivent être informés préalablement au contrôle et lors de l’installation du système de contrôle.

Dès l’instauration du contrôle, les travailleurs doivent également être informés sur :

  • l’utilisation des outils mis à leur disposition et les limites d’utilisation de ces outils ;
  • leurs droits, devoirs, obligations et sur les interdictions les concernant ;
  • les sanctions prévues au règlement de travail en cas de manquement.

Le système de contrôle installé sera en outre régulièrement évalué par les organes de concertation.

 

Documentation : Pas de nouvelles mesures mais des adaptations

Les règles et modalités doivent figurer dans un document spécifique tel que le règlement de travail, un avenant au contrat de travail, une politique ICT, des instructions générales...

 

 

Tenue d’un registre des activités de traitement des données

 

Que peut faire Securex pour vous ?

Securex vous propose une politique ICT (e-mail, internet et réseaux sociaux) destinée à réglementer l’utilisation d’e-mails et d’internet. Si vous disposez déjà d’un tel règlement, votre Legal advisor peut s’assurer qu’il est conforme aux dispositions de la CCT n° 81 et du RGPD.

Nous avons également élaboré pour vous un modèle de politique de protection de la vie privée qui vous permettra de satisfaire d’emblée à votre obligation d'information. Celui-ci est disponible sur notre e-shop. Vous recevrez en plus un registre de données gratuit qui vous permettra de faire d'une pierre deux coups et de satisfaire également à votre obligation de documentation !

Envie d’en savoir plus ?

Étant donné que le RGPD entrera prochainement en vigueur, il importe de savoir quel impact il aura sur le traitement de données à caractère personnel dans votre entreprise. Vous traitez en effet quotidiennement des données à caractère personnel concernant vos travailleurs.

Securex propose une formation avancée sur ce nouveau règlement, qui abordera les changements précis et la manière dont vous pouvez satisfaire aux obligations qui vous incombent en tant qu’employeur. Vous pouvez vous inscrire et consulter le programme via notre calendrier de formations.

 


[1] Le 25 mai 2018... soit dans quelques mois seulement !

[2] Tel qu’il ressort clairement de notre article de septembre consacré à la surveillance des faits et gestes de votre travailleur (lien 14/09/2017), même s'il est stipulé dans votre politique relative à l’utilisation d’internet et des e-mails que ces outils ne peuvent être utilisés qu’à des fins professionnelles, cela ne vous autorise pas pour autant à éplucher la boîte aux lettres électronique de votre travailleur.

Secrétariat Social Securex - Legal 11/30/2017