Quels sont les changements pour votre politique RH ?

Quoi ?

Qu’est-ce que cela signifie pour votre entreprise ?

Chaque employeur traite à une grande échelle des données à caractère personnel de son personnel.

Données à caractère personnel’ est un terme générique pour désigner toutes les informations sur la base desquelles une personne peut être identifiée directement ou indirectement, comme le nom, l’adresse, le numéro de registre national, les données salariales, le profil en ligne, les données de connexion, etc.

La notion de ‘traitement’ est définie si largement que pratiquement toute manipulation de données à caractère personnel est considérée comme un traitement. Ceci comprend notamment la collecte, l’enregistrement, le stockage, la mise à jour, la modification, la consultation, l’utilisation, la transmission, la distribution, la suppression, etc. La condition est que le traitement soit au moins partiellement automatisé, ou, si ce n’est pas le cas, que les données à caractère personnel soient destinées à être inclues dans un fichier.

Confirmation et renforcement des principes existants

Dans une large mesure, le Règlement confirme les principes existants, par exemple en ce qui concerne les principes relatifs à un traitement des données à caractère personnel admissible, légitime et sécurisé. Les règles de base pour le transfert des données à caractère personnel vers des pays tiers à l’Europe restent pour la plupart valables.

En outre, les droits et obligations existants sont renforcés. Cela inclut le droit d’un travailleur d’accéder à ses données à caractère personnel, de les rectifier et de les effacer (le fameux ‘droit à l’oubli’), ou - à partir de maintenant - de les transmettre à un tiers (‘portabilité des données’). L’obligation pour l’employeur de traiter les données de la manière la plus sûre possible, en utilisant des techniques comme l’anonymisation, la pseudonymisation ou  le cryptage des données, est également renforcée (‘protection des données dès la conception et protection des données par défaut’). Les employeurs devront encore conclure des contrats avec les entreprises qui traiteront les données en leur nom (par exemple : les secrétariats sociaux, les fournisseurs de services informatiques externes, les compagnies d’assurance, ...). En vertu du Règlement, les responsables du traitement supporteront une plus grande responsabilité en ce qui concerne le traitement sécurisé.

Le principe du «guichet unique»

Les entreprises qui font des affaires dans différents Etats membres de l’Union européenne doivent désormais travailler avec un guichet unique, alors qu’elles devaient auparavant évaluer séparément dans chaque Etat membre les mesures qui devaient être prises.

Obligation d’information accrue

En vertu des règles actuelles, l’employeur qui traite des données à caractère personnel doit déjà communiquer aux (candidats-) travailleurs concernés certaines informations. Ainsi, les personnes concernées doivent par exemple être informées des finalités pour lesquelles leurs données sont traitées, à qui leurs données sont communiquées et vers qui elles peuvent se tourner afin d’exercer leurs droits.

Cette obligation d’information est accrue par le Règlement.

Désormais, à côté des informations qui sont déjà obligatoires, l’employeur devra indiquer la base juridique sur laquelle il se fonde pour traiter les données.

Dans le contexte des relations de travail, les données à caractère personnel des travailleurs sont souvent traitées en vue de la réalisation d'un intérêt légitime de l’employeur. Ceci est l’un des fondements possibles d'un traitement de données à caractère personnel. Le Règlement oblige désormais l’employeur à décrire cet intérêt légitime, dans son information.

Désormais, les employeurs doivent également faire savoir à l’avance s’ils ont l’intention de transférer des données en dehors de l’Europe et combien de temps ces données seront conservées. Ils doivent également indiquer, que la personne concernée a le droit de déposer plainte auprès de la Commission de la protection de la vie privée, que la personne concernée peut retirer son consentement (si le traitement est - en tout ou en partie - basé là-dessus ), qui est le ‘délégué à la protection des données’ (s’il y en a un), etc.

Cette information élargie doit être donnée sous une forme complète et facilement accessible, ainsi que dans un langage clair et simple. En règle générale, l’information est fournie par écrit ou électroniquement.

Le consentement comme base juridique pour le traitement

Selon la législation actuelle, le consentement du travailleur est également une base juridique possible pour traiter des données à caractère personnel. Il existe néanmoins un débat quant à la question de savoir si un travailleur peut réellement donner son consentement « librement ».

Bien que le Règlement conserve le consentement comme base juridique, il assortit celui-ci de conditions plus strictes.

Celui-ci doit être libre, spécifique, fondé sur l’information utile, univoque et rédigé dans un langage clair et compréhensible. L’employeur doit démontrer le cas échéant que le travailleur a donné son consentement. Un consentement explicite sera donc nécessaire. Le travailleur a également le droit de retirer son consentement à tout moment.

Nous recommandons donc d'obtenir, si possible, le consentement des travailleurs, comme base juridique supplémentaire du traitement, mais également de s’assurer que l’employeur dispose aussi d’un autre fondement juridique pour traiter les données à caractère personnel.

Obligation de documentation

A partir de l’entrée en vigueur du Règlement, les entreprises qui occupent 250 travailleurs ou plus, ne devront plus faire de déclaration à la Commission de la protection de la vie privée. Elles devront toutefois tenir un registre des activités de traitement effectuées sous leur responsabilité, sous forme écrite ou électronique. Ce registre devra contenir certaines mentions obligatoires et devra pouvoir être présenté à la demande de la Commission de la protection de la vie privée. Si une entreprise occupe moins de 250 travailleurs, ce registre devra également être établi si le traitement des données à caractère personnel est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, ne se produit pas de manière occasionnelle, ou lorsque des données sensibles sont traitées.

Obligation de désignation d’un ‘délégué à la protection des données’ pour certaines entreprises

Certains employeurs, comme les autorités publiques ou les entreprises dont l’activité principale consiste à traiter des données à caractère personnel ou des données sensibles, seront obligés de désigner un ‘délégué à la protection des données’. Cela peut être un travailleur, mais également un fournisseur de services indépendant. Cette personne conseillera l’employeur quant aux mesures qui devront être prises à la lumière du nouveau Règlement et surveillera également le respect des principes du Règlement. Cette personne devra être en mesure d’agir de manière indépendante au sein de l’entreprise. Elle devra faire des rapports au plus haut niveau de management et ne pourra pas être licenciée pour des raisons ayant trait à l’exercice de sa fonction.

Obligation de notification des violations

Si les données à caractère personnel des travailleurs sont susceptibles de se retrouver dans de mauvaises mains, par exemple parce que quelqu’un a piraté les données, en cas d’erreur humaine ou en cas d'erreur dans le système, l’employeur sera obligé dans certains cas de le notifier à la Commission de la protection de la vie privée, ainsi qu’aux personnes concernées. On pense à un travailleur dont l’ordinateur portable est volé et sur lequel se trouvaient des données à caractère personnel, ou à un e-mail contenant des données à caractère personnel et qui a été envoyé par erreur à une mauvaise adresse. Une politique décrivant les différentes situations possibles et les réponses à y apporter peut être utile.

Risque de sanction plus élevé

Actuellement, le respect des règles relatives au traitement des données à caractère personnel n’est à notre sens pas la priorité absolue des employeurs sur le marché belge. Cela est entre autres dû au fait que, contrairement à certains de nos pays voisins, en Belgique, la législation actuelle ne prévoit pas de réel risque de sanction. Des sanctions pénales sont bien prévues, mais en pratique, celles-ci sont rarement appliquées, voire jamais. L’autorité de contrôle belge, la Commission de la protection de la vie privée, ne dispose pas de pouvoir de sanction.

Cela va considérablement changer avec le nouveau Règlement.

Les travailleurs pourront déposer plainte auprès de la Commission de la protection de la vie privée et introduire une demande en dommages et intérêts devant les tribunaux.

Désormais, les entreprises qui ne respecteront pas ces règles, pourront être condamnées à de lourdes amendes par la Commission de la protection de la vie privée. Les amendes administratives pourront aller jusqu’à 20 millions d’euros ou à 4% du chiffre d’affaires mondial annuel d’une entreprise.