GDPR et droit du travail

Droit de l'entreprise

Madame Géraldine Massart

 

Avant l’entrée en vigueur du GDPR, des dispositions protectrices existaient déjà en droit belge notamment par l’entremise de la loi de 8 décembre 1992 ou encore diverses conventions collectives de travail (CCT 81 relative aux données de communications électronique en réseau, CCT 68 relative au caméra sur le lieu de travail …). Le GDPR a renforcé les droits et obligations en la matière.

 

  1. Quelles sont les données protégées en droit du travail ?

Le GDPR concerne les relations de travail en ses diverses phases tant au niveau du recrutement (entretiens, tests d’évaluation, base de données de candidats), qu’au niveau de l’exécution du contrat de travail (formation, évaluation, mobilité, sanction disciplinaire, gestion des salaires, relations collectives, utilisation de l’internet, d’un véhicule de société, badge, vidéosurveillance …) et de la rupture du contrat de travail.

Pour rappel, les « données à caractère personnel » visent toute information sur base de laquelle une personne peut être identifiée directement ou indirectement, telle notamment le nom, l'adresse, la photo, le numéro de téléphone, l’état de santé ou encore l'empreinte digitale.

 

  1. Dans quelles limites peut-on « traiter » les données personnelles des travailleurs ? Quelles sont les mesures qui doivent être implémentées par les employeurs ?

2.1.

De manière synthétique, les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente,
  • collectées pour des finalités déterminées, explicites et légitimes ; l’employeur s’appuiera généralement sur
    • la nécessité d’exécution du contrat de travail et de sa préparation,
    • le respect de ses obligations légales (notamment en matière de sécurité sociale et fiscale)
    • l’intérêt légitime de l’entreprise (par exemple en cas d’évaluation),
  • adéquates, pertinentes et nécessaires au regard des finalités poursuivies,
  • différentes des données sensibles (religion, races …)
  • conservées sous une forme permettant l’identification pendant une durée n’excédant pas celle nécessaire au regard des finalités poursuivies,
  • traitées de façon à garantir une sécurité appropriée des données.

2.2.

Si l’employeur, en « traitant » des données personnelles, ne poursuit pas l’un des objectifs prescrits, comme la nécessité d’exécution du contrat de travail, le respect de ses obligations légales ou l’intérêt légitime de l’entreprise, il doit alors recueillir préalablement le consentement du travailleur.

2.3.

Par ailleurs, il existe une obligation générale d’information du travailleur quant au traitement des données à caractère personnel. Cette obligation, qui existait déjà sous l’égide de la législation antérieure, a été renforcée par le GDPR. En plus des obligations d’information du travailleur déjà requises en termes de finalité du traitement, catégories de données, identité du responsable de traitement, de nouvelles informations doivent être communiquées comme :

  • le fondement légal du traitement de ces données,
  • l’identité de l’éventuel délégué à la protection des données : « DPO »,
  • les droits dont dispose le travailleur quant à la consultation, la rectification, l’effacement, la limitation, la portabilité,
  • le délai de stockage des données,
  • la possibilité d’introduire une réclamation auprès de l’Autorité de protection des données.

Le devoir d’information reposant sur les épaules de l’employeur peut être rencontré par la mise à jour du règlement de travail ou par l’entremise d’autres documents (contrats individuels, conventions). Cette obligation vaut tant pour les travailleurs déjà en service que pour les nouveaux arrivants.

2.4.

L’employeur doit tenir un registre des activités de traitement et le mettre à jour régulièrement. Ce registre reprend l’ensemble des processus de traitement outre, pour chaque processus, certaines mention déterminées (l’identité du responsable du traitement des données, les données traitées, la provenance des données traitées,..)

2.5.

Un délégué à la protection des données doit dans certains cas être désigné pour veiller au respect du RGPD dans l’entreprise. Ce délégué doit être formé afin d’accomplir sa mission avec l’expertise nécessaire.

2.6.

L’employeur doit également prévoir un niveau de sécurité suffisant au sein de l’entreprise et mettre au point une procédure permettant de détecter, rapporter et examiner les éventuelles fuites actives ou accidentelles de données.

2.7.

Si l’employeur fait appel à un tiers pour traiter les données personnelles de ses travailleurs, il doit répertorier les différents sous-traitants qui traitent ces données et s’assurer qu’ils respectent bien le RGPD.

2.8.

L’employeur doit identifier les données personnelles traitées au sein de son entreprise et vérifier que ce traitement respecte les règles énoncées ci-dessus.