Le RGPD entrera en vigueur dans dix jours. Les grandes et petites entreprises devront alors satisfaire aux règles européennes renforcées de respect de la vie privée. Toutes les entreprises sont-elles concernées? Faut-il absolument désigner un DPO?… Quelles sont les questions les plus fréquentes qui se posent à l’intérieur de nos organisations?
Jean-Luc Vannieuwenhuyse Manager au Centre de connaissances juridiques de SD Worx dresse la synthèse des questions pour lesquelles le secrétariat social est le plus souvent sollicité : « L’échéance du 25 mai est effectivement réelle. Il est important d’au moins lancer les préparatifs et de poursuivre le travail après le 25 mai. Bien que l’échéance se rapproche, il n’est certainement pas encore trop tard. »
La première question fréquemment posée est la suivante :
1. Quels sont les délais de conservation des données du personnel ?
En tant qu’employeur, pendant combien de temps puis-je conserver les données à caractère personnel et les documents du personnel de mes collaborateurs ? Le RGPD n’impose certes pas de délais de conservation explicites, mais ne permet pas pour autant de garder les données à caractère personnel plus longtemps que le strict nécessaire. Ainsi, la loi stipule par exemple des délais de conservation minimaux pour une série de documents sociaux et fiscaux. Pour les documents qui ne font pas l’objet d’un délai légal, l’employeur devra estimer lui-même pendant combien de temps il les conserve. L’employeur devra alors pouvoir justifier le délai de conservation vis-à-vis de l’autorité de protection des données.

2. Quel est l’impact sur le règlement de travail ou le contrat de travail individuel ?
De nombreux employeurs pensent qu’ils doivent insérer des clauses de protection de la vie privée dans les contrats de travail individuels et les règlements de travail. Ce n’est pas vrai, même si en tant qu’employeur, vous êtes bel et bien tenu d’informer vos travailleurs de ce qui se passe avec leurs données. Une politique de confidentialité est l’idéal à cet effet : en cas de modification de la politique, il est aussi simple d’adapter ce document.
3. Le consentement du travailleur est-il nécessaire pour toutes les données ?
Avez-vous désormais besoin d’une autorisation pour placer une photo de votre travailleur dans l’annuaire téléphonique de l’entreprise ? Avec le RGPD, il n’est plus si simple d’obtenir une autorisation valable au niveau juridique. L’autorisation doit être éclairée et sans équivoque, et avoir été donnée de manière explicite. De plus, quiconque la donne, peut aussi la retirer à tout moment.
Cette forme explicite d’autorisation n’est pas nécessairement requise pour l’administration et la gestion du personnel : vous pouvez vous baser sur la relation contractuelle entre l’employeur et le travailleur. Le contrat que vous avez conclu avec votre collaborateur fait office d’autorisation explicite et vous donne le droit de traiter les données dont vous avez besoin pour remplir votre obligation contractuelle.
4. Sommes-nous tenus de désigner un Data Protection Officer (DPO) et ce DPO est-il protégé contre le licenciement ?
Seules trois sortes d’entreprises sont tenues de désigner un DPO :
– les entreprises publiques ;
– les organisations qui traitent des données spéciales, comme des données pénales;
– les entreprises qui traitent au quotidien une grande quantité de données à caractère personnel – sensibles ou non – comme les hôpitaux, les assureurs ou les banques. Il va de soi que toute entreprise peut désigner volontairement un DPO. Un DPO est toujours protégé contre le licenciement, du moment qu’il exécute correctement la fonction.
5. Une PME doit-elle établir un registre des données ?
La Commission vie privée conseille à toutes les entreprises de tenir un registre des données. Les organisations comptant moins de 250 travailleurs sont seulement tenues de reprendre un registre des données avec la gestion normale du personnel et les traitements de données non occasionnels contenant des informations sensibles. En relèvent :
– les données qui forment un risque pour les droits et libertés d’une personne ;
– les informations sensibles : race, origine ethnique, conceptions politiques, convictions religieuses ou philosophiques, affiliation à un syndicat, données génétiques et biométriques ou données sanitaires, données portant sur le comportement sexuel ou l’orientation sexuelle ;
– les informations judiciaires : données sur des condamnations pénales et des faits
délictueux ou des mesures de sécurité y afférentes ;
- les données concernant des tiers, comme des clients ou fournisseurs, et des travailleurs.
Source : SD Worx