Se connecter
Service & Contact Securex.be
Se connecter

Le quatrième anniversaire du GDPR : six vérifications à appliquer à votre politique du personnel

Le 25 mai 2018 marquait l’entrée en vigueur du RGPD, un paquet de règles ambitieuses visant à mieux protéger les données à caractère personnel des citoyens européens. Comme dans la pratique, toute entreprise est amenée à traiter des données à caractère personnel, le RGPD doit toujours être pris en compte.

Cela vaut aussi en matière de gestion du personnel. 

Il y a quatre ans, le Règlement général pour la protection des données (RGPD) introduisait des dispositions strictes concernant l’utilisation et la protection des données à caractère personnel. Afin d’assurer le respect de ces dispositions, un nouveau mécanisme de contrôle a été introduit en Belgique : l’Autorité de protection des données ou, en abrégé, l’APD. 

Lisez tous les détails dans notre dossier GDPR et privacy.

Suite à l’introduction du RGPD, les entreprises ont pris conscience de l’importance de la protection de la vie privée et de la sécurisation des données. Les fortes amendes prévues par le RGPD ont favorisé cette prise de conscience. Les citoyens aussi ont appris à mieux connaître leurs droits à la vie privée et les moyens d’action dont ils disposent. 

Quatre ans plus tard, votre politique du personnel est-elle toujours conforme au RGPD ? Procédez sans plus tarder aux six vérifications ci-dessous. 

Six vérifications pour savoir si votre politique du personnel est conforme au RGPD 

Vérification 1. Informez-vous vos travailleurs ? 

Vos travailleurs doivent savoir quelles données à caractère personnel vous traitez et pour quelles finalités. Assurez-vous de les en informer au début de leur contrat de travail. 

Securex met à votre disposition une privacy policy afin de vous permettre de satisfaire à votre obligation d’information.  

Vérification 2. Informez-vous vos candidats ? 

Les candidats aussi doivent savoir au préalable pourquoi vous leur demandez certaines données, ce que vous faites de ces données (finalité ou motif) et combien de temps vous les conservez (délai de conservation). 

Mieux vaut leur communiquer ces informations dès le début de la procédure de recrutement, et de préférence par écrit. 

Pour de plus amples renseignements sur vos obligations au cours de la procédure de recrutement, consultez notre thème Sélection et conclusion du contrat

Vérification 3. Combien de temps conservez-vous les données de vos anciens travailleurs ? 

La législation ne précise nulle part pendant combien de temps vous êtes autorisé(e) à conserver les données à caractère personnel de vos anciens travailleurs. Dans la pratique, il est habituel de les conserver pendant une période de cinq ans après la fin de la relation de travail. 

Ce délai correspond en effet au délai de conservation de la plupart des documents sociaux

Vérification 4. Tenez-vous un registre des activités de traitement ? 

Toute entreprise, quelle que soit sa taille, doit tenir un registre des activités de traitement. Il s’agit d’un document interne contenant un résumé des types de données à caractère personnel que l’entreprise collecte, les finalités pour lesquelles elle les collecte ainsi que plusieurs autres mentions obligatoires.  Le registre ne contient donc pas les données à caractère personnel proprement dites, mais un aperçu des traitements de données effectués dans l’entreprise. 

Vérification 5. La caméra sur votre lieu de travail est-elle légale ? 

Une caméra sur le lieu de travail n’est autorisée que moyennant le respect de certaines règles : 

  • L’utilisation de la caméra doit pouvoir être justifiée par un objectif légal (légalité) 

  • La surveillance par caméra n’est autorisée que si et dans la mesure où elle est nécessaire pour atteindre l’objectif poursuivi (proportionnalité) 

  • Les personnes filmées doivent en être informées au préalable (transparence). 

Vérification 6. Contrôlez-vous les e-mails de vos travailleurs ? 

Il peut arriver que des e-mails privés arrivent dans une boîte de réception professionnelle. En tant qu’employeur, vous ne pouvez pas contrôler les e-mails de vos travailleurs comme bon vous semble : 

  • Vous devez informer vos travailleurs au préalable de la possibilité d’un contrôle et des modalités de ce contrôle 

  • Vous devez avoir un intérêt légitime au contrôle 

  • Le contrôle ne peut porter atteinte au droit à la vie privée de vos travailleurs

En quoi le RGPD était-il novateur ? 

1. Transparence 

Si vous traitez les données à caractère personnel de vos travailleurs, clients ou fournisseurs, par exemple, vous devez les informer de manière claire et intelligible des modalités de collecte et d’enregistrement de ces données. 

Exemple 

Faites référence à votre déclaration de confidentialité dans vos conditions générales, lorsqu’un visiteur complète un formulaire sur votre site web.. Cette déclaration de confidentialité doit comporter un certain nombre de mentions obligatoires et doit être rédigée dans un langage compréhensible. 

2. Responsabilité 

Vous devez obligatoirement définir, pour chaque traitement de données à caractère personnel, une finalité et un cadre d’application. Vous devez également pouvoir prouver que vous avez pris des mesures suffisantes pour protéger les données à caractère personnel que vous traitez. 

3. Nouveaux droits à la protection de la vie privée 

En plus des droits existants, le RGPD a introduit plusieurs nouveaux droits : 

  • Toute personne a le droit de demander la suppression de ses données à caractère personnel  

  • Toute personne a également le droit de transférer ses données à caractère personnel d’un prestataire de services à l’autre  

  • Enfin, toute personne a le droit de s’opposer au profilage et au traitement automatique 

4. Obligation de notifier les fuites de données

Vous avez l’obligation de notifier toute violation ou perte de données à caractère personnel à l’APD dans les 72 heures, sauf si vous pouvez prouver que cette notification comporte un risque élevé pour les droits et libertés des personnes concernées. 

Amendes élevées en cas de non-respect 

Le RGPD prévoit non seulement des règles concernant la protection des données à caractère personnel, mais également de lourdes sanctions en cas de non-respect de ces règles. Toute négligence grave est passible d’une amende de maximum 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial. 

Exemple 

Le 8 décembre 2021, une entreprise de construction belge s’est vu infliger une amende de 10 000 euros parce qu’elle avait utilisé une liste achetée contenant les données publiques de particuliers à des fins de marketing direct. 

Plus récemment, à savoir le 4 avril 2022, l’APD a infligé des amendes à Brussels Airport (200. 000 euros) et à Charleroi Airport (100. 000 euros) parce que, pendant la période de coronavirus, ces aéroports avaient installé un contrôle de la température sans motif légal de traitement. 

Notre conseil 

Votre conformité au RGPD est positive pour l’image de votre entreprise et vous procure un avantage concurrentiel. 

Chiffres 

Chaque année, l’APD publie un rapport sur l’année écoulée. Pour la période du 25 mai 2020 au 20 mai 2021, l’APD a enregistré 1. 902 plaintes et 1. 232 notifications de fuites de données. 

L’APD constate également une augmentation du nombre et du montant des amendes infligées. 

On peut s’attendre à ce que ces chiffres aient encore augmenté cette année conformément à la tendance annuelle à la hausse. 

Que fait Securex pour vous ? 

Vous n’êtes pas certain(e) que votre politique RH soit conforme au RGPD ou vous avez d’autres questions ? N’hésitez pas à contacter votre Legal Advisor Securex en envoyant un e-mail à l’adresse suivante : myhr@securex.be. Vous trouverez nos modèles sur notre e-shop

Pour tout savoir à ce sujet, consultez notre dossier sur le RGPD et la protection de la vie privée sur Lex4You, sous le thème « Obligations de l’employeur ». 

Sources