Qu’est-ce qu’une donnée à caractère personnel ?
Identification directe ou indirecte d’une personne
Par "données à caractère personnel", il y a lieu d’entendre toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une "personne physique identifiable" une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Dans le cadre des relations de travail, il peut, par exemple, s’agir des données suivantes : nom, prénom, numéro de personnel, adresse, rémunération, numéro de compte, statut social, adresse e-mail, numéro de registre national, photo, empreinte digitale, numéro de téléphone privé ou professionnel...
Données à caractère personnel sensibles
Le traitement de données à caractère personnel sensibles est en principe interdit. Il s’agit des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle est également interdit.
Le traitement de ces données est toutefois autorisé :
- Si la personne intéressée y a expressément consenti (à moins que le traitement de ces données ne soit impossible en vertu du droit national applicable)
- Si le traitement est nécessaire en matière de droit du travail et de la sécurité sociale
- Si le traitement porte sur des données à caractère personnel rendues publiques par la personne concernée
- Si le traitement est nécessaire à l’exercice de droits en justice
- Si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur dans la mesure où ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel ou sous sa responsabilité
Il convient de souligner le caractère précaire du consentement du travailleur dans le cadre d’une relation de travail, vu le rapport d’autorité existant entre l’employeur et le travailleur.
L’employeur ne peut ainsi ignorer qu’un de ses travailleurs est délégué syndical dès lors qu’il doit tenir compte de la protection contre le licenciement accordée à ce dernier.
Conclusion : dans le cadre des relations de travail, le traitement de ce type de données à caractère personnel est donc parfois autorisé, mais requiert une certaine prudence.
Traitements différents dans le cadre des relations de travail
Concrètement, l'employeur procède principalement aux traitements de données suivants : 1) l'administration du personnel et des salaires, 2) la gestion du personnel et l'organisation du travail et 3) le contrôle sur le lieu de travail.
Dans la plupart des entreprises, ces deux volets forment un tout. Les logiciels ainsi que les dossiers du personnel contiennent des données à caractère personnel utilisées pour l’administration tant des salaires que du personnel. Si, dans la pratique, ces traitements ne doivent pas être scindés, ils doivent toutefois être mentionnés séparément dans le registre des données.
Données à caractère personnel dans le cadre de l’administration du personnel et des salaires
Il s’agit des données à caractère personnel prescrites par les lois, règlements et directives en matière de droit du travail, de sécurité sociale, de législation fiscale, adoptées au niveau régional, fédéral et international, y compris les conventions collectives et individuelles de travail ainsi que les règlements de travail.
Cela concerne l'administration des salaires, indemnités et commissions.
Il peut s’agir, par exemple, des données utiles pour déterminer la rémunération, ou pour l’application de la législation sociale et fiscale (p.ex., la situation du ménage).
Le responsable du traitement est, en l’occurrence, l’employeur. En tant que secrétariat social, Securex est considéré comme sous-traitant principal pour l’administration des salaires.
Données à caractère personnel dans le cadre de la gestion du personnel et de l'organisation du travail
Il s’agit des données à caractère personnel traitées au sein de l’entreprise, mais qui ne sont pas directement prescrites par des dispositions légales, réglementaires ou conventionnelles en matière d’emploi, et qui ne peuvent dès lors être classées dans le volet "administration des salaires".
Ces données sont plus particulièrement liées à la sélection, au recrutement, à la formation, aux avantages sociaux, à l’organisation du travail, à la planification des carrières, aux appréciations et évaluations, etc.
Les données enregistrées au sein de l’entreprise dans le cadre de l’administration du personnel ne sont pas traitées par Securex. En effet, elles ne sont normalement pas visées par les missions d’un secrétariat social. Securex n’intervient donc pas en tant que sous-traitant pour l’administration du personnel des entreprises. Le responsable du traitement est ici aussi l’employeur.
Données à caractère personnel dans le cadre du contrôle sur le lieu de travail
Il s'agit des données à caractère personnel qui sont traitées lors du contrôle, via une caméra ou des systèmes informatiques tels que le contrôle des e-mails, de l'usage d'internet, du téléphone…, de l'activité professionnelle sur le lieu de travail.