Règlement Général sur la Protection des Données : Lancement au 25/05/2018
La réglementation existante concernant la protection des données et de la vie privée sera considérablement renforcée prochainement.
De nouvelles règles reprises dans le Règlement général sur la protection des données (RGPD, aussi connu sous son appellation anglaise General Data Protection Regulation – GDPR) entreront en effet en vigueur le 25 mai 2018.
Là où les travailleurs disposeront de droits clairement délimités, les employeurs se verront imposer des obligations plus strictes. Si vous ne respectez pas ces nouvelles obligations, vous risquez une amende pouvant aller jusqu’à 20 millions d'euros ou 4 % du chiffre d’affaires annuel.
Il est donc grand temps de prendre les précautions nécessaires !
Votre partenaire attitré EASYPAY GROUP vous informe dès lors sur ce que vous devez précisément faire en tant qu’entreprise. Les nouvelles mesures du « RGPD » suscitent en effet de nombreuses questions quant à leur application pratique dans le contexte des ressources humaines.
En résumé : quels sont les principes de base à respecter en tant qu’entreprise ?
Établissement d’un registre de données pour tous vos traitements
Qu’est-ce qu’un traitement ?
Chaque employeur traite quotidiennement une multitude de données à caractère personnel. Un traitement peut par exemple prendre les formes suivantes : réception et enregistrement d’un CV et d'une lettre de motivation, définition du salaire et des avantages complémentaires, établissement du dossier du personnel, envoi de ces données à d’autres sous-traitants (votre secrétariat social, votre comptable, votre fournisseur d’assurance groupe, votre fonds social...), enregistrement des absences, suivi à l’aide d’un système track & trace, installation de caméras de surveillance.
D’ici peu, vous devrez toutefois tenir compte de certaines règles lors de ces traitements. Tout traitement de données ayant trait à une personne ou permettant d’identifier celle-ci indirectement relève du RGPD.
Qu’est-ce qu’un registre de données ?
Le registre de données doit contenir toutes sortes d’informations propres à l’entreprise sur le traitement de vos données personnelles. Il comprend une liste complète de toutes les données personnelles qui sont traitées et précise comment celles-ci sont reçues, ce qu’il doit en advenir, à qui elles sont transmises et pour quelle raison, combien de temps elles sont conservées, etc.
Chaque responsable du traitement ou sous-traitant de données personnelles ou presque est tenu d’établir un registre de données, aussi appelé registre des activités de traitement. À strictement parler, cette obligation ne s’applique qu’aux entreprises ayant au moins 250 travailleurs en service, ainsi qu’aux entreprises plus petites qui traitent régulièrement des données. Selon la Commission vie privée, la gestion du personnel en tant que telle relève cependant de cette obligation.
Devoir d’information des travailleurs élargi
En tant qu’employeur, vous êtes dans l’obligation d’informer vos travailleurs de leurs droits de manière approfondie et transparente.
Ces derniers se verront en effet octroyer toute une série de nouveaux droits :
- Droit d’accès à leurs données personnelles ;
- Droit de rectification des données personnelles erronées ;
- Droit à la limitation du traitement ;
- Droit à la portabilité des données ;
- Droit d’opposition à la prise de décision et au profilage automatisés ;
- Droit à l’oubli.
Les questions ci-dessous relèvent toutes de ce devoir d'information :
- Quelles données de quels travailleurs traitez-vous et pourquoi ?
- Où avez-vous obtenu ces données personnelles ?
- Qui a accès à ces données personnelles ?
- À quelles fins sont-elles utilisées ?
- Pendant combien de temps seront-elles conservées ?
- À qui vos travailleurs peuvent-ils s’adresser au sein de l’entreprise s’ils ont des questions en la matière ?
- ...
Il est recommandé de reprendre les réponses à ces questions dans une politique interne sur la protection de la vie privée. Les travailleurs pourront ainsi disposer à tout moment de toutes les informations souhaitées.
Objectif de sensibilisation
L’un des principaux objectifs de la législation relative au RGPD est de mettre la protection de la vie privée et des données au centre de toute action au sein de votre entreprise. Outre le devoir d’information élargi, nous vous conseillons également de miser sur l’information et la sensibilisation de l'ensemble de votre personnel, et plus particulièrement du management, des chefs de service, des responsables, etc. Ils devront, eux aussi, veiller à la mise en œuvre et au contrôle de cette nouvelle législation sur la protection de la vie privée.
Analyse de vos contrats et politiques d’entreprise
Dans le cadre de la nouvelle réglementation, certains documents devront être soumis à une révision. Pensez notamment aux contrats avec les sous-traitants auxquels vous transmettez des données à caractère personnel, vos contrats ou accords de collaboration avec des clients ou sous-traitants, vos politiques existantes en matière de TIC, votre politique sur la surveillance par caméras, etc.
Prévention des fuites de données
En collaboration avec votre service informatique, vous devrez élaborer une procédure appropriée afin de détecter les éventuelles fuites de données, en faire rapport et les analyser. Veillez donc à une sécurisation stricte de toutes vos données !
Toutes les fuites de données pour lesquelles il existe une probabilité que l’intéressé puisse subir un dommage doivent en effet être déclarées à la Commission vie privée.
Contrôle de la protection des données « dès la conception » et « par défaut »
Les procédures tant existantes que futures au sein de votre entreprise devront être examinées au regard des nouvelles règles sur la protection de la vie privée.
En tant qu’entreprise, vous devrez dès lors prendre les mesures techniques et organisationnelles requises en vue de la protection et de la préservation de l’individu et mettre en œuvre une politique adaptée de protection des données. Vous pourrez ainsi miser sur le cryptage maximum des mots de passe, la limitation de l’accès à certaines informations pour vos travailleurs, la possibilité de masquer au maximum les données sensibles, la fragmentation systématique des informations sensibles, l’adaptation des paramètres par défaut, la désactivation des cases préremplies, etc.
Désignation d’un DPD ?
Certaines entreprises seront tenues de désigner un délégué à la protection des données (DPD ou, en anglais, Data Protection Officer – DPO). Ce sera surtout le cas si vous êtes une instance ou un organe public et que vous effectuez des traitements exigeant un suivi régulier et systématique à grande échelle ou que vous traitez des données particulièrement sensibles.
Le DPD devra veiller à ce que la politique sur la protection de la vie privée de votre entreprise soit conforme à la nouvelle réglementation. Il fera également office de conseiller vie privée au sein de l’entreprise et de personne de contact pour la Commission vie privée. Il est possible de désigner un seul DPD au sein d’un groupe d’entreprises. Le DPD peut être un travailleur de votre entreprise, ou vous pouvez faire appel à un prestataire de services externe. Dans tous les cas, les données du DPD doivent être communiquées à la Commission vie privée.
Remarque supplémentaire pour les entreprises internationales
Les entreprises actives sur le plan international doivent définir à l’avance la Commission vie privée dont elles relèveront. En cas d’infraction à la législation relative à la protection de la vie privée au niveau international, le pouvoir décisionnel reviendra normalement à la Commission vie privée du pays où est établi le siège de l’entreprise.
Si vous avez encore des questions en la matière, vous pouvez peut-être aussi consulter le site web de la Commission vie privée. Vous y trouverez déjà plusieurs FAQ dans le dossier thématique relatif au RGPD : https://www.privacycommission.be/fr/la-vie-privee-sur-le-lieu-de-travail-generalites
Partager sur des médias sociaux :