Dernière mise à jour: 19 décembre 2019
La mise en application du Règlement européen sur la protection des données à caractère personnel (RGPD) par l’employeur dans les rapports avec ses salariés a accentué les obligations des entreprises en matière de collecte, de traitement et de stockage des données ayant un caractère personnel.
Les principaux défis auxquelles doivent faire face les sociétés sont de protéger leur réseau informatique contre toute faille numérique et surtout de prendre conscience de l’ampleur du traitement des données personnelles de leurs employés et de le limiter au strict nécessaire. Tout excès ne fait qu’enfreindre les principes directeurs du Règlement européen.
Avant de présenter une liste des obligations qui incombent aux entreprises dans la perspective des rapports de travail, il faut rappeler que les données à caractère personnel représentent l’ensemble des éléments qui permettent l’identification directe ou indirecte d’une personne physique, par référence à un identifiant, tel que le nom, le Code Numérique Personnel (CNP), le numéro du portable, etc.
LES OBLIGATIONS DE L’EMPLOYEUR
Contrairement à ce que l’on peut penser, toute entreprise qui a des salariés traite automatiquement et obligatoirement des données à caractère personnel, d’où le besoin de mettre en place une série de mesures élémentaires, comme par exemple:
- Analyser les supports internes et externes (serveurs, cloud, prestataires informatiques, etc.) de stockage des données personnelles des salariés ;
- Tenir un registre des activités de traitement de toutes les données personnelles recueillies ;
- Traiter uniquement les données personnelles nécessaires à l’activité de l’entreprise ;
- Mettre en place les moyens d’identification et d’authentification des salariés (établir une politique de gestion des mots de passe et limiter les accès aux dossiers sensibles aux seules personnes vraiment concernées) ;
- Prévoir, selon le cas, un DPO (responsable avec le traitement des données à caractère personnel) ;
Dans le milieu professionnel, le traitement des données des salariés est sur une obligation légale, soit pour l’exécution du contrat de travail, soit pour un intérêt légitime de la part d’employeur.
De plus, le traitement des données à caractère personnel peut être aussi nécessaire pour défendre un droit ou un intérêt devant la justice.
Dans le cadre du processus de traitement des données à caractère personnel, l’employeur doit s’engager à une série d’obligations envers son salarié :
1. INFORMER préalablement le salarié par une note informative ou à travers les dispositions insérées dans le Règlement Intérieur en ce qui concerne, non seulement le type de données recueillies, le but et la durée du processus de détention de ces données, mais aussi quels seraient les possibles destinataires en cas de transfert de ces données. Une attention particulière doit être prêtée en cas de transfert des données à caractère personnel en dehors de l’UE (les données transférées par exemple de la filiale vers la société mère sise en dehors de l’UE, selon le cas) ;
2. ASSURER le caractère exact des données, par un traitement rigoureux et une mise à jour constante ;
3. DIMINUER au maximum les données traitées, par l’adéquation au but visé ;
4. CONSULTER les représentants des salariés sur l’installation des moyens électroniques de surveillance (des cameras vidéo par exemple, ou surveillance de la messagerie électronique), une obligation qui est d’ailleurs prévue par la Loi no. 190/2018 sur la protection des données à caractère personnel et leur diffusion
5. RESPECTER la vie privée de ses salariés. Cela veut dire par exemple une surveillance limitée au strict nécessaire en ce qui concerne l’historique des recherches effectuées par le salarié sur internet depuis l’ordinateur qui aura été mis à sa disposition par l’employeur dans le cadre de son travail, aussi bien par une surveillance limitée de ses trajets faits en dehors du travail par une voiture de service, au travers d’outils de géolocalisation
6. LIMITER LA DIVULGATION des données à caractère personnel du salarié envers une tierce personne. Cette divulgation peut être déterminée par une obligation légale, l’exécution d’un contrat ou bien un intérêt légitime de la part de l’employeur. De plus, conformément au Code de Travail, le traitement des données à caractère personnel du salarié est permis uniquement après information préalable de celui-ci et doit être limité aux activités qu’il réalise et pour la durée de sa prestation au profit de l’employeur
7. FORMER les salariés qui ont des attributions concernant le traitement des données à caractère personnel des salariés. Ces employés doivent très bien connaître les procédures internes et les dispositions légales à appliquer dans ce domaine.
8. SECURISER les données des salariés (prévoir une clause de confidentialité dans le contrat individuel de travail et des sanctions, par exemple, le non respect des procédures ou instructions mises en place par l’employeur représente une faute disciplinaire qui, selon les conséquences, peut conduire à la sanction disciplinaire du salarié, y compris à son licenciement)
LES SYSTEMES DE SURVEILLANCE DES SALARIES
Conformément à la Loi no 190/2018, l’utilisation de systèmes de surveillance (systèmes vidéo, etc.) est acceptée, uniquement dans les conditions suivantes :
- Les motifs invoqués par l’employer pour la surveillance doivent servir à un objectif en rapport direct avec son business (comme par exemple : préserver le secret professionnel) qui prévaut aux droits des salariés ;
- Les salariés sont bien informés par rapport à l’existence des systèmes de surveillance, avant l’installation de ces systèmes ;
- Le syndicat ou les représentants des salariés sont consultés avant l’installation des systèmes de surveillance ;
- L’employeur s’est documenté et démontre que ce type de surveillance est la meilleure modalité et la moins intrusive afin d’atteindre son but;
- La durée de conservation des données à caractère personnel recueilles par les systèmes de surveillance ne doit pas dépasser 30 jours; cependant, cette période peut être plus longue si la loi le prévoit expressément ou dans des cas bien justifiés.
Ces principales mesures doivent être mises en place sous peine de sanctions de l’autorité compétente en cas de contrôle ou dans le cas d’un incident de sécurité ayant eu un impact sur la sécurité des données personnelles.
Le RGPD prévoit des amendes par paliers, selon les fautes commises. Il précise que cette sanction peut atteindre jusqu’à 4 % du chiffre d’affaires annuel.