Absolument, et ce peu importe la taille de votre entreprise. Dès que vous traitez des données à caractère personnel, c’est-à-dire des données qui permettent (in)directement d’identifier une personne physique, par exemple son nom, son numéro de compte bancaire, ses qualifications professionnelles ou les données GPS de son véhicule de fonction, vous êtes tenu de respecter la législation vie privée. C’est donc forcément le cas de vos collaborateurs.
En réalité, le nouveau règlement, mieux connu sous son acronyme anglais GDPR, vient non seulement renforcer la législation existante, par exemple au niveau des informations à communiquer aux personnes concernées, mais crée également de nouvelles obligations à charge de celles et ceux qui traitent ces données, par exemple en ce qu’il leur impose dans certains cas de désigner un délégué à la protection des données (ou DPO en anglais). Et gare aux cancres qui ne s’y conformeraient pas car de (lourdes) sanctions sont prévues !
Si donc ne rien faire n’est pas une option, comment procéder en pratique ? Tout d’abord allouez du temps et des ressources à ce projet. Pourquoi ? Parce que cela vous permettra de voir clair sur ce que vous devez faire…ou pas. De fait, il est possible que certaines obligations n’aient pas lieu d’être en ce qui vous concerne, par exemple si rien ne justifie de réaliser ce qu’on appelle un « privacy impact assessment », c’est-à-dire une analyse d’impact lorsque certains traitements font encourir des risques élevés sur la vie privée des personnes concernées. Le groupe de travail européen indépendant « Article 29 » a par exemple considéré que cette analyse est nécessaire en cas de cybersurveillance au bureau.
Dès que vous aurez (re)pris conscience de l’importance du sujet, il vous faudra connaître précisément les données de vos collaborateurs, ainsi que les finalités légitimes que vous poursuivez en traitant ces données (par exemple l’administration du personnel ou le contrôle sur le lieu de travail). Une fois réalisé ce « data mapping », vous devrez vous assurer de disposer de base(s) légale(s) suffisante(s). Pour le dire autrement, les autorités de contrôle sont réticentes à accepter un traitement par un employeur qui serait prétendument basé sur le consentement du travailleur. Vu l’autorité patronale, d’aucuns doutent en effet qu’il puisse s’agir d’un consentement libre, spécifique, éclairé et univoque. Dès lors, pour pouvoir justifier les traitements qu’il fait des données de ses collaborateurs, l’employeur s’appuiera le plus souvent sur la nécessité d’exécuter le contrat de travail et/ou celle de respecter une obligation légale à laquelle il est lui-même soumis (par exemple la législation sociale). Toutes ces informations devront d’ailleurs figurer dans un registre électronique qu’il faudra tenir à disposition des autorités de contrôle. A cet égard, il est utile de souligner que la dérogation visée dans le GDPR pour les organisations occupant moins de 250 employés a une portée très limitée. En effet, pour la Commission Vie Privée, la gestion du personnel est une activité qui empêche d’en bénéficier. En d’autres termes, la tenue de ce registre paraît inévitable.
Avoir une bonne compréhension de ce que vous collectez comme données et de ce que vous en faites est essentiel. Cela vous permettra d’adopter les mesures nécessaires en connaissance de cause (ainsi que de les documenter !), par exemple au niveau de l’information à communiquer à vos collaborateurs.
Enfin, n’oubliez pas que cet exercice concerne aussi vos « sous-traitants », c’est-à-dire celles et ceux qui traitent ces données pour votre compte, par exemple votre secrétariat social ou l’hébergeur cloud de votre logiciel de gestion RH. De fait, le GDPR stipule un certain nombre de mentions qui doivent normalement figurer dans le contrat avec votre sous-traitant. Soyez-y donc attentifs !
Attention, ne tardez plus trop car le GDPR entre en vigueur dans moins de 8 mois….Plus d’informations sur www.privacycommission.be.