Feedback
ella
Votre politique de RH respecte-t-elle la vie privée ?
Nouvelles en vrac
Publié le 17/01/2017

Qu'attendons-nous ?

 

En 2018, les règles européennes en matière de protection de la vie privée se durciront. Le législateur belge détaillera sans doute encore une série de points. Pourtant, l'employeur prudent n'attendra pas jusqu'à l'an prochain pour entrer en action !

 

À peu près toutes les entreprises traitent des données à caractère personnel et seront donc soumises à ces règles plus strictes en matière de vie privée. Dans une lettre d'information précédente, nous faisions déjà référence au plan en 13 étapes proposé par la Commission vie privée comme fil conducteur lors de la mise en œuvre du nouveau règlement.

 

Un Groupe de travail de la Commission européenne a également établi des lignes directrices liées à la mise en œuvre du règlement général sur la protection des données (RGPD). Ces lignes directrices doivent d'une part offrir une interprétation claire et harmonisée de toutes les dispositions du RGPD et d'autre part donner des recommandations.

 

Que fait SD Worx ?

 

SD Worx veille à ce que les solutions logicielles (comme Payroll et eBlox) respectent la vie privée, y compris sous la nouvelle législation.

 

L'employeur devra évaluer sa politique de RH et l'adapter aux nouvelles exigences du RGPD. Le directeur RH peut faire appel à un consultant juridique pour l'assister et accompagner ce processus. Pour cela, contactez legalconsulting@sdworx.comou le 0032 (0)78 15 90 22.

 

Le 28 mars 2017, le directeur des RH qui le souhaite pourra suivre une formation à ce sujet chez SD Worx Learning. Pour cela, contactez anouk.reygel@sdworx.com.

 

FAQ

 

Dans cette lettre d'information, nous traitons les questions fréquentes suivantes :

 

Que faire si le travailleur ne veut pas donner son consentement au traitement de ses données ?

Comment le consentement doit-il être donné suivant les nouvelles règles ?

Quelles sont les entreprises et organisations qui doivent désigner un délégué à la protection des données ou data protection officer ?

Sommaire

1. Qu'attendons-nous ?

En mai 2016 entrait en vigueur le nouveau règlement européen sur le respect de la vie privée : le Règlement général sur la protection des données (RGPD) ou General data protection regulation (GDPR). Ce n’est qu’en 2018 que les nouvelles règles en matière de vie privée seront définitivement d’application, mais les entreprises et les organisations qui traitent des données à caractère personnel ont intérêt à d’ores et déjà s’y préparer.

 

À peu près toutes les entreprises traitent des données à caractère personnel et seront donc soumises à ces règles plus strictes en matière de vie privée. Dans une lettre d'information précédente, nous faisions déjà référence au plan en 13 étapes proposé par la Commission à la vie privée comme fil conducteur lors de la mise en œuvre du nouveau règlement.

 

L’obligation de documentation du responsable du traitement deviendra plus importante, les mesures prises doivent être bien documentées. Le plan par étapes aide les entreprises et les organisations à évaluer leur politique actuelle en matière de protection des données et à l’adapter aux nouvelles exigences du RGPD.

 

Les treize étapes concernent :

 

  1. la prise de conscience,

  2. le registre des données,

  3. la communication,

  4. les droits de l’intéressé,

  5. la demande d’accès,

  6. la base légale pour le traitement de données à caractère personnel,

  7. le consentement,

  8. les enfants,

  9. les fuites de données,

  10. la protection des données dès la conception et l’évaluation de l’impact sur la protection des données,

  11. le délégué à la protection des données,

  12. l’international,

  13. Contrats existants

 

Avec ce plan par étapes, l’employeur peut d’ores et déjà se mettre au travail !

2. Que fait SD Worx ?

SD Worx veille à ce que les solutions logicielles (comme Payroll et eBlox) respectent la vie privée, y compris sous la nouvelle législation.

 

L'employeur devra évaluer la politique de protection des données et l'adapter aux nouvelles exigences du RGPD. Le directeur RH peut faire appel à un consultant juridique pour l'assister et accompagner ce processus. Pour cela, contactez legalconsulting@sdworx.com ou le 0032 (0)78 15 90 22.

 

Le directeur RH qui le souhaite pourra suivre une formation à ce sujet chez SD Worx Learning le 28 mars 2017. Pour cela, contactez anouk.reygel@sdworx.com.

3. FAQ

3.1. Que faire si le travailleur ne veut pas donner son consentement au traitement de ses données ?

Le consentement n'est pas toujours exigé pour pouvoir traiter des données à caractère personnel. Lorsque l'employeur peut invoquer une autre base juridique, le consentement du travailleur est superflu.

 

Les bases légales du RGPD sont quasi identiques à celles contenues dans la loi actuelle sur la vie privée, à savoir :

  1. l’intéressé a donné son consentement au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;  

  2. le traitement est nécessaire à l’exécution d’un contrat auquel l'intéressé est partie, ou à la prise de mesures à la demande de l'intéressé avant la conclusion d'un contrat ;  

  3. le traitement est nécessaire pour satisfaire à une obligation légale qui incombe au responsable du traitement ;  

  4. le traitement est nécessaire pour protéger les intérêts vitaux de l’intéressé ou d’une autre personne physique ;  

  5. le traitement est nécessaire pour accomplir une tâche d’intérêt général ou une tâche dans le cadre de l’exercice de l’autorité publique qui est confiée au responsable du traitement ;  

  6. le traitement est nécessaire pour la défense des intérêts justifiés du responsable du traitement ou d’un tiers.

 

Le travailleur ne doit pas donner son consentement à l'employeur pour le traitement des données suivantes :

  • adresse, CV, composition du ménage du travailleur, données salariales, données sur les absences… : dans ces cas, l'employeur peut invoquer l'obligation légale comme base du traitement ;
  • rapports des entretiens de coaching, données sur l'évolution de carrière… : pour cela, l'employeur peut invoquer le point f. (intérêt justifié - exercice de l'autorité de l'employeur).

 

Il est recommandé d'éviter autant que possible le consentement comme base légale pour le traitement de données à caractère personnel. L’intéressé dispose d’un droit plus fort pour demander la suppression de ses données si son consentement est à la base du traitement. De plus, l'intéressé a le droit de retirer son consentement à tout moment.

 

Souvent, il existe d'autres bases légales que l'entreprise peut invoquer et le consentement de l'intéressé n'est donc pas nécessaire.

 

S'il est impossible de faire appel à une autre base, le consentement doit être demandé séparément pour les différents objectifs du traitement. Si le travailleur refuse le consentement nécessaire dans ce cas, le traitement n'est pas possible.

3.2. Comment le consentement doit-il être donné suivant les nouvelles règles ?

Le RGPD définit le "consentement de l'intéressé" comme"toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement."

 

Lorsque le traitement repose sur un consentement, le responsable du traitement doit pouvoir démontrer que la personne concernée a donné son consentement au traitement des données à caractère personnel. La demande de consentement doit être rédigée dans une forme compréhensible et facilement accessible ainsi que dans un langage clair et simple.

 

Le consentement doit être donné par un acte positif clair. Il doit attester que la personne concernée accepte le traitement de ses données à caractère personnel de manière libre, spécifique, éclairée et univoque. Par exemple en cliquant sur une case sur un site Internet. Le silence, l’utilisation de cases cochées par défaut ou l’inactivité ne peut faire office de consentement.

 

Si le traitement a plusieurs finalités, le consentement doit être donné pour chacune d’entre elles (spécifiquement).

 

La personne concernée peut de plus retirer son consentement à tout moment. Il doit être aussi aisé de retirer son consentement que de le donner.

 

Des règles spécifiques s’appliquent pour le consentement des enfants. Lorsque l’enfant est âgé de moins de 16 ans, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

 

Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement n'est pas considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice

3.3. Quelles sont les entreprises ou organisations qui doivent désigner un délégué à la protection des données ?

Le responsable du traitement doit désigner un délégué à la protection des données (DPD) ou Data Protection Officer (DPO) dans les trois cas suivants :

  1. - le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
  2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données (par exemple de données à caractère personnel qui révèlent l’origine raciale, les opinions politiques ou les convictions religieuses) ou de données à caractère personnel relatives à des condamnations pénales ou à des infractions.

 

D'autres entreprises peuvent désigner un DPD mais n'y sont pas obligées.

 

Des groupes de travail de la Commission européenne élaboreront des lignes directrices liées à la mise en œuvre du RGPD. Ces lignes directrices doivent d'une part offrir une interprétation claire et harmonisée de toutes les dispositions du RGPD et d'autre part donner des recommandations.

 

Une de ces lignes directrices du Groupe de travail porte sur le DPD. Le Groupe de travail explicite notamment ce qu'il entend par "activité de base", "grande échelle" et "suivi régulier et systématique".

 

3.3.1. Activités de base

 

Les activités de base sont les principales activités qui sont nécessaires à la réalisation des objectifs du sous-traitant ou du responsable du traitement. Elles englobent toutes les activités dont le traitement de données constitue un élément indissociable de l'activité du sous-traitant ou du responsable du traitement.

 

Ainsi, l'activité de base d'un hôpital consiste à administrer des soins de santé. Cependant, un hôpital ne peut administrer des soins de santé sans traiter des données liées à la santé. C'est pourquoi le traitement de données doit être considéré comme une des activités de base de l'hôpital. Les hôpitaux sont donc tenus de désigner un DPD.

 

D'autre part, toutes les organisations traitent certaines données personnelles, notamment pour payer leurs travailleurs. Ce sont des fonctions de support nécessaires aux activités de base de l'organisation. Même si ses activités sont nécessaires et essentielles, elles doivent plutôt être considérées comme des activités annexes que comme des activités de base.

 

3.3.2. Grande échelle

 

Le Groupe de travail recommande de tenir compte des facteurs suivants pour déterminer si un traitement est effectué à grande échelle ou non :

  • le nombre d'intéressés dont les données à caractère personnel sont traitées ;
  • la quantité de données traitées ;
  • la portée géographique des activités de traitement ;
  • la durée des activités de traitement.

 

Exemple de traitement à grande échelle :

  • le traitement de données de patients par un hôpital ;
  • le traitement des données de clients par une banque ou une compagnie d'assurances ;
  • le traitement de données par un fournisseur de services de téléphonie ou d'Internet.

 

En revanche, le traitement des données de patients par un médecin individuel ne constitue pas un traitement à grande échelle.

 

3.3.3. Suivi régulier et systématique

 

Le groupe de travail définit "régulier" notamment par répétitif à des moments fixes. "Systématique" signifie par exemple organisé ou méthodique.

 

Exemple de suivi régulier et systématique :

  • publicité sur la base du comportement sur Internet ;
  • profilage en vue d'une analyse de risque (ex. pour détecter des pratiques de blanchiment) ;
  • utilisation d'un système de géolocalisation.

Oeps,

Désolé, il s'est produit une erreur.

Veuillez réessayer plus tard.

Cette information est-elle utile pour vous ?

Oui Non

Quelle affirmation décrit le mieux votre feedback ?






Votre feedback

La version du navigateur que vous utilisez n'est pas optimale pour ce site web. La plupart des fonctions ne seront pas correctement prises en charge. La version que vous utilisez, n’est plus soutenue par Microsoft. Vous n’êtes donc plus protégé. Afin de pouvoir garantir la sécurité et la confidentialité de vos données, nous vous conseillons de passer le plus rapidement possible à Internet Explorer 11 ou d’utiliser la dernière version d’un autre navigateur.