Le 25 mai approche à grands pas. Prenez les devants
Préparez votre entreprise au RGPD
Le Règlement général sur la protection des données – fréquemment appelé « RGPD » – entrera en vigueur le 25 mai. Petites et grandes entreprises devront alors respecter les règles européennes renforcées concernant la protection des données. Ces règles soulèvent encore beaucoup de questions. Nous avons repris ci-après les plus fréquentes d’entre elles.
La question posée en premier lieu est : en tant qu'employeur, pendant combien de temps puis-je conserver les données à caractère personnel et les documents du personnel de mes collaborateurs ? Le RGPD n'impose certes pas de délais de conservation explicites, mais il ne permet pas pour autant de garder les données à caractère personnel plus longtemps que le strict nécessaire. En cas de contrôle de l'autorité responsable de la protection des données, vous devez, en tant qu'employeur, pouvoir expliquer pourquoi et combien de temps vous conservez un document. Cette règle ne souffre que quelques exceptions : les documents sociaux peuvent être conservés au maximum 5 ans et les documents fiscaux, au maximum 7 ans.
De nombreux employeurs pensent qu'ils doivent insérer des clauses de protection de la vie privée dans les contrats de travail individuels et les règlements de travail. Il n'en est rien, même si en tant qu'employeur, vous êtes bel et bien tenu d'informer vos travailleurs de ce que vous faites de leurs données. Une politique de confidentialité est l'idéal à cet effet : en cas de modification de la politique, ce document peut aisément être adapté.
En raison du GDPR, il n'est plus aussi facile d'obtenir une autorisation valable sur le plan juridique. Le consentement doit être informé et non ambigu, et avoir été donné de manière active. En outre, celui qui le donne peut également le retirer à tout moment.
Cette forme explicite d'autorisation n'est pas requise pour l'administration et la gestion du personnel : vous pouvez vous baser sur la relation contractuelle entre l'employeur et le travailleur. Le contrat que vous avez conclu avec votre collaborateur fait office d'autorisation explicite et vous donne le droit de traiter les données dont vous avez besoin pour remplir votre obligation contractuelle.
Seuls trois sortes d'entreprises sont tenues de désigner un DPO :
Un DPO est toujours protégé du licenciement, tant qu’il exerce correctement sa fonction.
La Commission vie privée conseille à toutes les entreprises de tenir un registre des données. Les organisations qui emploient moins de 250 travailleurs sont uniquement tenues d’avoir un registre des données avec la gestion normale du personnel et les traitements de données non occasionnels contenant des informations sensibles. En font partie :
Le 25 mai approche à grands pas. Prenez les devants
Préparez votre entreprise au RGPD
Jean-Luc Vannieuwenhuyse
Conseiller juridique
Je travaille au sein du centre juridique de connaissances de SD Worx. Nos tâches sont les plus diverses, mais nous pourrions toutes les recouper sous le motto : ‘aide ton collègue à répondre aux besoins de ton client’. Nous collaborons par exemple au développement de nouveaux produits et services pour nos clients, le lancement du logiciel ‘car for cash’ en est un exemple concret. Il m’arrive également de donner des présentations sur des thèmes d’actualité et de répondre aux questions de journalistes en matière de gestion du personnel. Je suis juriste de formation et spécialisé en droit social.