Se préparer au RGPD : les 5 questions les plus fréquemment posées

Par Jean-Luc Vannieuwenhuyse - 15 mai 2018 - Temps de lecture: 3

Accords écrits

Le Règlement général sur la protection des données – fréquemment appelé « RGPD » – entrera en vigueur le 25 mai. Petites et grandes entreprises devront alors respecter les règles européennes renforcées concernant la protection des données. Ces règles soulèvent encore beaucoup de questions. Nous avons repris ci-après les plus fréquentes d’entre elles.

RGPD GDPR question posées

1. Quels sont les délais de conservation des données du personnel

La question posée en premier lieu est : en tant qu'employeur, pendant combien de temps puis-je conserver les données à caractère personnel et les documents du personnel de mes collaborateurs ? Le RGPD n'impose certes pas de délais de conservation explicites, mais il ne permet pas pour autant de garder les données à caractère personnel plus longtemps que le strict nécessaire. En cas de contrôle de l'autorité responsable de la protection des données, vous devez, en tant qu'employeur, pouvoir expliquer pourquoi et combien de temps vous conservez un document. Cette règle ne souffre que quelques exceptions : les documents sociaux peuvent être conservés au maximum 5 ans et les documents fiscaux, au maximum 7 ans.

2. Quel est l'impact sur le règlement de travail ou le contrat de travail individuel ?

De nombreux employeurs pensent qu'ils doivent insérer des clauses de protection de la vie privée dans les contrats de travail individuels et les règlements de travail. Il n'en est rien, même si en tant qu'employeur, vous êtes bel et bien tenu d'informer vos travailleurs de ce que vous faites de leurs données. Une politique de confidentialité est l'idéal à cet effet : en cas de modification de la politique, ce document peut aisément être adapté.

3. Le consentement du travailleur est-il nécessaire pour toutes les données ?

En raison du GDPR, il n'est plus aussi facile d'obtenir une autorisation valable sur le plan juridique. Le consentement doit être informé et non ambigu, et avoir été donné de manière active. En outre, celui qui le donne peut également le retirer à tout moment.

Cette forme explicite d'autorisation n'est pas requise pour l'administration et la gestion du personnel : vous pouvez vous baser sur la relation contractuelle entre l'employeur et le travailleur. Le contrat que vous avez conclu avec votre collaborateur fait office d'autorisation explicite et vous donne le droit de traiter les données dont vous avez besoin pour remplir votre obligation contractuelle.

4. Sommes-nous tenus de désigner un Data Protection Officer (DPO) et le DPO est-il protégé contre le licenciement ?

Seuls trois sortes d'entreprises sont tenues de désigner un DPO :

  • les entreprises publiques ;
  • les organisations qui traitent des données spéciales, comme des données pénales ;
  • les entreprises qui traitent au quotidien une grande quantité de données à caractère personnel – sensibles ou non – comme les hôpitaux, les assureurs ou les banques.

Un DPO est toujours protégé du licenciement, tant qu’il exerce correctement sa fonction.

5. Une PME doit-elle établir un registre des données ?

La Commission vie privée conseille à toutes les entreprises de tenir un registre des données. Les organisations qui emploient moins de 250 travailleurs sont uniquement tenues d’avoir un registre des données avec la gestion normale du personnel et les traitements de données non occasionnels contenant des informations sensibles. En font partie :

  • les données qui forment un risque pour les droits et libertés d'une personne ;
  • les informations sensibles : race, origine ethnique, conceptions politiques, convictions religieuses ou philosophiques, affiliation à un syndicat, données génétiques et biométriques ou données sanitaires, données portant sur le comportement sexuel ou l'orientation sexuelle ;
  • les informations judiciaires : données sur des condamnations pénales et des faits délictueux ou des mesures de sécurité y afférentes ;
  • les données concernant des tiers, comme des clients ou des fournisseurs, et des travailleurs.
RGPD

Sur le même thème

refresh Plus d'articles