Jean-Luc Vannieuwenhuyse Manager au Centre de connaissances juridiques de SD Worx : « "L'échéance" du 25 mai est effectivement réelle. Il est important d'au moins lancer les préparatifs et de poursuivre le travail après le 25 mai. Ce n'est pas un point final. Il y a absolument un intérêt accru ; je ne parlerais pas de panique chez les responsables du personnel. Plus de cinq cents organisations ont déjà participé à des séances d’information que nous organisons nous-mêmes ou par exemple conjointement avec Voka. Elles établissent elles-mêmes un aperçu de toutes les données ou nous demandent un examen. Nous les aidons par exemple à rédiger une politique de confidentialité ou à diviser les données à caractère personnel en catégories, comme les avantages des travailleurs, les données relatives aux prestations et les informations de recrutement. Il n'est certainement pas encore trop tard. Nous apportons également un soutien après le 25 mai. »
Avec en premier lieu : en tant qu'employeur, pendant combien de temps puis-je conserver les données à caractère personnel et les documents du personnel de mes collaborateurs ? Le RGPD n'impose certes pas de délais de conservation explicites, mais ne permet pas pour autant de garder les données à caractère personnel plus longtemps que le strict nécessaire. Ainsi, la loi stipule par exemple des délais de conservation minimaux pour une série de documents sociaux et fiscaux. Pour les documents qui ne font pas l'objet d'un délai légal, l'employeur devra estimer lui-même pendant combien de temps il les conserve. L'employeur devra alors pouvoir justifier le délai de conservation vis-à-vis de l'autorité de protection des données.
De nombreux employeurs pensent qu'ils doivent insérer des clauses de protection de la vie privée dans les contrats de travail individuels et les règlements de travail. Ce n'est pas vrai, même si en tant qu'employeur, vous êtes bel et bien tenu d'informer vos travailleurs de ce qui se passe avec leurs données. Une politique de confidentialité est l'idéal à cet effet : en cas de modification de la politique, il est aussi simple d'adapter ce document.
Avez-vous désormais besoin d'une autorisation pour placer une photo de votre travailleur dans l'annuaire interne de l'entreprise ? Avec le RGPD, il n'est plus si simple d'obtenir une autorisation valable au niveau juridique. L'autorisation doit être renseignée et sans équivoque, et avoir été donnée activement. De plus, quiconque la donne, peut aussi la retirer à tout moment.
Cette forme explicite d'autorisation n'est pas nécessairement requise pour l'administration et la gestion du personnel : vous pouvez vous baser sur la relation contractuelle entre l'employeur et le travailleur. Le contrat que vous avez conclu avec votre collaborateur fait office d'autorisation explicite et vous donne le droit de traiter les données dont vous avez besoin pour remplir votre obligation contractuelle.
Seuls trois sortes d'entreprises sont tenues de désigner un DPO :
Il va de soi que toute entreprise peut désigner volontairement un DPO. Un DPO est toujours protégé contre le licenciement, du moment qu'il exécute correctement la fonction.
La Commission vie privée conseille à toutes les entreprises de tenir un registre des données. Les organisations comptant moins de 250 travailleurs sont seulement tenues de reprendre un registre des données avec la gestion normale du personnel et les traitements de données non occasionnels contenant des informations sensibles. En relèvent :