Quelles protections pour vos informations personnelles ?

Cette chronique juridique lance une série consacrée à votre vie privée au boulot. Chaque chronique de la série traitera d’un aspect lié à votre droit à la vie privée au travail. Pour commencer, découvrez les principes qui encadrent la communication d’informations personnelles à votre employeur.

L’acronyme RGPD désigne le « Règlement Général sur la Protection des Données ». Ce règlement européen est d’application depuis le 25 mai 2018. Il impose une série d’obligations en matière de respect de la vie privée à toute entreprise ou organisation en charge du traitement de données à caractère personnel.
Ce règlement s’applique donc à votre employeur, puisqu’il traite de nombreuses données qui vous concernent.

QUELLES DONNEES VOTRE EMPLOYEUR PEUT-IL TRAITER ?

Un employeur traite d’office une série de vos données à caractère personnel. Il peut s’agir d’éléments relatifs à votre identité (nom, adresse, etc.), à votre rémunération (numéro de compte, situation familiale, etc.) ou encore à votre activité (absences, horaires, incapacité, etc.). Votre employeur peut traiter certaines de ces données sans votre consentement. Pour d’autres, votre consentement sera d’office requis.

QUELLES DONNEES L’EMPLOYEUR PEUT-IL TRAITER SANS
VOTRE CONSENTEMENT ?

Le RGPD autorise votre employeur à traiter des données sans votre consentement, si ce traitement lui permet de remplir une obligation légale ou si ce traitement est nécessaire à la poursuite de son intérêt légitime (le bon fonctionnement de l’entreprise). Par exemple, vous ne pourrez pas vous opposer à ce que votre employeur utilise les données qui lui permettent de respecter son obligation de vous payer (numéro de compte, situation familiale permettant le calcul du précompte, etc.).

QUELLES DONNEES L’EMPLOYEUR PEUT-IL TRAITER UNIQUEMENT
AVEC VOTRE CONSENTEMENT ?

Toutes les données qui ne sont pas nécessaires à l’exécution d’une obligation légale ou à la poursuite d’un intérêt légitime de l’employeur ne peuvent être traitées qu’avec votre consentement explicite. Concrètement, votre employeur doit obtenir votre accord écrit stipulant explicitement que vous acceptez qu’il utilise les données qui lui ont été communiquées. Une clause dans votre contrat de travail ou dans le règlement de travail ne suffit pas pour prouver que vous avez explicitement consenti au traitement de ces données.

Un tel consentement explicite sera requis pour traiter les vidéos et images vous concernant. Vous pouvez donc vous opposer à ce qu’il vous photographie ou vous filme (sauf pour la vidéosurveillance, dans certains cas et sous certaines conditions). Et, même si vous y avez consenti, vous pouvez à tout moment demander que les images vous concernant ne soient plus utilisées
 
Par ailleurs, la récolte et le traitement de certaines données sont interdits en Belgique, sauf si vous consentez à les donner à votre employeur ou si celles-ci sont publiques. Ainsi, votre employeur ne pourra traiter des données liées à votre affiliation syndicale, votre orientation sexuelle, vos convictions philosophiques et religieuses ou toute autre donnée sensible qui n’est pas nécessaire à la relation de travail. Refusez, dans tous les cas, de lui communiquer ces données. Evitez aussi de les diffuser sur les réseaux sociaux (considérés comme un espace public).

Enfin, la récolte de certaines données est soumise à votre consentement et au respect de procédures strictes. Si l’employeur n’a pas suivi ces procédures, il ne peut obtenir ces données, même si vous y avez consenti. C’est notamment le cas des données de géolocalisation, de vidéosurveillance, de communications électroniques, etc. Elles ne peuvent donc être récoltées qu’avec votre consentement et en respectant des procédures strictes (associant souvent les organes de concertation de l’entreprise, à savoir le conseil d’entreprise, le CPPT et/ou la délégation syndicale).

QUELLES SONT LES OBLIGATIONS
DE VOTRE EMPLOYEUR ?

Votre employeur doit respecter une obligation de transparence. Concrètement, il doit vous informer des données qu’il traite, des objectifs de ce traitement, de l’identité du responsable de traitement, des tiers à qui elles peuvent être transmises, des bases juridiques justifiant le traitement des données ainsi que des moyens mis en œuvre pour assurer la sécurité des données. Pour se conformer à cette obligation, votre employeur doit vous envoyer un document qui reprend les détails listés ci-dessus.
D’autres obligations s’ajoutent à cet impératif de transparence. Des obligations de sécurité technique, de confidentialité, de mise en place de procédures internes et de tenue d’une série de registres. Il s’agit de registres des données récoltées et des objectifs de leur traitement, des traitements effectués sur ces données, des sous-traitants, des fuites éventuelles et des demandes introduites par rapport aux données. Les entreprises de grande taille (plus de 250 travailleurs) ont aussi l’obligation de nommer un délégué à la protection des données, en charge du respect de la protection des dites données.

Les sanctions peuvent être lourdes, en cas de non-respect de ces obligations. Elles peuvent aller jusqu’à 20 millions € ou 4% du chiffre d’affaires mondial annuel de l’entreprise.
QUELS SONT VOS DROITS ?

Vous disposez d’une série de droits sur les données à caractère personnel que vous communiquez à votre employeur. Ainsi, vous avez le droit d’accéder à ces données à tout moment, à en demander la rectification ou l’effacement, à en limiter le traitement, à demander que ces données soient transférées si nécessaire (par exemple, si des données doivent être transférées d’une administration ou d’un secrétariat social à un autre) et à être avisé de tout incident concernant vos données personnelles (perte, vol, etc.).

Les bons réflexes

Que faire si votre employeur veut modifier vos tâches ou la façon de les exécuter, à cause du RGPD ?

Votre employeur doit respecter les principes du RGPD lorsqu’il traite les données de clients, fournisseurs ou autres tiers. Si vous êtes en contact avec ces données, il se peut que votre employeur revoie certains de vos processus de travail. Dans ce cas, demandez-vous si :
• les modifications demandées sont nécessaires. Autrement dit, si l’employeur ne profite pas des soi-disant nouvelles obligations du RGPD pour vous imposer des contraintes qui ne sont pas justifiées par le RGPD.
• les modifications sont proportionnelles à l’objectif poursuivi. Si plusieurs manières de respecter le RGPD sont envisageables, votre employeur doit opter pour celle qui implique le moins de changements et de contraintes pour vous.
• les modifications ne changent pas fondamentalement votre fonction. Votre employeur ne peut donc vous imposer unilatéralement des changements qui ont pour effet de modifier fondamentalement votre travail ou de vous changer de fonction.
• vous serez formé aux nouvelles obligations ou procédures. Votre employeur doit vous donner les outils et formations vous permettant de respecter les obligations qu’il impose.
• ces changements ont été négociés avec les représentants des travailleurs, s’il y en a.

Que faire si votre employeur vous demande de signer un document ?

Votre employeur doit obtenir votre consentement explicite pour traiter une série de vos données à caractère personnel. Pour ce faire, il vous demande de signer un document de consentement. Face à ce type de document, posez-vous les questions suivantes :
• Mon employeur peut-il récolter les données pour lesquelles il me demande mon consentement (voir « quelles données votre employeur peut-il traiter » ci-contre) ?
• Mon employeur m’a-t-il communiqué toutes les informations que le RGPD lui impose de me communiquer (voir « obligations de l’employeur » ci-contre) ?
• Si l’entreprise a des organes de concertation, le document a-t-il été négocié avec les syndicats ?
En cas de doute quant au contenu du document, consultez vos délégués CNE. Si vous n’avez pas de délégué dans votre entreprise, prenez contact avec nos services. 

Michaël Maira