GDPR : le compte à rebours est lancé
Qu’est-ce que le GDPR?
Le GDPR est une nouvelle réglementation européenne qui renforce la protection des données à caractère personnel. Il vise une harmonisation du traitement de ce type de données sur le territoire européen.
« GDPR » est l’acronyme pour General Data Protection Regulation ou, en français, « RGPD » Règlement Général sur la Protection des Données. Ce nouveau texte remplace la Directive 95/46/CE et la Loi Vie privée du 9 décembre 1992.
Le règlement entrera en vigueur le 25 mai 2018, date à laquelle UCM, comme toute entreprise, devra être en conformité avec les nouvelles règles.
Dans quelle mesure suis-je responsable du traitement des données de mes salariés ?
En ce qui concerne vos obligations en tant qu’employeur, consultez notre article dédié à cette question :
Le règlement européen relatif au traitement des données à caractère personnel, mieux connu maintenant sous l’acronyme GDPR, vise à harmoniser les droits des personnes en ce qui concerne la protection de leurs données. D’application dès le 25 Mai 2018, ce règlement aura des impacts pour chaque entreprise. Les relations de travail ne seront pas épargnées.
Les principes relatifs au traitement des données à caractère personnel
Pour rappel, les “données à caractère personnel” visent toute information sur base de laquelle une personne peut être identifiée directement ou indirectement, telle que le nom, l’adresse, la photo, le numéro de téléphone, ou encore l’empreinte digitale …
Les données à caractère personnel doivent être :
- traitées de manière licite, loyale et transparente
- collectées pour des finalités déterminées, explicites et légitimes
- adéquates, pertinentes et nécessaires au regard des finalités poursuivies
- exactes et, si nécessaire, tenues à jour
- conservées sous une forme permettant l’identification pendant une durée n’excédant pas celle nécessaire au regard des finalités poursuivies
- traitées de façon à garantir une sécurité appropriée des données.
L’employeur qui traite une donnée à caractère personnel doit donc avoir une raison fondée pour le faire. Dans le cadre de la relation de travail, l’employeur s’appuiera la plupart du temps sur :
- la nécessité d’exécuter le contrat de travail
- l’obligation de remplir ses obligations légales (par exemple : les déclarations sociales et fiscales)
- l’intérêt légitime de l’entreprise (par exemple : les suivis d’évaluation des travailleurs).
Ce n’est qu’à défaut d’un de ces fondements que l’employeur devra recueillir le consentement du travailleur avant de traiter ses données à caractère personnel.
Le devoir d’information des travailleurs
Le devoir d’informer le travailleur quant au traitement de ses données à caractère personnel n’est pas nouveau en droit belge. Le GDPR renforce cependant cette obligation.
S’ajoutent ainsi aux informations déjà requises (finalité du traitement, catégories de données, identité du responsable de traitement…) de nouvelles mentions :
- le fondement légal du traitement de ces données
- l’identité de l’éventuel délégué à la protection des données (DPO)
- les droits dont disposent les travailleurs quant à la consultation, la rectification, la limitation, portabilité ou encore l’effacement de ses données
- le délai de conservation des données
- la possibilité d’introduire une réclamation auprès de l’Autorité de protection des données.
Tant les nouveaux travailleurs que ceux déjà en service doivent recevoir ces informations. Ce devoir d’information peut être rencontré par la mise à jour de votre règlement de travail.
Ce que le secrétariat social fait pour vous
L’adaptation de votre règlement de travail
Qu’est-ce qu’une violation de données ?
Il s’agit d’une violation de la sécurité entraînant, de manière accidentelle ou illicite :
- La destruction, la perte, l’altération de données à caractère personnel transmises, conservées ou traitées d’une autre manière que prévue ;
ou
- L’accès non autorisé à de telles données.
Ces violations ne résultent pas forcément d’opérations de cybercriminalité, mais souvent de faits anodins tels que l’envoi de mails à un destinataire incorrect ou encore la perte d’un smartphone professionnel.
En tant qu’employeur, que se passe-t-il en cas de violation de données ?
Dans le cas où, en tant que responsable de traitement, vous identifiez une violation de données à caractère personnel, vous devrez prendre deux mesures :
- Notifier, si nécessaire, l’Autorité de protection des données dans les 72 heures après l’identification de la violation. La notification doit documenter la violation de données, ses effets et les mesures prises pour y remédier.
Cette étape est facultative si vous pouvez démontrer que cette violation n’engendrera aucun dommage. - En concertation avec l’Autorité de protection des données, informer au besoin la ou les personnes concernées par la violation et lui formuler des recommandations.
Source :http://www.securexblog.be/employabilite/reconnaitre-personne-dependante-travail%e2%80%89