La mise en application du Règlement européen sur la protection des données à caractère personnel (RGPD) par l’employeur dans les rapports avec ses salariés a accentué les obligations des entreprises en matière de collecte, de traitement et de stockage des données ayant un caractère personnel.
Les principaux défis auxquelles doivent faire face les sociétés sont de protéger leur réseau informatique contre toute faille numérique et surtout de prendre conscience de l’ampleur du traitement des données personnelles de leurs employés et de le limiter au strict nécessaire. Tout excès ne fait qu’enfreindre les principes directeurs du Règlement européen.
Avant de présenter une liste des obligations qui incombent aux entreprises dans la perspective des rapports de travail, il faut rappeler que les données à caractère personnel représentent l’ensemble des éléments qui permettent l’identification directe ou indirecte d’une personne physique, par référence à un identifiant, tel que le nom, le Code Numérique Personnel (CNP), le numéro du portable, etc.
LES OBLIGATIONS DE L’EMPLOYEUR
Contrairement à ce que l’on peut penser, toute entreprise qui a des salariés traite automatiquement et obligatoirement des données à caractère personnel, d’où le besoin de mettre en place une série de mesures élémentaires, comme par exemple:
Dans le milieu professionnel, le traitement des données des salariés est sur une obligation légale, soit pour l’exécution du contrat de travail, soit pour un intérêt légitime de la part d’employeur.
De plus, le traitement des données à caractère personnel peut être aussi nécessaire pour défendre un droit ou un intérêt devant la justice.
Dans le cadre du processus de traitement des données à caractère personnel, l’employeur doit s’engager à une série d’obligations envers son salarié :
1.INFORMER préalablement le salarié par une note informative ou à travers les dispositions insérées dans le Règlement Intérieur en ce qui concerne, non seulement le type de données recueillies, le but et la durée du processus de détention de ces données, mais aussi quels seraient les possibles destinataires en cas de transfert de ces données. Une attention particulière doit être prêtée en cas de transfert des données à caractère personnel en dehors de l’UE (les données transférées par exemple de la filiale vers la société mère sise en dehors de l’UE, selon le cas) ;
2.ASSURER le caractère exact des données, par un traitement rigoureux et une mise à jour constante ;
3.DIMINUER au maximum les données traitées, par l’adéquation au but visé ;
4.CONSULTER les représentants des salariés sur l’installation des moyens électroniques de surveillance (des cameras vidéo par exemple, ou surveillance de la messagerie électronique), une obligation qui est d’ailleurs prévue par la Loi no. 190/2018 sur la protection des données à caractère personnel et leur diffusion
5.RESPECTER la vie privée de ses salariés. Cela veut dire par exemple une surveillance limitée au strict nécessaire en ce qui concerne l’historique des recherches effectuées par le salarié sur internet depuis l’ordinateur qui aura été mis à sa disposition par l’employeur dans le cadre de son travail, aussi bien par une surveillance limitée de ses trajets faits en dehors du travail par une voiture de service, au travers d’outils de géolocalisation
6LIMITER LA DIVULGATIONdes données à caractère personnel du salarié envers une tierce personne. Cette divulgation peut être déterminée par une obligation légale, l’exécution d’un contrat ou bien un intérêt légitime de la part de l’employeur. De plus, conformément au Code de Travail, le traitement des données à caractère personnel du salarié est permis uniquement après information préalable de celui-ci et doit être limité aux activités qu’il réalise et pour la durée de sa prestation au profit de l’employeur
7.FORMER les salariés qui ont des attributions concernant le traitement des données à caractère personnel des salariés. Ces employés doivent très bien connaître les procédures internes et les dispositions légales à appliquer dans ce domaine.
8.SECURISER les données des salariés (prévoir une clause de confidentialité dans le contrat individuel de travail et des sanctions, par exemple, le non respect des procédures ou instructions mises en place par l’employeur représente une faute disciplinaire qui, selon les conséquences, peut conduire à la sanction disciplinaire du salarié, y compris à son licenciement)
LES SYSTEMES DE SURVEILLANCE DES SALARIES
Conformément à la Loi no 190/2018, l’utilisation de systèmes de surveillance (systèmes vidéo, etc.) est acceptée, uniquement dans les conditions suivantes :
Ces principales mesures doivent être mises en place sous peine de sanctions de l’autorité compétente en cas de contrôle ou dans le cas d’un incident de sécurité ayant eu un impact sur la sécurité des données personnelles.
Le RGPD prévoit des amendes par paliers, selon les fautes commises. Il précise que cette sanction peut atteindre jusqu’à 4 % du chiffre d’affaires annuel.