RGPD - La gestion des données personnelles de vos salariés

Comme nous l’avons mentionné dans des articles précédents, le RGPD a mis à jour la façon dont les entreprises traitent les données personnelles.

Par rapport à la législation précédente, le RGPD fixe des normes plus strictes pour la protection des données personnelles et met l’accent sur la transparence et la responsabilisation des entreprises.

Dans ce contexte, la mauvaise manipulation des données personnelles est devenue plus dangereuse que jamais sur le plan financier et personne n’est à l’abri d’amendes ou de sanctions potentielles sous le RGPD – surtout pas les employeurs.

Les choses ont changé dans le monde de l’après-RGPD, le pouvoir est maintenant retiré des employeurs au profit des salariés, les propriétaires de leurs données à caractère personnel.

L’article 88 du RGPD donne aux États membres de l’Union européenne le pouvoir d’élaborer et de mettre en œuvre des lois plus strictes afin d’assurer la protection des droits et libertés des données personnelles des salariés, notamment en ce qui concerne le recrutement, les contrats, les obligations, la gestion, la planification et l’organisation, l’égalité, la diversité, la propriété, la santé et la sécurité et les licenciements.

Pourquoi les salariés ont-ils besoin d’une protection supplémentaire dans le cadre du RGPD ?

Tout d’abord, il est important de comprendre ce qui constitue le « traitement des données » – le traitement est simplement un terme générique qui englobe la collecte, l’enregistrement, l’organisation, le stockage, l’utilisation, la divulgation ou la diffusion.

La raison pour laquelle le traitement des données est si important dans le contexte du travail est que les employeurs ont un accès unique aux renseignements de leurs employés que les autres responsables de traitement des données n’ont habituellement pas, comme les renseignements sur les fiches de paie, les renseignements sur les assurances complémentaires de santé, les antécédents médicaux, les vérifications des antécédents, les renseignements sur les tests de dépistage de drogues, les dossiers personnels, les renseignements familiaux, et les numéros de sécurité sociale etc., sans parler de leur accès à des données qualifiées de « sensibles » dans le cadre du RGPD qui inclut les informations relatives aux origines, à la race, aux positions politiques, la religion, l’appartenance syndicale, la santé, la vie sexuelle, l’orientation sexuelle, et même parfois les données génétiques et biométriques.

Ainsi, étant donné l’accès des employeurs à ces données sensibles, les États membres ont le pouvoir de créer et de mettre en œuvre des règles plus strictes en vertu de l’article 88 susmentionné du RGPD.

Alors, quand est-ce que les employeurs peuvent traiter les données des employés ?

Selon l’article 6 (1) du RGPD, les employeurs peuvent seulement traiter les données de leurs employés dans les situations suivantes :

  • Le salarié (la personne concernée) a donné son consentement à l’employeur (le responsable de traitement) pour le traitement de ses données personnelles à une ou plusieurs fins spécifiques;

  • Le traitement des données du salarié est nécessaire à l’exécution du contrat de travail;

  • Le traitement des données est nécessaire pour que l’employeur se conforme à ses obligations légales;

  • Le traitement des données est nécessaire pour protéger les intérêts vitaux du salarié;

  • Le traitement des données est nécessaire dans l’intérêt public ou pour l’exercice d’une autorité publique;

  • Le traitement est nécessaire pour des intérêts légitimes de l’employeur ou d’un tiers, sauf lorsque les droits et libertés fondamentaux du salarié l’emportent sur ces intérêts.  

De plus, selon l’article 9 du RGPD, un employeur sera interdit de traiter des catégories de données « sensibles » sauf si :

  1. Le salarié a donné son consentement explicite à l’employeur

  2.  Le traitement est effectué dans le cadre d’activités légitimes, avec des garanties appropriées et  sous certaines conditions.

  3. Le traitement porte sur des données que le salarié a rendues publiques

  4. Lorsque le traitement est nécessaire pour :

    (i) l’employeur de s’acquitter de ses droits et obligations spécifiques;

    (ii) la protection du salarié ou d’une autre personne physique lorsque l’employé est incapable de donner son consentement;

    (iii) l’établissement, l’exercice ou la défense d’actions en justice ou lorsque les tribunaux agissent dans l’exercice de leurs fonctions judiciaires;

    (iv) des raisons d’intérêt public substantiel, y compris dans des domaines liés à la santé publique;

    (v) des fins de médecine préventive ou professionnelle, d’évaluation de la capacité de travail du salarié, de diagnostic médical, de fourniture ou de gestion de soins de santé ou d’aide sociale; ou

    (vi) des fins historiques, scientifiques, de recherche ou statistiques.

Vos salariés et la question de consentement

Dans les cas où les employeurs utilisent le consentement des salariés pour traiter légalement leurs données, certaines exigences doivent être respectées en vertu du RGPD.

Spécifique

Comme nous l’avons mentionné précédemment, l’un des principaux objectifs du RGPD est d’accroître la transparence dans le monde de traitement de données.

À cette fin, l’article 6 (1) a), du RGPD explique que, pour que le traitement des données soit licite, le salarié (la personne concernée) doit consentir au traitement de ses données à caractère personnel pour un ou plusieurs fins spécifiques.

Afin de se conformer à l’article susmentionné, les employeurs doivent permettre aux salariés de consentir expressément à chaque opération de traitement des données plutôt que de glisser une clause de consentement tout englobant dans leurs contrats de travail.

Informé

Pour s’acquitter de l’obligation qui leur incombe en vertu du raison 42 du RGPD, les employeurs doivent à tout le moins informer leurs employés de l’identité du responsable du traitement des données ainsi que de la finalité du traitement. Il est également bonne pratique de la part des employeurs d’informer les employés sur le type de données personnelles qui seront collectées et utilisées, leur droit de retirer leur consentement, etc.  De plus, il est à noter que ces renseignements doivent être présentés aux employés dans un langage clair et direct – le défaut de le faire pourrait annuler leur consentement.

Libre

En vertu de l’article 7 (4) du RGPD, le consentement, pour être valable, doit être donné librement. Cela signifie que le salarié (la personne concernée) doit avoir un choix réel et être en position de contrôle et ne doit pas craindre les conséquences négatives s’il choisit de ne pas consentir au traitement des données. En outre, comme indiqué ci-dessus, les employés doivent donner leur consentement, séparément, pour chaque traitement de données.

Droit de retrait

L’article 7 (3) du RGPD décrit également un autre élément clé du consentement – la capacité du salarié de retirer son consentement quand il le souhaite, et ce, sans justification. L’employeur doit informer ses employés de ce droit et de la manière de l’exercer, avant même que le traitement des données ne commence. Lorsqu’un employé retire son consentement, ce qui devrait être aussi facile que le processus de donner consentement, l’employeur doit cesser toute activité de traitement concernant l’employé en question. Toutes les activités de traitement effectuées avant le retrait du consentement demeurent toutefois légales.

Sans équivoque

Le consentement doit être sans équivoque conformément à l’article 4 (11) du RGPD. Cela signifie que le consentement ne peut être tiré du silence, d’inactivité ou même de formulaires préremplis. Pour que le consentement soit valide, il doit plutôt être donné verbalement, par écrit (y compris par voie électronique), en cochant une case sur une page Web, en sélectionnant oui ou non, etc. Essentiellement, la manière dont une personne concernée donne son consentement peut dépendre entièrement des circonstances. Une chose reste toutefois vraie : le consentement exige un acte affirmatif clair qui prouve le consentement des personnes concernées de participer aux activités de traitement des données.

Explicit

Certains types de données et d’activités nécessitent également un consentement spécifique.

Le traitement de données personnelles sensibles (article 9 du RGPD), les transferts internationaux de données (article 49 du RGPD) ainsi que la prise de décision fondée uniquement sur le traitement automatisé des données personnelles (article 22 du RGPD) entrent tous dans cette catégorie.

Dans de tels cas, les salariés doivent donner leur consentement explicite par écrit en remplissant un formulaire en ligne, en rédigeant un courriel, en fournissant un document portant leur signature, des signatures électroniques, etc.

Meilleures pratiques

En conclusion, les employeurs qui dépendent du consentement de leurs salariés pour justifier leurs activités de traitement des données doivent mettre en place certaines pratiques afin de se conformer au RGPD et d’assurer une relation employeur-employé plus agréable.

Comme indiqué plus haut, les salariés doivent consentir séparément à chaque activité de et, avant le début de ce traitement, leur employeur doit les informer de leur droit de retirer leur consentement à tout moment. Les employeurs doivent également être en mesure de démontrer le consentement de leurs employés si sa validité est mise en doute. Par conséquent, la mise en œuvre d’un registre qui recueille et conserve le consentement des employés aux activités de traitement des données serait une sage décision.

Si vous avez des questions concernant le RGPD et les relations employeur-employé, n’hésitez pas à nous contacter !

Article par Justin Boileau, Consultant juridique @ Gerrish Legal, juillet 2019