Traitement des Données des Employés : Qu’est-ce qui est Juste et Injuste Selon le RGPD ?
Les employeurs traitent les données personnelles de leurs employés. C’est inévitable. Cependant, les actions des employeurs sont limitées par le RGPD et d’autres lois sur la protection des données personnelles lorsqu’ils traitent ces données.
Le RGPD est assez clair en ce qui concerne la collecte et le traitement de données qui ne sont pas nécessaires, comme à des fins marketing. Dans ce cas, vous avez besoin du consentement de l’utilisateur pour traiter ses données.
Lorsqu’il s’agit de données personnelles qui doivent être traitées pour servir l’utilisateur et que le traitement est dans son intérêt, les règles sont différentes. Les entreprises peuvent utiliser d’autres bases légales pour ce traitement.
Le traitement des données des employés se situe quelque part entre les deux. L’employeur peut le traiter pour répondre à certaines exigences légales, qui s’accompagnent de nombreuses contraintes.
Le RGPD offre un cadre pour que les États membres de l’UE régulent le traitement des données des employés, tandis que les lois nationales et les accords collectifs aident à garantir la protection des données. Les employeurs peuvent traiter les données des employés à diverses fins liées à l’emploi et doivent obtenir un consentement pour des finalités supplémentaires.
Ils doivent également garantir des transferts de données légaux et mettre en place des mesures de sécurité. Les employés peuvent exercer leurs droits en matière de confidentialité des données, notamment l’accès, l’opposition, la rectification et le droit à l’oubli.
Les employeurs internationaux doivent naviguer entre diverses lois du travail et la conformité au RGPD à travers différents pays.
Comment le RGPD Réglemente-t-il le Traitement des Données Personnelles des Employés ?
Petit rappel : le RGPD est un règlement directement applicable dans chaque État membre. Le RGPD n’est pas aussi précis sur le traitement des données des employés qu’il ne l’est dans d’autres domaines. Il établit le cadre dans lequel chaque État membre de l’UE peut réguler ces questions.
Le RGPD stipule que :
- Chaque État membre de l’Union européenne a la liberté de choisir comment réguler le traitement des données des employés, y compris les données sensibles
- Ils peuvent réguler le traitement par le biais de lois nationales et d’accords collectifs
- Les États membres doivent veiller à ce que leurs lois et contrats collectifs protègent la dignité humaine, les intérêts légitimes et les droits fondamentaux de la personne concernée
- Les lois nationales et les accords collectifs devraient prendre en compte les règles du RGPD concernant la transparence du traitement et les transferts internationaux de données.
Qu’est-ce que Cela Signifie ?
Cela signifie que l’employeur peut traiter les données des employés pour :
- Le recrutement
- L’exécution des contrats de travail
- La diversité et l’égalité sur le lieu de travail
- La planification et l’organisation du travail
- La gestion de l’entreprise
- La sécurité et la santé au travail
- La protection des biens de l’employeur ou des clients, ou
- Toute autre obligation que l’employeur pourrait avoir en vertu des lois et accords collectifs applicables.
Cela inclut également le traitement des données personnelles sensibles, telles que les données de santé, la race, l’origine ethnique, l’orientation sexuelle, et d’autres.
Ce que l'Employeur Doit Faire
En plus de respecter les lois du travail, l’employeur doit également se conformer au RGPD. En matière de RH, cela signifierait :
Traiter les données à des fins appropriées. L’employé a fourni ses données à des fins d’emploi. Cela donne à l’employeur le droit de traiter ces données uniquement à des fins d’emploi et rien d’autre.
Obtenir le consentement de l’employé pour un traitement au-delà des fins d’emploi. Si l’employeur souhaite traiter les données de l’employé à d’autres fins, il a besoin de son consentement explicite pour des finalités spécifiques. Dans ce processus, l’employeur doit s’assurer que l’employé est bien informé et lui donner la possibilité de retirer son consentement s’il le souhaite.
Veiller à ce que les transferts de données soient légaux. Les transferts de données au sein de l’UE et vers des pays adéquats sont libres. Les transferts vers des pays tiers ne le sont pas, et ceux vers les États-Unis sont particulièrement délicats.
Découvrez comment transférer des données personnelles vers les États-Unis conformément au RGPD.
Mettre en place des mesures de sécurité. La municipalité de Bergen, en Norvège, a été condamnée à une amende de 170 000 EUR pour ne pas avoir mis en œuvre des mesures de sécurité adéquates pour protéger les données personnelles des étudiants et des enseignants.
Consultez notre liste des amendes RGPD pour avoir un aperçu complet de toutes les amendes connues.
Qu’ont-ils fait ? Leur système informatique avait une fonction de connexion médiocre, permettant à des personnes non autorisées d’accéder aux données personnelles.
Un mauvais système de connexion peut sembler être un petit problème au quotidien, mais chaque mesure de sécurité inadéquate met en jeu le budget et l’image de marque de l’employeur.
Peut-être nommer un Délégué à la Protection des Données (DPO). Certaines entreprises doivent désigner un DPO. Le RGPD exige la nomination d’un DPO pour :
- Les organismes gouvernementaux
- Les entreprises dont la principale source de revenus est le traitement de données, et
- Les entreprises qui collectent et/ou traitent des données personnelles sensibles.
Toutes les entreprises n’appartiennent pas à ces catégories. Par conséquent, toutes n’ont pas à désigner un DPO. Pour toutes les autres, désigner une personne dédiée à la protection des données au sein de l’entreprise est une bonne pratique.
Ce que l'Employé Peut Faire
L’employé peut exercer ses droits en tant que personne concernée par les données. Chaque personne à laquelle le RGPD s’applique dispose d’un ensemble de droits relatifs à la vie privée qu’elle peut exercer pour prévenir tout préjudice et protéger sa vie privée.
Droit d’accès. L’employé peut toujours demander à accéder aux données personnelles que l’employeur traite. En même temps, il peut se renseigner sur les finalités du traitement et savoir si les données sont traitées uniquement à des fins d’emploi ou non.
De plus, l’employé peut se renseigner sur les outils tiers que l’employeur utilise pour le traitement des données. Cela les aidera à déterminer si le traitement est légal, les finalités du traitement, si les données sont transférées à l’étranger, etc.
Droit d’opposition. Si l’employé constate que certaines données sont traitées pour de mauvaises raisons, il peut s’y opposer. L’employeur devra alors cesser le traitement pour ces finalités spécifiques.
Cependant, si les données sont traitées uniquement à des fins d’emploi, il n’y a pas de possibilité d’opposition.
Droit de rectification. L’employé a le droit de faire corriger ses données inexactes. L’employeur doit effectuer les corrections demandées.
Droit à l’oubli. L’employé a le droit à l’oubli dans certaines circonstances. Il ou elle peut demander à ce que ses données soient effacées des dossiers de l’employé si les deux conditions suivantes sont remplies :
- L’employé n’est plus en poste chez cet employeur, et
- L’employeur n’a pas besoin des données personnelles de l’employé.
Dans tous les autres cas, l’employeur peut refuser d’effacer les données personnelles de l’employé.
Être indemnisé en cas de dommage dû à une violation de données. Parfois, les entreprises sont victimes de violations de données. Ces infractions peuvent causer des dommages aux employés. Lorsqu’un dommage survient, l’employé a le droit d’être indemnisé pour les dommages subis.
Que se Passe-t-il Quand l'Employeur et l'Employé sont dans des Pays Différents?
Quand l’employeur et l’employé sont tous deux dans l’UE, tout est simple – le RGPD s’applique à tous.
De nos jours, cependant, il arrive souvent que l’employeur et l’employé se trouvent dans des pays différents. Cela influence aussi l’applicabilité du RGPD et peut compliquer les choses pour l’employeur comme pour l’employé.
Voici une petite formule pour vous aider :
- Employeur de l’UE et employés d’ailleurs, le RGPD s’applique
- Employeur de l’UE et employés de l’UE à l’étranger, le RGPD s’applique
- Employeur de l’UE et employés de l’UE, le RGPD s’applique
- Employeur d’ailleurs et employés d’ailleurs, le RGPD ne s’applique pas
- Employeur d’ailleurs et employés de l’UE à l’étranger, le RGPD s’applique uniquement à la relation avec les employés de l’UE.
Déterminez si le RGPD s’applique et, si c’est le cas, relisez ce que l’employeur doit faire et ce que l’employé peut faire pour bien protéger ses données personnelles.
Points Clés
Lorsque des données personnelles sont en jeu, les lois sur la protection des données s’appliquent. Cela n’exclut pas les relations professionnelles.
Le RGPD n’est pas très strict lorsqu’il s’agit de traiter des données à des fins professionnelles. Il laisse une certaine marge de manœuvre aux lois du travail et aux contrats de négociation collective pour déterminer les catégories de données qui peuvent être traitées.
L’employeur doit respecter toutes les autres exigences du RGPD pour tous les autres aspects.
L’employeur international qui emploie des personnes dans de nombreux pays différents doit être très prudent. Les lois du travail diffèrent dans les pays de l’UE, et chaque pays a ses propres accords collectifs.
Cela les met dans une position très délicate. Ils peuvent choisir la voie de la prudence en ne traitant que le strict minimum de données nécessaires. C’est l’un des principes fondamentaux de la protection des données qui simplifie tout le reste.