Le règlement général sur la protection des données et les données RH

Joëlle JouretJoëlle Jouret
Conseiller juridique*

La législation relative à la protection des données personnelles va bientôt faire l’objet d’un changement important. En effet, le 25 mai 2018, le nouveau règlement général sur la protection des données (RGPD) va entrer en application. De par la nature de l’instrument – un règlement – le texte européen sera d’application directe au sein des États membres de l’Union européenne. Il vise ainsi une harmonisation plus importante de la matière.

Une remarque préliminaire est néanmoins nécessaire à ce stade : le RGPD prévoit, en son article 88, que les États membres peuvent établir via une loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail. Ceci signifie qu’au-delà des principes décrits dans le RGPD, un employeur devra vérifier au niveau national s’il existe des règles plus spécifiques pour le traitement des données personnelles de ses employés.

Le RGPD renforce globalement les principes de protection des données et les droits qui y sont liés afin de permettre à tout un chacun de garder le contrôle sur ses données personnelles. Cela a inévitablement des conséquences dans le domaine de la relation de travail.

Nouvelles limites quant à l’utilisation du consentement comme base de légitimité pour le traitement des données personnelles des employés

Lorsque l’on parle de consentement dans le contexte de la relation d’emploi, la question de la validité d’un tel consentement se pose. En effet, il y a une présomption générale que l’employé n’est pas libre de consentir du fait du lien hiérarchique et de l’asymétrie qui en résulte.

Grâce à la combinaison de ses articles 4.11 et 7, le RGPD renforce encore les conditions d’obtention d’un consentement valide par rapport à la directive actuelle 95/46/CE.

À partir du 25 mai 2018, l’employeur qui voudra se baser sur le consentement de son employé pour traiter des données personnelles devra rencontrer toutes les conditions du RGPD, en ce compris le fait de pouvoir prouver qu’il a bien recueilli ce consentement.

Il est néanmoins important de se souvenir que le consentement n’est pas la seule base de légitimité pour le traitement de données personnelles et donc pour les données RH. D’autres bases, telles le contrat, la loi ou l’intérêt légitime pourraient être utilisées pour le traitement de ce type de données.

Le renforcement des droits des personnes concernées (droit à l’oubli et à la portabilité dans le contexte de la relation d’emploi)

Les droits des personnes concernées sont largement renforcés dans le RGPD. Dans la mesure où l’employé est une personne concernée, il peut exercer ces droits à l’encontre de son employeur.

Le RGPD clarifie la portée du droit d’accès. L’employé pourra désormais demander une copie de ses données traitées par l’employeur. Les modalités concrètes d’exercice de ce droit – et de tous les droits – sont mentionnées à l’article 12 du RGPD. Après avoir exercé son droit d’accès, l’employé pourra exercer son droit de rectification s’il constate que ses données sont inexactes.

En ce qui concerne le droit à l’effacement (appelé aussi droit à l’oubli), le RGPD y apporte une valeur ajoutée dans la mesure où il crée une obligation pour l‘employeur – qui a fait droit à une demande d’effacement – d’en informer les autres responsables de traitement qui ont une copie de ces données. Cette obligation ne s’applique néanmoins que dans le cas où l’employeur a rendu les données publiques.

C’est peu fréquent dans un contexte des relations de travail de parler de données « rendues publiques » par l’employeur. Tout dépend de la définition que l’on donne à cette notion. En effet, si une agence externe est chargée, en tant que coresponsable de traitement, de la gestion des données RH, cela signifie-t-il que l’employeur a rendu les données publiques à ce coresponsable ? Si oui, l’employeur sera tenu d’informer ce coresponsable qu’un employé a demandé l’effacement de ses données. Cette hypothèse est cependant peu probable dans la mesure où les agences externes agiront souvent plutôt comme sous-traitants de l’employeur et non comme coresponsables.

Le RGPD crée, finalement, un nouveau droit appelé « droit à la portabilité ». Lorsqu’un employeur se base sur le consentement ou le contrat pour traiter les données personnelles, ce droit sera d’application. Le groupe de travail de l’article 29 (rassemblant toutes les autorités de protection des données européennes et appelé ci-après G29) a adopté, le 5 avril 2017, des lignes directrices pour l’interprétation du droit à la portabilité des données.

Dans ses lignes directrices, le G29 estime qu’en pratique, le droit à la portabilité des données RH va sans aucun doute s’appliquer à certaines opérations de traitement, tel que le recrutement interne par exemple, mais que dans beaucoup d’autres situations, il faudra analyser au cas par cas si les conditions d’application de ce droit sont remplies.

*Les opinions exprimées dans cet article n’engagent que son auteur et ne sauraient refléter la position de la Commission de la protection de la vie privée.

Pour plus de renseignements sur le sujet, retrouvez Joëlle Jouret lors de notre formation Archivage, données personnelles et cybersécurité le 8 juin à Bruxelles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *