Dossier professionnel
Un dossier professionnel (aussi appelé dossier du personnel) contient de nombreuses données à caractère personnel concernant les travailleurs, données que l'employeur collecte dans le cadre de sa relation de travail avec ces derniers. Parce que les dossiers du personnel contiennent des données à caractère personnel des travailleurs, l'employeur doit tenir compte du RGPD dans la gestion de ses dossiers du personnel.
Le RGPD confère à tout travailleur un droit d'accès aux informations le concernant et figurant dans son dossier professionnel.
Lorsque l'employeur est une autorité administrative, le travailleur peut également invoquer la législation relative à la publicité pour sa demande de consultation.
En aucun cas l’employeur ne pourra refuser purement et simplement au travailleur l' "accès" à son dossier personnel.
Accès au dossier par des personnes tierces
Le principe est que toute personne tierce, comme des collègues, ne peuvent pas avoir accès au dossier du personnel d'un travailleur sans le consentement de ce dernier.
L'employeur doit veiller à ce que l’accès au dossier professionnel par d’autres personnes que celle concernée, reste limité à ce qui est nécessaire à l’exécution des tâches et aux besoins du service.
Il faut également veiller à ce que seule les personnes habilitées puissent en prendre connaissance. Ainsi, un associé peut consulter les données à caractère personnel des membres du personnel dont la société traite des données s'il est chargé des obligations en matière de législation sociale, du fonctionnement de l'administration du personnel ou de l'application d'une politique du personnel. Quoi qu'il en soit, cet accès au dossier du personnel doit être conforme à la finalité pour laquelle la société a obtenu ces données à caractère personnel.
L'employeur est responsable de l'exactitude des données à caractère personnel figurant dans ses dossiers du personnel. Si jamais une erreur devait exister, le RGPD et la législation relative à la publicité disposent que le travailleur a le droit d'obtenir sans frais la rectification de toute donnée à caractère personnel inexacte qui le concerne.
Attention, ce droit ne s'applique pas par exemple aux données d'évaluation. Le travailleur devrait toutefois pouvoir compléter une évaluation négative par une déclaration selon laquelle il conteste l'évaluation faite par l'employeur.
Il n'existe pas de disposition légale générale qui stipule ce qui doit précisément figurer dans un dossier du personnel ni combien de temps un dossier du personnel doit être conservé. La pratique préconise en général un délai de 5 ans après la fin de la relation de travail.
Selon le RGPD, l'employeur ne peut pas conserver les données à caractère personnel de ses travailleurs plus longtemps que le temps nécessaire à la réalisation des finalités pour lesquelles ces données ont été obtenues et utilisées, en l'occurrence la gestion du personnel et l'administration des salaires.
Cela signifie que les données à caractère personnel des travailleurs ne peuvent plus être traitées au terme du contrat de travail, sauf lorsqu'il existe une législation qui précise qu'un dossier du personnel doit, en totalité ou en partie, être conservé pendant une période plus longue au sein de l'entreprise. Il faut dès lors juger, dans la pratique et pour chaque document repris dans le dossier du personnel, s'il existe une législation spécifique relative au délai de conservation.
Le RGPD impose au responsable du traitement une série d'obligations au niveau de la sécurité et de la confidentialité à l'égard des travailleurs, sous peine d’être responsable de la violation du droit à la vie privée (en matière d’accès aux fiches de salaires des travailleurs par exemple).
Le responsable du traitement doit veiller à prendre les mesures techniques et organisationnelles nécessaires offrant un niveau de protection adéquat afin de protéger les données à caractère personnel contre l’accès non autorisé, l’altération, la perte ou la destruction.