Traitement de données des travailleurs
Comment savoir si, à l'occasion d'un contrôle (électronique) des travailleurs ou d’un traitement de leurs données, l'employeur procède à une intrusion licite dans leur vie privée ou s'il commet au contraire une violation ?
En effet, l’employeur est tenu de protéger le droit à la vie privée des travailleurs en ce qui concerne le traitement de leurs données à caractère personnel.
En principe, l'employeur est a priori compétent pour traiter des données de travailleurs en vue d'exécuter ses droits et obligations spécifiques relatifs au droit du travail (nécessité contractuelle, nécessité légale, intérêt de l'entreprise). Il dispose à cet effet du droit d'exercice de l'autorité, du droit de donner des ordres ou encore de l'obligation de veiller à ce que le travail soit exécuté dans des circonstances correctes eu égard à la sécurité et à la santé des travailleurs.
Le traitement de données sensibles est en principe interdit, mais l’employeur peut invoquer quelques exceptions. Par exemple, dans certains cas définis par la loi (par exemple si le droit du travail l’impose), l’employeur peut traiter ces données. Un autre exemple d’exception serait la situation où le travailleur a donné explicitement son consentement. Enfin, de manière générale, la manipulation par l’employeur de ces données à caractère personnel ou sensibles, doit répondre à trois principes fondamentaux permettant de garantir la protection des travailleurs : le respect du principe de finalité, du principe de proportionnalité et du principe de transparence.
Les finalités qui nécessitent un traitement de données à caractère personnel doivent toujours être déterminées, explicites et légitimes.
Quelques exemples de finalités de traitements
- Le contrôle de communications en ligne peut par exemple être réalisé pour prévenir des abus, pour protéger des données d'entreprise confidentielles, pour protéger le réseau, pour contrôler le respect des conventions internes relatives au réseau (par exemple, pas d'utilisation privée excessive).
- La géolocalisation peut par exemple se faire en vue d’assurer la sécurité du travailleur, la protection du véhicule de service, pour anticiper des besoins professionnels bien définis en matière de transport et de logistique, ou encore pour effectuer un contrôle volontaire du personnel, donc pour le contrôle de l'utilisation professionnelle de la voiture de service et de la bonne exécution du régime de travail.
- La surveillance par caméra peut, par exemple, avoir lieu en vue de la sécurité et de la santé du travailleur, de la protection des biens de l'entreprise, du contrôle du processus de production et du contrôle du travail du travailleur.
Les données traitées doivent se limiter à ce qui est nécessaire pour atteindre la finalité de la surveillance (électronique). Le traitement doit être adéquat, pertinent et non excessif au regard de la finalité qui est visée.
Quelques exemples de traitement proportionnel
- En matière de surveillance par caméras, la proportionnalité signifie aussi par exemple de ne pas organiser la surveillance dans les toilettes de l'entreprise ou de ne pas organiser une surveillance permanente (mais uniquement temporaire) si le but est de viser les travailleurs.
- En matière de géolocalisation, la proportionnalité signifie par exemple la possibilité de désactiver l'appareil lorsque le véhicule est utilisé en dehors des heures de travail.
Le principe de transparence est une obligation d’information des travailleurs qui implique que ceux-ci doivent être informés que leurs données font l’objet d’un traitement et à quelles fins. Cette information doit intervenir au moment où les données sont collectées, c’est à dire au moment de la conclusion du contrat de travail. A cet effet, les travailleurs disposent de toute une série de droits leur permettant de garder le contrôle de leurs données.
Le RGPD oblige toutefois l’employeur, en tant que responsable de traitement, à communiquer au travailleur les informations suivantes :
- la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée (en principe, le délai de conservation des documents sociaux est de 5 ans à dater de la fin du contrat de travail) ;
- lorsque le traitement est fondé sur le consentement du travailleur, le droit de retirer ledit consentement à tout moment ;
- le droit d’introduire une plainte auprès de l’APD
La communication de ces informations n’est soumise à aucune exigence de formalisme spécifique mais il est recommandé de passer par la voie d’un document écrit, comme le Règlement de Travail.
Quelques exemples de traitements transparents
- L'employeur doit veiller à ce que lors du lancement de la surveillance (électronique), des informations aient préalablement été communiquées aux travailleurs au sujet de tous les aspects de cette surveillance. Les dispositions légales et conventionnelles en matière d'information et de consultation des (représentants des) travailleurs doivent également être respectées.
- En ce qui concerne le contrôle de l'utilisation du réseau d'entreprise patronal, la transparence signifie par exemple la communication d'informations aux (représentants des) travailleurs sur le type d'utilisation qui est permis/interdit, la manière dont cette utilisation sera contrôlée, les décisions que l'employeur peut prendre contre l'utilisateur sur la base des données collectées lors du contrôle, le droit d'accès du travailleur à ses propres données à caractère personnel, …
Le RGPD oblige le responsable du traitement (ou son représentant) ainsi que les sous-traitants à conserver une documentation interne concernant les activités de traitement effectuées sous leur responsabilité. Il s’agit du registre des activités de traitement ou registre de données. Cette obligation remplace l’ancienne obligation de déclaration auprès de l’APD.
La tenue d’un registre de données est obligatoire pour toutes les entreprises occupant plus de 250 travailleurs. Les entreprises de plus petite taille sont uniquement obligées de tenir un registre :
- si le traitement effectué porte sur certaines catégories particulières de données ou sur des données relatives à des condamnations pénales et à des infractions ; OU
- si le traitement effectué est susceptible de comporter un risque pour les droits et libertés des personnes concernées ; OU
- si le traitement effectué n’est pas occasionnel.
Cette dernière exception implique que pratiquement tous les employeurs devront tenir un registre de données. Selon l’APD, la gestion du personnel constitue en effet un traitement non occasionnel.
Enfin, l’APD recommande à toutes les entreprises de tenir un registre de données, et ce même si cette obligation ne leur est pas applicable.