Le 25 mai 2018, le règlement général sur la protection des données (RGPD), qui régit le traitement des données à caractère personnel, sera applicable. Il a notamment un impact important dans le cadre de la relation de travail : droits accrus dans le chef des travailleurs, et obligations accrues dans le chef des employeurs.
Le règlement général sur la protection des données (RGPD) tend à instaurer un cadre légal applicable au traitement de données relatives à des individus.
Le GDPR s’appliquera à quasi toutes les entreprises dans les faits car toutes disposent d’informations se rapportant à des personnes physiques identifiées ou identifiables en version électronique ou sur support papier.
Le constat est donc simple : si une entreprise traite (stocke, utilise, transmet, …) des données relatives à des personnes identifiées ou identifiables pour des raisons de gestion interne, de sûreté et de sécurité, elle doit respecter le GDPR, qu’elle soit localisée ou non en Europe.
Dans le cadre d’une relation de travail, un nombre important de données est traité, même si cette réalité n’est pas toujours perçue par les employeurs.
Ci-dessous, quelques exemples de traitements :
- Administration du salaire et du personnel régulée par le système de gestion du temps (pointage);
- Base de données relative aux travailleurs pour la gestion du contrôle des accès;
- Logiciel dédié aux RH, visant le suivi des évaluations ou des programmes de formation ;
- Logiciel de vidéosurveillance avec stockage des images sur le lieu de travail ;
- Dossiers sûreté sur le recrutement des collaborateurs ,…
Un enjeu majeur avec une échéance au 25 mai 2018 et des contraintes protéiformes
- De gouvernance du Data Management avec la mise en place d’un Délégué à la protection des données (ou DPO, acronyme de « Data Protection Officer »),
- De réalisation d’un Privacy Impact Assessment
- De mise en place de process et de procédures
- Des garanties techniques de protection
Le GDPR et le Luxembourg
Au niveau luxembourgeois, la base légale s’appuie sur la loi du 2 août 2002 relative à la protection des données à l’égard du traitement des données à caractère personnel. Dans ce cadre-là, les individus ne disposent que d’un accès «indirect» à leurs données détenues par une autorité compétente: c’est à ladite autorité de contrôle de procéder à la vérification des données de la personne concernée, sans que celle-ci ne puisse y avoir elle-même directement accès.
Ce ne sera désormais plus le cas, puisque la nouvelle loi prévoit que la personne concernée pourra directement s’adresser au responsable du traitement des données pour accéder à celles-ci. En cas de refus – motivé – de sa part, la personne concernée pourra toujours, évidemment, s’adresser à l’autorité de contrôle compétente.
Le GDPR et la Belgique
En Belgique, la Commission de la Protection de la Vie Privée (organe de contrôle dans cette matière) pourra bientôt infliger des amendes administratives pouvant atteindre plusieurs millions d’euros en cas de non-respect de la législation. Il vaut donc mieux être en conformité pour le 25 mai 2018.
Pour répondre à cet enjeu, F3S peut vous aider dans la gestion de vos données dans le cadre de vos installations de sûreté et de sécurité :
- Une phase d’état des lieux et d’identification des données de tous les types de données que l’entreprise conserve, suivi de l’identification des données à caractère personnel
- Une phase de mise en place des suivis documentaires, des processus spécifiques, déploiement des monitoring et reporting.
- Aide à la mise en place d’un encadrement adapté :
1er étape ; vérifier si l’entreprise doit désigner un délégué à la protection des données,
2ème étape ; établir un registre de traitement,
3ème étape ; évaluer les risques et dangers pour les personnes dans la réception, gestion et transmission des données personnelles,
4ème étape ; réévaluation de la fiabilité et du sérieux des sous-traitants,
5ème étape ; audit SSI pour répondre aux exigences de Privacy and Security Technical Design.
L’équipe F3S