En mai 2018, des modifications importantes ont été apportées à la réglementation sur la protection des données sous la forme de l’acronyme RGPD. Dans l’application de ce règlement, il serait prudent de veiller à ce que vos contrats de travail contiennent une clause que les employés signent afin qu’ils sachent quelles informations sont conservées à leur sujet.
Les employeurs qui comptent sur le consentement d’un employé ou d’un employé potentiel pour le traitement de données dans leur contrat de travail doivent en prendre note : les exigences relatives à l’obtention du consentement des personnes pour le traitement de leurs données sont beaucoup plus strictes dans le nouveau régime RGPD. Depuis l’entrée en vigueur du RGPD à partir de mai 2018, les employeurs doivent désormais repenser leur approche en matière de clauses de consentement dans les contrats de travail. Bien faire les choses est crucial car la non-conformité peut avoir comme conséquence potentielle une amende pouvant aller jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires mondial.
Pourquoi ce besoin de changement ?
Le Data Protection Act de 1998 (DPA) s’assure que les clauses de consentement RGPD dans les contrats de travail soient un produit de choix. Les employés devraient pouvoir se mettre d’accord. Tout va bien en théorie, mais la réalité a été quelque peu différente. Ces clauses sont souvent inclues dans des contrats de travail de long terme ; les employés estiment qu’ils ne peuvent pas s’opposer à cause du déséquilibre des pouvoirs, ce qui leur évite de s’inquiéter au sujet des problèmes qu’ils jugent plus critiques tels que la rémunération, les vacances ou les restrictions de leurs activités.
Les modifications apportées par la RGPD
La RGPD établit des exigences strictes pour un consentement valable au traitement :
- Le consentement doit être donné librement, en connaissance de cause, spécifique et sans ambiguïté.
- Le consentement doit être présenté de manière clairement distincte des autres questions, sous une forme intelligible et facilement accessible, dans un langage clair et simple.
- Le consentement doit être aussi facile pour une personne à retirer (à tout moment) que pour donner.
Quel est l’impact de la RGPD dans les entreprises ?
Les employeurs devront apporter des modifications sur ces nouvelles exigences:
Ils ne peuvent pas se prévaloir de clauses de consentement génériques pour le traitement des données dans les contrats de travail. Ces clauses ne respecteront pas l’obligation de donner son consentement librement, en raison du déséquilibre du pouvoir de négociation. Voir le site dpo-consulting.fr pour plus de détails.
Cela nécessite un recentrage de l’attention des ressources humaines sur d’autres justifications ou fondements juridiques du traitement permis par le RGPD. Le consentement ne doit être invoqué qu’en cas d’absolue nécessité, et dans une déclaration de « consentement » distincte conforme à la « norme supérieure ».
Méfiez-vous des cas où le consentement est invoqué. Un employé peut le retirer à tout moment et les individus disposent de droits plus étendus lorsque les données sont traitées sur la base du consentement. Ces nouveaux droits pourraient bien devenir une tactique utilisée par les employés pour bloquer des processus disciplinaires ou de licenciement.
Le consentement
Les équipes des ressources humaines doivent mener un exercice de mappage des données pour déterminer quelles données sont traitées, pourquoi et pour combien de temps. Une fois que vous avez fait cela, déterminez quel motif juridique de traitement s’applique à chacune de vos activités de traitement. Par exemple, certains types de traitement sont-ils une nécessité contractuelle (données de paiement des employés), nécessaire pour permettre à l’employeur de se conformer à une obligation légale (données de sécurité sociale) ou dans l’intérêt légitime de l’employeur.