Le RGPD, c’est aujourd’hui !
Qu’est-ce que le Règlement Général sur la Protection des Données va concrètement changer au bureau?
Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur aujourd’hui dans tous les pays de l’Union Européenne, instaurant pour les entreprises de toutes tailles des restrictions dans l’utilisation et le traitement des données personnelles de leurs clients, prospects et salariés. Voici 10 pratiques courantes sur le lieu de travail qui devront désormais faire l’objet d’une attention particulière.
>> Découvrez toutes nos offres d'emploi 2018
La Belgique en retard ?
Si théoriquement, toutes les entreprises devaient l’anticiper et s’y sont donc attentivement préparées ces derniers mois, pas moins de huit pays de l’Union Européenne dont la Belgique, présenteraient un retard conséquent dans leur intégration du nouveau règlement européen sur la protection des données personnelles, selon un communiqué récent de la Commission Européenne. Le gouvernement belge a néanmoins tempéré l’importance de ce retard en rappelant que les droits qu’il confère seraient eux bien valables et effectifs à partir de ce 25 mai. Les citoyens peuvent donc dès aujourd’hui se prévaloir de ce règlement renforçant certains droits existant et en créant d’autres.
Reprendre le contrôle de nos données personnelles
Censé nous permettre de reprendre le contrôle de nos données personnelles, cet arsenal de nouvelles règles semblait plus que nécessaire et pour le moins urgent dans le contexte général des dangers inhérents à l’ère numérique dans laquelle nous vivons (et récemment incarnés par le scandale Facebook - Cambridge Analytica). Pour illustrer de manière pratique et concrète l’influence de ce règlement dans nos vies quotidiennes au bureau, voici 10 actions très courantes sur le lieu de travail qui doivent désormais faire l’objet d’une attention particulière. Celles-ci ont été récemment identifiées dans un communiqué par l’entreprise Sage [multinationale éditrice de logiciels, notamment de gestion, comptabilité, ERP (pour enterprise resource planning), etc., premier fournisseur auprès des PME].
>> Retrouvez toutes nos offres dans les métiers de l'IT
1 Célébrer l'anniversaire d'un collègue
La date de naissance d'un collaborateur est une donnée personnelle. Dans le cadre du RGPD, cette information ne peut être partagée sans son consentement formel. Il est donc important de vérifier le consentement de tout le monde avant d'établir un calendrier partagé des anniversaires.
2 Envoyer des cartes de vœux professionnelles
Pour l’envoi des cartes de vœux à ses clients, l’entreprise va également devoir changer ses habitudes. Si les adresses utilisées sont celles de leur domicile, alors il s'agit de données personnelles dont le traitement n’est pas autorisé par le RGPD. Pour qu’il le soit, l’entreprise doit obtenir le consentement préalable de son client. Si ce n’est pas le cas, une base de données réglementaire différente doit être créée pour chaque communication professionnelle envoyée.
>> Retrouvez toutes nos offres dans des métiers juridiques
3 Partager les photos du bébé d'un collaborateur
Les données personnelles ne peuvent être transférées au niveau international que si le pays a été désigné par l'UE comme assurant un niveau adéquat de protection des données ou en se conformant à un mécanisme de certification approuvé tel que le bouclier de protection de la vie privée Union Européenne-États-Unis. Toutefois, si le partage d'une photo de bébé est considéré comme une activité purement personnelle, l’entreprise peut faire valoir qu’elle ne relève pas du champ d’application du RGPD.
4 Événements: passer commande à un traiteur
Des collaborateurs allergiques aux noix? Des habitudes alimentaires spécifiques à leurs croyances? Ces données sont considérées comme des données personnelles. Avant de décrocher le téléphone pour passer commande à un restaurant ou un traiteur, l’entreprise doit s’assurer d'avoir l’accord des salariés concernés pour partager ce type d’information.
>> Vous souhaitez devenir conseiller juridique et délégué à la protection des données ?
5 Transférer le CV d'un candidat pour un deuxième avis
Avant de le transférer, le recruteur ou le collaborateur devra penser à l'anonymiser, en supprimant le nom, l'adresse, le numéro de téléphone et toute autre information qui permettrait d’identifier le candidat. Cette démarche contribue par la même occasion à éliminer les préjugés sexistes ou raciaux dans le recrutement, une tendance de plus en plus courante.
>> Vous souhaitez devenir conseiller juridique et délégué à la protection des données ?
6 Cocher la case d’inscription à une liste de diffusion
Le formulaire d'inscription au site Web de l’entreprise comporte-t-il une case à cocher pour l’accord de ses clients concernant la réception des informations marketing de tiers? Avec le RGPD, les cases pré-cochées et l’inaction ne suffiront plus à prouver le consentement. Une réécriture des conditions de confidentialité en ligne sera peut-être également à enclencher, car une demande de consentement à l'utilisation de renseignements personnels par une entreprise doit être intelligible et rédigée dans un langage clair et simple.
>> Découvrez toutes nos offres d'emploi 2018
7 Parler de politique au bureau
Les opinions politiques sont considérées comme des données personnelles sensibles. Bien que déjà prudentes sur l’utilisation de ce type d’informations, les entreprises vont devoir redoubler de vigilance.
8 Signaler une absence pour cause de maladie
L’entreprise ne pourra plus informer d’une absence pour raison médicale ni transmettre des informations sur l’état de santé d’un collaborateur, à moins que celui-ci n’ait consenti à ce que cette information soit partagée avec toutes les personnes qui doivent en être informées.
>> Retrouvez toutes nos offres dans les métiers de l'IT
9 Auditer les données
Dans le cadre du RGPD, les entreprises ont besoin d'une personne désignée comme responsable des questions de protection des données et, dans certains cas, une entreprise peut avoir besoin de nommer officiellement un DPO ou «Délégué à la protection des données» avant de procéder à un traitement à grande échelle des données à caractère personnel. Cette personne désignée est responsable de la sensibilisation aux réglementations en matière de protection des données au sein de son organisation, de la formation du personnel et de la gestion des audits des processus de données.
10 Gérer une atteinte à la protection des données
Dans le cadre du RGPD, si des données personnelles sont accidentellement ou illégalement perdues, détruites, modifiées ou endommagées, l’entreprise doit en informer la CPVP (Commission de la Protection de la Vie Privée) dans un délai de 72 heures. Elle doit également informer toutes les personnes concernées si cela représente un risque élevé pour elles de perte financière, de vol d'identité ou de fraude.
