L’Agence espagnole de protection des données (AEPD) vient de publier un nouveau guide qui vise à servir d’outil pratique d’aidenon contraignant aux organisations publiques et aux entreprises privées pour un respect adéquat de la législation.
Le guide
Protection des données dans les relations de travail
vise également à servir de manuel aux responsables du traitement des données à caractère personnel dans leur obligation de communiquer aux personnes dont les données ont été affectées et de notifier aux autorités de protection des données.
Quels sont ses principaux changements? Quels thèmes ce guide traite-t-il de la protection des données à caractère personnel et de la garantie des droits numériques? L’employé a-t-il droit à la déconnexion numérique?
Voici quelques-unes des questions auxquelles ce guide répond et, depuis le conseil en matière d’emploi d’AYCE Laborytax, nous avons l’intention de reprendre dans cet article.
Droits des salariés sur la protection des données
Le nouveau guide Protection des données dans les relations professionnelles 2021 approfondit essentiellement les droits des employés dans ce domaine reconnus par la loi organique 3/2018 sur la protection des données à caractère personnel et la garantie des droits numériques (LOPDGDD) et le règlement général sur la protection des données (RGPD).
Ce guide met à jour la version publiée en 2018, lorsque le RGPD a commencé à être appliqué et comprend l’expérience acquise à cette époque.
L’objectif principal de ce guide est de faciliter la réalisation efficace et efficiente des objectifs ultimes de notification des atteintes aux données à caractère personnel.
Parmi ces objectifs figurent la protection effective des droits et libertés des personnes, la création d’un environnement plus résilient fondé sur la connaissance des vulnérabilités de l’organisation et la garantie d’une sécurité juridique en disposant des responsables d’un moyen de faire preuve de diligence dans l’accomplissement de leurs obligations.
Il aborde également des sujets d’actualité tels que la consultation par l’employeur des réseaux sociaux, les systèmes internes de dénonciation, l’enregistrement du temps de travail et de la rémunération, droit à la déconnexion numérique,à la surveillance de la santé ou au traitement des données par les représentants des travailleurs.
Mais nous devons d’abord nous référer et expliquer ce qu’est le concept de traitement des données à caractère personnel.
Comme le prévoit l’article 4.1 du RGPD, sont considérées comme données à caractère personnel « toute information relative à une personne physique identifiée ou identifiable ».
Il peut s’écouler de la date de naissance, de l’état matrimonial, de l’adresse à toute information sur l’enfance, la vie académique, professionnelle ou professionnelle, sur les habitudes de vie et de consommation jusqu’à toute évaluation et appréciation s’refermant sur des personnes particulières.
Partant de cette prémisse, nous allons maintenant aborder les principaux points et recommandations repris dans le guide sur la protection des données dans les relations du travail, compte tenu de l’importance des sujets qu’il aborde.
Clés du nouveau Guide de l’AEPD sur la protection des données et les relations du travail
Sélection du personnel
Dans la section « Sélection du personnel et réseaux sociaux », le guide précise que les personnes ne sont pas tenues de permettre à l’employeur de sensais sur leurs profils de réseaux sociaux,ni pendant le processus de sélection ni pendant l’exécution du contrat.
Même s’il est accessible au public, l’employeur ne peut effectuer un traitement des données obtenues par cette voie s’il n’a pas pour cela une base juridique valable.
Pour ce faire, il faudra informer la travailleuse et démontrer que ce traitement est nécessaire et pertinent pour l’exécution du travail.
D’autre part, l’agence précise que l’entreprise n’est pas habilitée à demander des « amis » aux candidats afin qu’ils donnent accès au contenu de leurs profils.
Enregistrement du jour et salaire
En ce qui concerne
l’enregistrement de la journée de travail,
qui a sa base juridique dans une obligation légale d’inclure l’heure concrète de début et de fin de la journée de chaque travailleur, il est recommandé d’adopter le système le moins invasif possible pour le travailleur.
En outre, le guide indique que la personne qui travaille a le droit d’être informée et, le cas échéant, d’exercer les droits d’accès, de rectification, d’opposition et de suppression, que l’enregistrement soit plus ou moins sophistiqué.
Ce registre de jour ne doit pas inclure plus de données personnelles que les données indispensables (principe de minimisation).
Les données de ce registre ne peuvent pas non plus être utilisées à des fins autres que le contrôle de la journée de travail, comme la vérification de l’emplacement.
Intéressé par:
L’enregistrement de la journée de travail au télétravail est également obligatoire
Systèmes internes de dénonciation ou de dénonciation
Le guide indique, en ce qui concerne les systèmes internes de plaintes qui sont généralement mis en place par la création de boîtes aux lettres internes par lesquelles les travailleurs, généralement par une procédure en ligne, mettent en évidence la perpétration d’actes ou de comportements contraires à la loi ou à la convention collective. L’information revêt en l’occurrence un caractère primordial.
La LOPDGDD prend en charge les systèmes de dénonciation anonymes et, dans le cas contraire, la confidentialité des informations du plaignant doit être laissée en sécurité et son identification ne doit pas être fournie à la personne dénoncée.
L’existence de ces boîtes aux lettres doit respecter le principe de proportionnalité,de sorte que les plaintes ne concernent que des cas où les faits ou les actes ont une implication effective dans les relations entre l’entreprise et la plainte.
Surveillance de la santé
L’une des principales obligations de l’employeur dans le domaine de la prévention des risques professionnels est la surveillance de la santé des travailleurs.
Il s’agit d’une obligation qui n’implique pas un devoir corrélatif pour les travailleurs, car les examens médicaux à charge de l’employeur sont, de manière générale, volontaires pour les salariés, qui doivent donner leur consentement.
L’employeur n’est pas haï pour connaître le diagnostic médical spécifique, de sorte qu’il ne pourra accéder qu’aux conclusions de cette surveillance de la santé relatives à la notion d’«apte » ou de « non apte ».
L’employeur assure aux travailleurs à son service la surveillance périodique de leur état de santé en fonction des risques inhérents au travail. Cette surveillance ne peut être effectuée que lorsque le travailleur donne son consentement.
Le guide indique également que la surveillance des données de santé par le biais d’appareils intelligents tels que des bracelets ou des montres est généralement interdite,à moins qu’elle ne soit établie par la loi ou réglementairement.
Communication aux personnes concernées
En complément du Guide, l’AEPD dispose d’un outil appelé « Comunica-Brecha RGPD »qui aide les entreprises à décider de communiquer ou non une violation de données aux personnes concernées. Cette obligation est indépendante de celle de notifier cette lacune à l’autorité de contrôle.
Cette ressource repose sur un bref formulaire qui recueille des détails permettant d’appliquer des critères de base indiquant le risque associé à l’écart.
Lors du remplacement du formulaire, l’outil recommande trois scénarios possibles: que la faille de sécurité doit être notifiée aux personnes concernées lors de l’appréciation d’un risque élevé; que cette communication n’est pas nécessaire; ou que le niveau de risque ne peut être déterminé.
