13/01/20

RGPD : Attentions à l’égard du personnel - consentement requis ?

Avec la nouvelle année, se pose la question de savoir si les entreprises peuvent envoyer leurs vœux à leurs travailleurs sur leur adresse privée (mail ou numéro de téléphone) afin, notamment, de les remercier pour leur implication. De la même manière, les dates d’anniversaire des travailleurs peuvent-elles être conservées pour leur envoyer, par exemple, des fleurs ou une carte d’anniversaire ? Il arrive également que des employeurs donnent les adresses privées de travailleurs à des collègues afin qu’ils puissent envoyer des cartes de bon rétablissement en cas de maladie. Le but est de créer / maintenir un environnement de travail agréable et engagé. Dans ce cadre, des données à caractère personnel sont évidemment traitées. Sur quel fondement juridique doit se baser l’employeur pour effectuer ces traitements?

Souvent, les employeurs supposent que, pour ce type de traitements, ils peuvent se fonder sur l’intérêt légitime de l’entreprise, à savoir la promotion de la cohésion sociale sur le lieu de travail. Un récent avis de l’Autorité belge de la Protection des Données (APD) semble cependant aller à l’encontre de cela. 

L’APD rappelle que le fondement juridique « intérêts légitimes » ne peut être invoqué que pour autant que le traitement soit strictement nécessaire au regard d’une finalité légitime. Les traitements qui sont plus « nice to have » que « need to have » ne rencontrent pas, selon l’autorité, ce principe de nécessité. Ceci rejoint également le point de vue du Comité Européen de la protection des données qui considère que l’exigence de nécessité, dans le cadre du fondement juridique « intérêts légitimes », ne peut recevoir une interprétation trop large.

Bien qu’il ne s’agisse pas d’une position officielle de l’APD, la distinction entre les activités « nice to have » et « need to have » semble indiquer que les attentions à l’égard du personnel exigent, en principe, le consentement des personnes concernées.

Le fait que les travailleurs ne soient pas en mesure, de manière générale, de donner librement leur consentement à leur employeur pour le traitement de leurs données à caractère personnel ne forme pas, selon l’APD, un obstacle rédhibitoire au traitement dans le contexte qui nous intéresse ici. Le consentement est en effet, selon l’autorité, parfaitement possible - et, dans notre cas, également adéquat - si le travailleur ne subit aucun inconvénient / désavantage (par rapport aux travailleurs qui ont donné leur consentement) en cas de refus de donner son consentement. Le consentement doit évidemment être libre, spécifique, éclairé et univoque.

Une manière de faire face à cela, en pratique, est de travailler avec un outil sur lequel les travailleurs peuvent librement transférer leurs données à caractère personnel en vue d’éventuelles attentions à l’égard du personnel, cet outil signalant le fait que les travailleurs ne sont pas obligés de communiquer leurs données. 


Point d'action

Il est important de se demander si l’entreprise traite des données à caractère personnel de travailleurs dans le cadre d’activités dites « need to have » ou simplement « nice to have ». Le consentement doit en effet être demandé en ce qui concerne la deuxième catégorie de données à caractère personnel. Si l’entreprise décidait cependant de ne pas demander le consentement, il est alors important, ainsi que le confirme également l’APD, de documenter l’examen qui précède cette décision en tenant compte du principe de responsabilité.

dotted_texture