Règlement interne Traitement des données à caractère personnel des travailleurs [Nom de l’entreprise] [Date de rédaction]

Règlement interne – Traitement des données à caractère personnel

Règlement interne

Traitement des données à caractère personnel des travailleurs

[Nom de l’entreprise]

[Date de rédaction]

Préambule

Le présent modèle de règlement interne a été rédigé en tant qu’exemple par l’Unisoc dans le but d’aider les entreprises des secteurs à profit social à la mise en œuvre interne du Règlement Général sur la Protection des Données (Règlement UE 2016/679 du 27 avril 2016, ci-après « RGPD »). Il est porté à la connaissance des travailleurs par écrit ou par d’autres moyens (y compris par voie électronique) et doit être aisément accessible.

Il est important de noter que ce modèle de règlement interne ne concerne qu’une partie des obligations prévues par le RGPD, à savoir l’information des travailleurs de l’entreprise sur le traitement et sur les finalités du traitement de leurs données à caractère personnel. Ce règlement informe également les travailleurs sur leurs droits dans le cadre de ce traitement.

D’autres obligations prévues par le RGPD ne sont pas traitées par le présent règlement (par exemple l’obligation de tenir un registre d’activités de traitement (article 30 RGPD), de procéder à une analyse d’impact (article 35 RGPD) ou l’obligation d’informer ou d’obtenir le consentement des patients/usagers/clients/membres/tiers sur le traitement des données à caractère personnel qui les concernent, sur la finalité de ce traitement et sur leurs droits).

L’utilisation de ce règlement relève de la responsabilité de l’entreprise. L’Unisoc ne peut garantir l’exhaustivité ou l’exactitude des informations reprises dans ce règlement qui dépend de chaque situation spécifique. En cas de situation complexe (par exemple en cas de transfert de données hors UE), nous recommandons un accompagnement juridique plus poussé. L’Unisoc ne peut être tenue pour responsable en cas de recours ou de dommage découlant de l’utilisation de ce règlement.

1. Contexte

Le présent règlement a pour objet de mettre en œuvre les obligations d’information et de transparence prévues par le Règlement Général sur la Protection des Données (ci-après RGPD). Il vise plus spécifiquement à informer les travailleurs de [nom de l’entreprise] sur le traitement des données à caractère personnel les concernant, sur la finalité de ce traitement ainsi que sur la durée du traitement.

Les droits des travailleurs dans le cadre du traitement des données à caractère personnel sont également repris dans le présent règlement.

2. Responsable du traitement des données à caractère personnel

[nom de l’entreprise et coordonnées] se conforme à l’ensemble des dispositions légales relatives à la protection des données à caractère personnel, en ce compris les dispositions du RGPD.

3. Données à caractère personnel qui font l’objet d’un traitement

Le RGPD définit les données à caractère personnel comme étant « toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Dans le cadre de son fonctionnement, [nom de l’entreprise] traite un certain nombre de données à caractère personnel de ses travailleurs : [biffer les mentions inutiles]

3.1. Données obtenues directement auprès du travailleur :

• Nom, prénom, adresse, date de naissance, état civil, numéro de registre national ;

• Numéro de compte bancaire ;

• Numéro de téléphone ;

• Adresse email personnelle et professionnelle ;

• Photos [rem : possible uniquement avec le consentement explicite du travailleur] ;

• Données liées à la santé du travailleur (dans le cadre de la prévention et du bien-être au travail ou de l’évaluation des capacités de travail du travailleur) ;

• [Autres données à caractère personnel qui sont traitées par l’entreprise]

3.2. Données qui ne sont pas obtenues directement auprès du travailleur :

Type de données	Source d’où proviennent les données	La source est-elle accessible au public ?
[Ex : images de vidéo-surveillance [rem : nous recommandons de régler la question de la vidéo-surveillance dans un règlement interne séparé relatif à la vidéo-surveillance et d’y renvoyer dans le présent règlement, voy. la CCT 68 du 16/06/98]	[Ex : caméras placées sur le lieu de travail]	[Ex : Non]
[Ex : dossier personnel du travailleur (définition de fonction, absences, vacances, évaluations, entretiens de fonctionnement, cv et lettre de motivation, etc.)]	[Ex : service RH, manager, etc.]	[Ex : Non]
[Ex : Fiche de paie du travailleur]	[Ex : secrétariat social, service RH]	[Ex : Non]

4. Finalité et base juridique du traitement des données à caractère personnel

Les données à caractère personnel mentionnées au point 3 sont traitées par [nom de l’entreprise] pour permettre la gestion des salaires et l’organisation des ressources humaines, en ce compris l’évaluation des travailleurs. Ce traitement est nécessaire à l’exécution du contrat de travail auquel le travailleur est partie, au respect des obligations légales et contractuelles auxquelles [nom de l’entreprise] est soumis(e), ainsi qu’aux fins de ses intérêts légitimes en tant qu’employeur :

• nécessité de pouvoir contacter et communiquer avec le travailleur,

• nécessité de suivre et évaluer les prestations du travailleur,

• nécessité de planifier les formations et de la carrière du travailleur,

• permettre la planification du travail, son suivi ainsi que le contrôle des prestations,

• [Autres intérêts légitimes de l’entreprise]

Le travailleur communique les données personnelles reprises au point 3.1. à [nom de l’entreprise] (ou au service du personnel) dès son entrée en service ou au moment où ces données lui sont demandées. Ces données sont nécessaires pour que l’employeur puisse appliquer correctement la législation sociale et ses obligations contractuelles. La poursuite de l’exécution du contrat de travail n’est pas garantie en cas de refus du travailleur de transmettre les données concernées et que ce refus empêche la bonne exécution des obligations légales, réglementaires ou contractuelles de l’employeur.

Ce qui précède ne s'applique toutefois pas aux données personnelles mentionnées au point 3 pour lesquelles le travailleur doit expressément donner son consentement au traitement des données. Ces informations ne sont traitées par l'employeur que si le travailleur a expressément donné son consentement à cette fin, à la lumière des finalités de traitement spécifiques pour lesquelles il est informé séparément. L'employeur garantit que le travailleur a le libre choix de donner son consentement, de refuser ou de se rétracter par la suite, sans conséquences négatives.

Le travailleur est tenu de signaler par écrit, spontanément et sans délai, à [nom de l’entreprise] (ou au service du personnel) tout changement dans les données personnelles fournies.

5. Durée du traitement des données à caractère personnel

Les données à caractère personnel mentionnées au point 3 sont conservées durant « la durée du contrat de travail ». Elles peuvent être conservées durant une période supérieure :

• dans les cas où la réglementation belge l’impose,

• ou lorsque le délai de prescription d’une éventuelle action en justice à l’encontre de l’employeur le justifie.

6. Droits du travailleur

6.1. Accès aux données personnelles

Le travailleur a le droit de prendre connaissance des données à caractère personnel qui le concernent ainsi que des spécificités du traitement, en ce compris la finalité du traitement de ces données. Le travailleur peut demander une copie des données. Le cas échéant, cette copie est fournie gratuitement au travailleur.

6.2. Rectification ou effacement des données personnelles

Le travailleur peut exiger que des données inexactes le concernant soient corrigées ou complétées dans les meilleurs délais.

Le travailleur peut exiger l’effacement des données à caractère personnel le concernant dans les meilleurs délais lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, lorsqu’il n’existe plus de finalité légitime pour le traitement, lorsque le travailleur revient sur son consentement au traitement de certaines données et que l’employeur ne peut se fonder sur une autre finalité légitime pour le traitement.

6.3. Limitation du traitement des données personnelles

Le travailleur peut exiger la limitation du traitement des données à caractère personnel le concernant lorsqu’il conteste l’exactitude de ces données (limitation durant la durée permettant de vérifier l’exactitude des données) ou s’oppose au traitement des données (conformément au point 6.4.).

Dans ce cas, les données ne peuvent être traitées (à l’exception de leur conservation) qu’avec le consentement du travailleur concerné, ou pour la constatation de l’exercice ou la défense de droits en justice ou pour la protection des droits d’une autre personne.

6.4. Opposition au traitement des données personnelles

Hormis les données à caractère personnel qui sont nécessaires au respect des obligations contractuelles ou légales de [nom de l’entreprise], le travailleur peut s’opposer à tout moment au traitement des données à caractère personnel le concernant pour des raisons tenant à sa situation particulière.

6.5. Portabilité des données personnelles

Le travailleur a le droit de recevoir les données à caractère personnel qui le concernent et qu’il a fournies à son employeur, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable de traitement. Ce droit n’est ouvert que si le traitement est effectué par des procédés automatisés.

Le travailleur peut exiger que le transfert ait lieu directement entre [nom de l’entreprise] et un autre responsable du traitement si ce transfert est techniquement possible.

6.6 Droit de retirer le consentement

Lorsque la licéité du traitement de données repose sur le consentement exprès du travailleur, celui-ci a le droit de retirer son consentement à tout moment. Le traitement de ces données avant le retrait du consentement reste valable.

7. Mise en œuvre des droits des travailleurs

Si le travailleur souhaite exercer l’un des droits exposés ci-avant, il en informe [nom du service/personne responsable] qui prendra les mesures nécessaires pour satisfaire à cette demande.

Les suites données à cette demande sont communiquées au travailleur dans les meilleurs délais et en tout état de cause, dans un délai d’un mois à compter de la réception de la demande. Le cas échéant, ce délai peut être prolongé de deux mois en raison de la complexité et du nombre de demandes.

Le refus de donner suite aux demandes du travailleur ainsi que les raisons de ce refus, lui sont communiqués dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de la demande. En cas de refus, le travailleur a le droit de déposer une réclamation auprès de l’autorité de contrôle (Commission vie privée) ou d’entamer une procédure devant une juridiction.

8. Destinataires des données à caractère personnel

Les données à caractère personnel reprises au point 3 suivantes sont transmises :

Type de données transmises	Transmise à	Finalité de la transmission
[Ex : coordonnées du travailleur, état civil, numéro de compte, prestations, etc.]	[Secrétariat social x]	[Administration des salaires des travailleurs]
[Ex : numéro de registre national, rémunération,…]	[ONSS, fisc, …]	[Déclaration obligatoire d’occupation, déduction des cotisations sociales et fiscales sur la rémunération et avantages,…]

9. Données du délégué à la protection des données (ou autre personne de contact pour les travailleurs)

Le travailleur peut prendre contact avec le délégué à la protection des données pour toute question relative au traitement de ses données à caractère personnel ou à l’exercice de ses droits.

[Coordonnées du délégué (interne ou externe) à la protection des données de l’entreprise].

[OU à défaut de délégué à la protection des données :]

Le travailleur peut prendre contact avec [personne de contact] pour toute question relative au traitement de ses données à caractère personnel ou à l’exercice de ses droits.

10. Transmission des données personnelles à un pays tiers ou à une organisation internationale

[Point à ne reprendre que si l’entreprise communique des données à caractère personnel vers un pays tiers à l’Union européenne ou à une organisation internationale]

[Nom de l’entreprise] envisage la transmission de certaines informations à un pays tiers ou à une organisation internationale :

Pays tiers/organisation internationale Type de données transférées Existence d’une décision d’adéquation de la Commission européenne (telle que visée par l’article 45 du RGPD) A défaut, garanties appropriées ou adaptées (article 46 RGPD)

Les données transférées peuvent être obtenue par le travailleur à sa demande [ou]

Les données transférées sont mises à la disposition du travailleur à l’endroit suivant :

[à compléter]

11. Mesures techniques et organisationnelles

Les mesures techniques et organisationnelles nécessaires sont prises par [nom de l’entreprise] pour assurer la protection et la confidentialité des données à caractère personnel.

[Le cas échéant, renvoyer au règlement interne relatif aux mesures à respecter par les travailleurs pour la gestion des informations et données confidentielles, ainsi que sur les mesures à prendre en cas de violation des données/police ICT].

13. Modifications au règlement interne de traitement des données à caractère personnel des travailleurs

Le présent règlement interne de traitement des données peut être adaptée lorsque les circonstances l’exigent, par exemple dans l’hypothèse d’un nouveau transfert de données à un destinataire externe.

Les modifications sont portées à la connaissance du personnel de la manière suivante :

[Mode de communication au personnel des modifications éventuelles]

Union des entreprises à profit social asbl – Unisoc – février 2018