La gestion des données particulières en vertu du RGPD
GDPR pour les RH
Il faut tout d’abord rappeler que l’art. 9 du RGPD interdit le traitement sur des catégories particulières de données à caractère personnel, mais il admet des exceptions dans l’alinéa suivant.
On peut donc affirmer que le traitement des données particulières est interdit, mais pas de manière absolue.
Le traitement des données particulières ne s’applique pas si l’une des conditions suivantes est remplie :
- la personne concernée a donné son consentement explicite au traitement de ces données ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
- le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
- le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, etc. ;
- le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
- le traitement est nécessaire pour des motifs juridiques, motifs d’intérêt public aux fins de la médecine préventive ou de la médecine du travail, aux fins archivistiques et de recherche scientifique dans l’intérêt public.
On voit donc que ce n’est pas le traitement qui est interdit, mais plutôt les finalités pour lesquelles le traitement est effectué.
Dans le domaine de recherche et sélection du personnel, il va sans dire que le traitement de données particulières est autorisé si nécessaire pour conclure un contrat de travail. Il reste interdit lorsque cette condition n’est pas remplie. Par conséquent, si le traitement des données particulières est justifié par le fait qu’il est nécessaire pour signer un contrat de travail, il peut être effectué.
En général, les recruteurs devraient éviter de recueillir des données particulières qui ne sont pas nécessaires pour la signature et / ou continuation d’un contrat de travail.
En outre, il faut rappeler que par « traitement » on entend aussi la simple communication verbale d’une information qui peut regarder les données personnelles ou particulières.
Par exemple : dans une entreprise un/e réceptionniste, à la demande de parler avec un/une collègue, répond qu’il/elle est en congé maladie. Dans ce cas-là, nous sommes en présence de traitement non autorisé d’une donnée particulière sur le/la collègue absent/e, car il s’agit d’une donnée concernant l’état de santé qui a été rendu public par une personne non autorisée.
Il serait différent si le/la réceptionniste devait appeler une ambulance parce que le/la collègue a perdu conscience. Dance ce cas-là, la divulgation de la donnée est justifiée par une des exceptions dans l’art. 9 al. 2 du RGDP (sauvegarde des intérêts vitaux de la personne concernée).
De la même façon, à titre d’exemple seulement, les traitements suivants sont autorisés : l’adhésion au syndicat pour le décompte des congés, la présence ou non d’invalidité pour le décompte des salaires ou d’un parent invalide pour avoir des congés, etc.
Compte tenu du grand nombre des données et de la complexité de leur traitement, une bonne pratique consiste à se doter d’instruments, même informatiques, capable de gérer ces données et d’aider les opérateurs à effectuer un traitement qui soit le plus conforme possible à la législation existante.
La gestion des données particulières en vertu du RGPD
GDPR pour les RH
Il faut tout d’abord rappeler que l’art. 9 du RGPD interdit le traitement sur des catégories particulières de données à caractère personnel, mais il admet des exceptions dans l’alinéa suivant.
On peut donc affirmer que le traitement des données particulières est interdit, mais pas de manière absolue.
Le traitement des données particulières ne s’applique pas si l’une des conditions suivantes est remplie :
- la personne concernée a donné son consentement explicite au traitement de ces données ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
- le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
- le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, etc. ;
- le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
- le traitement est nécessaire pour des motifs juridiques, motifs d’intérêt public aux fins de la médecine préventive ou de la médecine du travail, aux fins archivistiques et de recherche scientifique dans l’intérêt public.
On voit donc que ce n’est pas le traitement qui est interdit, mais plutôt les finalités pour lesquelles le traitement est effectué.
Dans le domaine de recherche et sélection du personnel, il va sans dire que le traitement de données particulières est autorisé si nécessaire pour conclure un contrat de travail. Il reste interdit lorsque cette condition n’est pas remplie. Par conséquent, si le traitement des données particulières est justifié par le fait qu’il est nécessaire pour signer un contrat de travail, il peut être effectué.
En général, les recruteurs devraient éviter de recueillir des données particulières qui ne sont pas nécessaires pour la signature et / ou continuation d’un contrat de travail.
En outre, il faut rappeler que par « traitement » on entend aussi la simple communication verbale d’une information qui peut regarder les données personnelles ou particulières.
Par exemple : dans une entreprise un/e réceptionniste, à la demande de parler avec un/une collègue, répond qu’il/elle est en congé maladie. Dans ce cas-là, nous sommes en présence de traitement non autorisé d’une donnée particulière sur le/la collègue absent/e, car il s’agit d’une donnée concernant l’état de santé qui a été rendu public par une personne non autorisée.
Il serait différent si le/la réceptionniste devait appeler une ambulance parce que le/la collègue a perdu conscience. Dance ce cas-là, la divulgation de la donnée est justifiée par une des exceptions dans l’art. 9 al. 2 du RGDP (sauvegarde des intérêts vitaux de la personne concernée).
De la même façon, à titre d’exemple seulement, les traitements suivants sont autorisés : l’adhésion au syndicat pour le décompte des congés, la présence ou non d’invalidité pour le décompte des salaires ou d’un parent invalide pour avoir des congés, etc.
Compte tenu du grand nombre des données et de la complexité de leur traitement, une bonne pratique consiste à se doter d’instruments, même informatiques, capable de gérer ces données et d’aider les opérateurs à effectuer un traitement qui soit le plus conforme possible à la législation existante.