Vous êtes ici

Quels sont les 5 commandements que s’applique le secteur de l’intérim face au GDPR ?

Le compte à rebours est enclenché : en tant qu’organisation, il vous faut vous mettre en conformité avec le General Data Protection Regulation (GDPR) adopté par l’Europe le 27 avril 2016. Son entrée en application est fixée au 25 mai 2018. Dans le secteur de l’intérim, différents projets ont également été lancés.

Les intérimaires et les candidats se montrent de plus en plus conscients de leur droit à la protection de la vie privée. Quel que soit l’attention qu’y porte l’entreprise dans laquelle ils vont travailler, le sujet devient de plus en plus critique. Tout comme pour la sécurité et le bien-être au travail, on attend de la société d’intérim qu’elle offre une protection des données personnelles maximale. Certaines entreprises soumettent déjà leur partenaire RH à un audit de confidentialité en la matière.

Les bureaux d’intérim qui veulent être conformes au nouveau règlement général sur la protection des données se retrouvent face à un défi de taille. Tous les processus dans lesquels l’utilisation de données personnelles est nécessaire doivent être examinés. Nous devons respecter les dispositions légales d’utilisation des données personnelles, mais également nous assurer que l’environnement technique qui traite ces données garantisse la protection de la vie privée des personnes concernées.

Cet exercice n’est pas facile à réaliser et il prend du temps. Former les collaborateurs aux bases du GDPR est donc essentiel. Voici cinq recommandations simples à ancrer dans votre méthode de travail.

1. Identifiez ce que sont les « données personnelles »

Toutes les informations relatives à une personne identifiée ou identifiable sont couvertes par la protection. Les personnes identifiables indirectement (via une adresse IP, un numéro de carte SIM, une plaque d’immatriculation d’une voiture de société, etc.) sont aussi protégées. Ce n’est que si les informations personnelles sont rendues anonymes, de sorte qu’on ne puisse en aucun cas savoir qui elles concernent, qu’elles sortent du champ d’application du GDPR.

2. Soyez conscient que vous avez toujours besoin d’une base légale pour utiliser les données

L’accord et les informations qui l’accompagnent constituent la base juridique la plus évidente, mais c’était déjà le cas auparavant. Nombres d’opérations de traitement sont toutefois parfaitement possibles sans autorisation. Une déclaration DIMONA à l’ONSS, par exemple, ou la déclaration des prestations et des salaires aux autorités fiscales. Ce sont des obligations légales. Un accord n’est donc pas nécessaire, sauf si vous souhaitez utiliser l’information à d’autres fins. Tout le monde doit savoir que solliciter, conserver ou transmettre des informations n’est possible que si vous avez une raison juridiquement valable pour le faire.

3. Traitez les informations de façon qualitative

Les collaborateurs doivent recevoir des directives claires sur l’étendue des données qui peuvent être demandées. Ils doivent comprendre qu’ils ne peuvent pas enregistrer des informations inutiles et que la période pour les garder n’est jamais infinie. Les logiciels peuvent, à ce titre, contribuer à la mise en conformité au GDPR, mais ce sont bien les individus qui ont eux-mêmes la main sur la qualité des données.

4. Respectez les droits des intérimaires

Vu l’attention médiatique accordée à l’entrée en vigueur de ce nouveau règlement, les gens sont plus souvent attentifs au respect de leurs droits. Ne laissez pas de marges d’erreur. Les mailings qui continuent d’arriver après qu’on se soit désinscrit causent de l’irritation et du travail supplémentaire. Il convient d’avoir des procédures internes claires afin qu’une question simple ne se mue pas soudainement en une plainte auprès de la commission de la protection de la vie privée.

5. Soyez conscients de vos obligations en tant que responsable du traitement des données

Tout le monde doit avoir le « réflexe de confidentialité ». Par exemple, le département marketing peut être convaincu par un outil de mailing américain, mais il devra prendre en compte les principes de protection de la vie privée avant d’y recourir. De même, il faudra se montrer prudent si le département RH désire entamer une collaboration avec un outil en ligne sur les ‘corporate benefits’ qui promet des optimisations attractives aux employés, amenés pour cela à se créer un compte personnel. Deux initiatives qui, jusqu’ici, étaient probablement décidées sans se poser trop de questions en matière de respect de la vie privée. Ce sera donc le premier défi que d’apprendre un tel réflexe en s’entraînant, répétant et… répétant encore.

GRPR