Célébrer un anniversaire au bureau, envoyer une carte de vœux professionnelle, signaler une absence pour maladie ? Le RGPD va vous contraindre à y regarder de plus près avant de vous lancer…
Plusieurs actions courantes sur le lieu de travail devront faire l’objet d’une attention particulière à partir du 25 mai prochain, jour de la mise en application du nouveau règlement européenne sur la protection des données personnelles. Voici quelques conseils rédigés avec l’aide de l’éditeur Sage.
1 Fêter un anniversaire
Certaines entreprises partagent un calendrier des anniversaires des collaborateurs. Reste qu’il s’agit de données personnelles. En conséquence, « dans le cadre du RGPD, il ne peut être partagé sans un consentement formel« , soutient l’éditeur Sage.
Une donnée personnelle est comprise comme toute information relative à une personne identifiée ou identifiable directement ou indirectement grâce à des éléments qui lui sont propres.
2 Envoyer des cartes de vœux professionnelles
Si les cartes de vœux envoyés aux clients de l’entreprise utilisent les adresses des domiciles, alors il s’agit de données personnelles dont le traitement n’est pas autorisé par le RGPD. Pour qu’il le soit, « l’entreprise doit obtenir le consentement préalable de son client. Si ce n’est pas le cas, une base de données règlementaire différente doit être créée pour chaque communication professionnelle envoyée », explique Sage.
N’oubliez pas non plus que vous devez avoir le consentement de vos clients pour l’envois de mailings, y compris vos cartes de vœux numériques !
3 Partager les photos du bébé d’un collaborateur
Selon l’éditeur « Les données personnelles ne peuvent être transférées au niveau international que si le pays a été désigné par l’UE comme assurant un niveau adéquat de protection des données ou en se conformant à un mécanisme de certification approuvé tel que le bouclier de protection de la vie privée Union Européenne-États-Unis. Toutefois, si le partage d’une photo de bébé est considéré comme une activité purement personnelle, l’entreprise peut faire valoir qu’elle ne relève pas du champ d’application du RGPD. »
4 Evènements : passer commande au traiteur
« Des collaborateurs allergiques aux noix ? Des habitudes alimentaires spécifiques à leurs croyances ? Ces données sont considérées comme des données personnelles, selon Sage. Avant de décrocher le téléphone pour passer commande à un restaurant ou un traiteur, l’entreprise doit s’assurer d’avoir l’accord des salariés concernés pour partager ce type d’information« .
A noter : la preuve du consentement est à la charge du responsable de traitement
5 Transférer le CV d’un candidat pour un deuxième avis
Avant de le transférer, le recruteur ou le collaborateur devra penser à l’anonymiser, en supprimant le nom, l’adresse, le numéro de téléphone et toute autre information qui permettrait d’identifier le candidat, précise Sage.
6 Parler de politique au bureau
Les opinions politiques sont considérées comme des données personnelles sensibles. Il faudra donc redoubler de vigilance.
7 Signaler une absence pour cause de maladie
« L’entreprise ne pourra plus informer d’une absence pour raison médicale ni transmettre des informations sur l’état de santé d’un collaborateur, explique l’éditeur. A moins que celui-ci n’ait consenti à ce que cette information soit partagée avec toutes les personnes qui doivent en être informées. »
Penser à la mise en place d’une charte Rh interne
