Vous avez l’habitude de fêter les anniversaires de vos collaborateurs… Avec le RGPD, vous ne pourrez continuer qu’avec le consentement formel de tous. Voici une des 10 actions courantes sur le lieu de travail qui vous allez devoir changer...
Si nous avons tous une vision, plus ou moins réaliste, de l’impact professionnel du RGPD (GDPR), le Règlement européen pour la protection des données personnelles - sur lequel, rappelons-le si vous n’avez pas encore intégré cette information stratégique, votre organisation devra être en conformité dans désormais moins d’un mois, le 25 mai -, nous sommes certainement bien loin d'en avoir mesuré l'impact dans notre quotidien...
Pour sortir des sentiers battus, nous vous proposons aujourd’hui une vision différente, plus personnelle, de l’impact du RGP sur la vie au bureau. Cette liste originale de 10 actions courantes sur le lieu de travail qui devront faire l’objet d’une attention particulière à partir du 25 mai prochain nous est proposée par l’éditeur Sage. Nous la reproduisons inextenso.
1Célébrer l'anniversaire d'un collègue
La date de naissance d'un collaborateur est une donnée personnelle. Dans le cadre du RGPD, cette information ne peut être partagée sans son consentement formel. Il est donc important de vérifier le consentement de tout le monde avant d'établir un calendrier partagé des anniversaires.
2Envoyer des cartes de vœux professionnelles
Pour l’envoi des cartes de vœux à ses clients, l’entreprise va également devoir changer ses habitudes. Si les adresses utilisées sont celles de leur domicile, alors il s'agit de données personnelles dont le traitement n’est pas autorisé par le RGPD. Pour qu’il le soit, l’entreprise doit obtenir le consentement préalable de son client. Si ce n’est pas le cas, une base de données règlementaire différente doit être créée pour chaque communication professionnelle envoyée.
3Partager les photos du bébé ou des vacances d'un collaborateur
Les données personnelles ne peuvent être transférées au niveau international que si le pays a été désigné par l'UE comme assurant un niveau adéquat de protection des données ou en se conformant à un mécanisme de certification approuvé tel que le bouclier de protection de la vie privée Union Européenne-États-Unis. Toutefois, si le partage d'une photo de bébé est considéré comme une activité purement personnelle, l’entreprise peut faire valoir qu'elle ne relève pas du champ d'application du RGPD.
4Évènements : passer commande au traiteur
Des collaborateurs allergiques aux noix ? Des habitudes alimentaires spécifiques à leurs croyances ? Ces données sont considérées comme des données personnelles. Avant de décrocher le téléphone pour passer commande à un restaurant ou un traiteur, l’entreprise doit s’assurer d'avoir l’accord des salariés concernés pour partager ce type d’information.
5Transférer le CV d'un candidat pour un deuxième avis
Avant de le transférer, le recruteur ou le collaborateur devra penser à l'anonymiser, en supprimant le nom, l'adresse, le numéro de téléphone et toute autre information qui permettrait d’identifier le candidat. Cette démarche contribue par la même occasion à éliminer les préjugés sexistes ou raciaux dans le recrutement, une tendance de plus en plus courante.
6Cocher la case d’inscription à une liste de diffusion
Le formulaire d'inscription au site Web de l’entreprise comporte-t-il une case à cocher pour l’accord de ses clients concernant la réception des informations marketing de tiers ? Avec le RGPD, les cases pré-cochées et l'inaction ne suffiront plus à prouver le consentement. Une réécriture des conditions de confidentialité en ligne sera peut-être également à enclencher, car une demande de consentement à l'utilisation de renseignements personnels par une entreprise doit être intelligible et rédigée dans un langage clair et simple.
7Parler de politique au bureau
Les opinions politiques sont considérées comme des données personnelles sensibles. Bien que déjà prudentes sur l’utilisation de ce type d’informations, les entreprises vont devoir redoubler de vigilance.
8Signaler une absence pour cause de maladie
L’entreprise ne pourra plus informer d’une absence pour raison médicale ni transmettre des informations sur l’état de santé d’un collaborateur, à moins que celui-ci n’ait consenti à ce que cette information soit partagée avec toutes les personnes qui doivent en être informées.
9Auditer les données
Dans le cadre du RGPD, les entreprises ont besoin d'une personne désignée comme responsable des questions de protection des données et, dans certains cas, une entreprise peut avoir besoin de nommer officiellement un DPO ou « Délégué à la protection des données » avant de procéder à un traitement à grande échelle des données à caractère personnel. Cette personne désignée est responsable de la sensibilisation aux réglementations en matière de protection des données au sein de son organisation, de la formation du personnel et de la gestion des audits des processus de données.
10Gérer une atteinte à la protection des données
Dans le cadre du RGPD, si des données personnelles sont accidentellement ou illégalement perdues, détruites, modifiées ou endommagées, l’entreprise doit en informer la CNIL dans un délai de 72 heures. Elle doit également informer toutes les personnes concernées si cela représente un risque élevé pour elles de perte financière, de vol d'identité ou de fraude.
Image d’entête 947282432 @ iStock Good_Stock