Dans le cadre de ses activités, l’employeur peut être amené à collecter et à enregistrer des données personnelles. Il peut s’agir par exemple d’une collecte de données à des fins commerciales, à des fins de surveillance ou encore pour des raisons de sécurité.

La collecte et le traitement de données personnelles doivent toujours être proportionnels à l’objectif poursuivi. C’est la Commission nationale pour la protection des données (CNPD) qui vérifie cette proportionnalité ainsi que la légitimité des motifs du traitement.

L’entreprise doit, en règle générale, notifier tout traitement de données à caractère personnel à la  CNPD.

Certains types de traitements de données sont toutefois exemptés de notification tandis que d’autres doivent faire l’objet d’une autorisation préalable. Dans certains cas, l’autorisation préalable peut être demandée selon une procédure simplifiée.

L’entreprise doit également informer chaque personne concernée sur le traitement de données mis en place.

Qui est concerné ?

Les déclarations préalables de traitements de données à caractère personnel doivent être introduites  par le responsable du traitement, c’est-à-dire :

• la personne physique elle même ou
• les personnes habilitées à engager l’entreprise dans le cas d’une personne morale.

Pour tout traitement de données à caractère personnel, l’entreprise doit en informer :

• les salariés concernés ;
• les personnes externes à l’entreprise concernées (clients, fournisseurs, visiteurs) ;
• en cas de surveillance sur le lieu de travail : les représentants des salariés (le comité mixte, ou à défaut la délégation du personnel, ou à défaut l’ITM).

Quels sont les traitements de données visés ?

Notification préalable 

Doit faire l’objet d’une notification auprès de la CNPD tout traitement de données à caractère personnel qui n’est ni exempté de notification, ni soumis à autorisation préalable.

Les modifications d’un traitement ainsi que la fin (arrêt définitif) de ces traitements doivent également être notifiées à la CNPD.

Exemption

Sont, par exemple, exemptés de notification les traitements de données à caractère personnel qui :

• sont nécessaires à l’administration des salaires ;
• visent exclusivement la gestion des candidatures et des recrutements ainsi que l’administration du personnel ;
• se rapportent exclusivement à la comptabilité ;
• visent exclusivement l’administration d’actionnaires, d’obligataires et d’associés ;
• visent exclusivement la gestion de la clientèle ou des fournisseurs ;
• sont indispensables à la communication en vue d’entrer en contact avec l’intéressé ;
• portent sur l’enregistrement des visiteurs, effectué dans le cadre d’un contrôle d’accès manuel.

Dans la plupart de ces cas, l’exemption est valable à condition que les données recueillies ne soient pas divulguées à des tiers.

Autorisation préalable

Doivent faire l’objet d’une demande d’autorisation préalable :

• le traitement de données résultant de la surveillance et plus particulièrement de la surveillance sur le lieu de travail, y compris :
  • la vidéosurveillance (formulaire de demande d'autorisation),
  • les contrôles électroniques des accès (ex : badges),
  • les contrôles électroniques des horaires de travail,
  • le traçage des communications et/ou l'enregistrement d'entretiens téléphoniques,
  • le contrôle de l’utilisation d'Internet ou des courriers électroniques,
  • la géolocalisation (GPS), etc.
• le traitement de données biométriques, telles que l’empreinte digitale à des fins de contrôle d’identité ;
• le transfert de données hors Union européenne ;
• le traitement de données génétiques (à des fins autres que la sauvegarde des intérêts vitaux, la médecine préventive, les diagnostics médicaux ou l’administration de soins et traitements) ;
• l’interconnexion de données ;
• le traitement ultérieur de données à des fins autres (historiques, statistiques, scientifiques, etc) ;
• le traitement de données relatives au crédit et la solvabilité de personnes (lorsqu’il n’est pas effectué par un professionnel du secteur financier à l’égard de ses propres clients).