Interview de Me Véronique Hoffeld, Associée et membre du Comité de Gestion et Me Hugo Arellano, Collaborateur, Loyens & Loeff

Employeur et dispositions sur la protection des données

Dans quelle mesure la protection des données doit-elle être assurée par l'employeur ? L’employeur doit prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer la protection des données personnelles contre la destruction, la perte, l’altération, la divulgation ou l’accès non-autorisé, que ce soit volontaire, involontaire ou illégal. Cette protection est d’autant plus importante lorsque les données doivent être transmises par le biais d’un réseau informatique. Lors du processus de recrutement, quelles sont les obligations en matière de protection des données ? L’employeur doit pouvoir apprécier les capacités du candidat à occuper le poste à pourvoir. Les données collectées ne doivent pas dépasser ce qui est objectivement nécessaire pour permettre cette appréciation. Les données peuvent donc être relatives à la formation du candidat, sa qualification, son expérience professionnelle ou tout autre donnée directement en rapport avec sa candidature. Aucune donnée concernant les opinions politiques ou religieuses, les origines raciales ou ethniques ou encore les appartenance syndicales ne peut être demandée. Les données peuvent être conservées pendant une durée n’excédant pas celle nécessaire pour des activités de recrutement et doivent être détruites ensuite. Les données doivent uniquement être accessibles au personnel ayant un rapport avec le recrutement et la gestion du personnel et l’accès doit être sécurisé.    La tendance actuelle du "Bring your own device" force t-elle les entreprises à renforcer la sécurité des données ? Cette tendance n’oblige pas forcément l’employeur à renforcer la sécurité des données, mais oblige plutôt une réflexion quant à la manière de protéger différemment les données. Comment les professionnels RH peuvent-ils être accompagnés lors de la mise en place du télétravail chez un salarié ? Fondamentalement, les professionnels RH ne devront pas revoir leur copie concernant la mise en place du télétravail pour un salarié. Les garanties de sécurité des données personnelles doivent toujours être entièrement respectées. Le télétravail peut bien évidemment provoquer des questions techniques et pratiques concernant la mise en place d’un accès sécurisé à partir du domicile pour les employés ayant accès aux données personnelles. Idéalement, le service informatique devrait être impliqué dans ce processus de sécurisation de cet accès à distance afin de combiner le respect de la protection des données personnelles et la mise en place d’un système de travail à distance efficace. Qu'en est-il de la surveillance de l'employé ? L’employeur responsable du traitement des données à caractère personnel à des fins de surveillance sur le lieu de travail a la possibilité de procéder à un tel traitement que dans les cas suivants à savoir : •pour les besoins de sécurité et de santé des travailleurs, ou •pour les besoins de protection des biens de l'entreprise, ou •pour le contrôle du processus de production portant uniquement sur les machines, ou •pour le contrôle temporaire de production ou des prestations du travailleur, lorsqu'une telle mesure est le seul moyen pour déterminer la rémunération exacte, ou •dans le cadre d'une organisation de travail selon l'horaire mobile conformément au Code du Travail.

Concernant la cyber surveillance (courrier électronique et utilisation d’internet) des salariés , la pratique à niveau européen prévoit le respect de différents principes pour que ce type d’activité de contrôle soit licite et justifiée, à savoir : -La nécessité : l’employeur doit vérifier la nécessité réelle d’une telle surveillance pour l’objectif poursuivi. Ce type de surveillance doit rester exceptionnel ; -La finalité : l’objectif pour la mise en œuvre de cette surveillance doit être spécifié, légitime et explicite ; -La transparence : Les activités de l’employeur doivent être clairement et ouvertement indiquées. Les salariés doivent être parfaitement informés de la politique de surveillance de l’employeur (procédure, champ d’application, cas d’ouverture de la surveillance etc.). Par ailleurs la Commission Nationale pour la Protection des Données à Luxembourg doit préalablement accorder une autorisation pour la mise en œuvre d’une telle surveillance.