GDPR : ce qu'il faut faire et ne pas faire pour mettre fin à la collaboration avec les employés et les travailleurs indépendants

Dans notre 12e édition d'octobre 2023, nous avions déjà parlé des dos et des don'ts concernant le GDPR lors de l'embauche de salariés. Cette fois, nous nous concentrons sur la fin du contrat de travail et nous offrons un aperçu pratique de toutes les obligations GDPR qui en découlent pour l'employeur.

Rappel : principes de base du GDPR

Le GDPR s'applique à toutes les opérations de traitement des données personnelles que vous effectuez en tant qu'employeur.

Les données personnelles sont toutes les informations qui peuvent être reliées à une personne naturelle identifiée ou identifiable, comme le nom, l'adresse et l'adresse e-mail. Un traitement englobe toute opération concernant les données personnelles, comme la collecte, l'enregistrement, l'organisation, la structuration, la conservation, la mise à jour ou la modification, la consultation, l'utilisation.

Ainsi, simplement conserver les données d'un ancien employé constitue un traitement de données personnelles et est soumis aux obligations du GDPR. La communication orale pure et simple est en principe hors du champ d'application du GDPR.

L'une des règles de base du GDPR est que le traitement des données personnelles n'est autorisé que s'il existe une base légale spécifique. Bien que l'exécution du contrat de travail soit reconnue comme une base légale, cela pose rarement problème pendant la durée du contrat. À la fin du contrat, cette base légale disparaît. L'employeur peut donc traiter les données personnelles de l'ancien employé seulement s'il existe une autre base légale, comme une obligation légale, les intérêts légitimes de l'entreprise ou le consentement de l'employé.

Points d'attention GDPR à la fin du contrat de travail

1/ Communication de licenciement conforme au GDPR :

L'annonce écrite de la fin du contrat de travail est un traitement de données personnelles et doit donc respecter les obligations du GDPR.

L'employé est d'accord avec la manière dont le licenciement sera annoncé.
Une annonce de licenciement préalablement approuvée explicitement par l'employé est conforme au GDPR et n'est pas soumise aux restrictions de contenu ci-dessous.

Il n'y a pas d'accord avec l'employé sur l'annonce du licenciement

Même en l'absence d'accord spécifique, l'employeur a le droit d'annoncer qu'un employé n'est plus en service. Cependant, certaines restrictions de contenu s'appliquent :

Autorisé

Non autorisé

• Nom et fonction de l'employé qui quitte l'entreprise

• Date de fin du contrat de travail

• Qui a pris l'initiative de mettre fin au contrat de travail

• Les modalités de fin du contrat (licenciement pour motif grave, période de préavis vs indemnité de rupture, avertissements antérieurs, incapacité médicale, ...)

• Si c'est un licenciement immédiat

Attention : La communication purement orale ne relève pas du champ d'application du GDPR. Les restrictions ci-dessus ne s'appliquent donc pas lorsque l'employeur communique uniquement oralement sur le licenciement. Bien sûr, les principes généraux de respect et de considération restent toujours en vigueur. Par conséquent, en tant qu'employeur, vous ne pourrez pas non plus communiquer oralement, par exemple, sur un licenciement pour motif grave et les raisons de ce motif grave !

2/ Que faire avec le compte e-mail professionnel des anciens employés ?

Dans certains cas, l'adresse e-mail professionnelle de l'employé est considérée comme une donnée personnelle et les obligations GDPR s'appliquent :

Considéré comme donnée personnelle :

Non considéré comme donnée personnelle :

• Lorsque l'employé est directement identifiable par son adresse e-mail professionnelle parce qu'elle contient son prénom et/ou son nom de famille.
• Lorsque l'employé est indirectement identifiable par l'adresse e-mail. C'est le cas lorsque l'adresse e-mail ne porte pas le nom de l'employé, mais est toujours utilisée par un même employé qui signe ses mails en son nom propre.
• Les adresses e-mail professionnelles qui ne portent pas le nom de l'employé et qui sont utilisées par plusieurs employés, rendant ainsi aucun employé individuellement traçable.


Si l'adresse e-mail professionnelle constitue une donnée personnelle, la base légale pour l'employeur de traiter cette donnée personnelle disparaît à la fin de la relation de travail. L'employeur devra alors supprimer le compte e-mail professionnel. La Chambre des Litiges de l'Autorité de Protection des Données belge prévoit les directives suivantes :

  • Le compte e-mail doit être désactivé au plus tard le jour du départ de l'employé.
  • Après la désactivation, l'employeur peut encore laisser l'adresse e-mail exister pendant un certain temps. Un message automatique peut être configuré indiquant que l'employé a quitté l'entreprise et avec les coordonnées de son successeur.
  • Après un délai raisonnable, le compte e-mail doit être supprimé. Dans la plupart des cas, cela doit être fait au plus tard un mois après le départ de l'employé de l'entreprise. Dans des cas exceptionnels, lorsque l'ancien employé avait par exemple un poste supérieur, ce délai peut être prolongé à 3 mois. Cette prolongation doit être motivée et se faire de préférence avec l'accord de l'employé.

Non seulement l'adresse e-mail professionnelle, mais aussi le contenu de la boîte mail sont soumis aux obligations du GDPR. Parfois, l'ancien employé ou l'employeur a besoin d'accéder à des informations qui se trouvent encore dans la boîte mail professionnelle. Dans les deux cas, il est préférable d'anticiper cela avant le départ de l'employé de l'entreprise :

  • L'employé doit avoir la possibilité de trier ses e-mails et de transférer les e-mails privés à son adresse privée avant son départ.
  • Aussi, dans le cas où l'employeur a besoin d'accéder à des e-mails, il est préférable d'anticiper cela avant le départ de l'employé en sélectionnant en sa présence les e-mails qui sont essentiels pour la continuité de l'entreprise et de les sauvegarder à l'avance. Si, dans des cas exceptionnels, il est nécessaire d'accéder à la boîte mail de l'ancien employé par la suite, cela doit être fait par une personne de confiance désignée à l'avance dans la politique informatique.


3/ Une politique informatique : de bons accords font de bons amis

Il est conseillé de prendre des accords au sein de votre entreprise sur ce qui se passera avec le compte e-mail professionnel et d'autres données personnelles à la fin de la relation de travail. Ces accords peuvent être fixés dans une politique informatique spécifique. Cela permettra à l'employeur de remplir son obligation de transparence lors du traitement des données personnelles. D'autre part, une politique informatique claire permet aux employés de savoir à quoi s'attendre en termes de leurs données personnelles à la fin de la relation de travail. Les employés bien informés à l'avance ont la possibilité de prendre les mesures nécessaires pour protéger leur vie privée pendant et après leur relation de travail. Cela signifie que les employés seront moins susceptibles de se référer à leurs "attentes raisonnables en matière de vie privée" et donc moins susceptibles de subir une violation de leur vie privée.

Pour informer correctement les employés, la politique informatique doit contenir au moins les mentions suivantes :

  • Pourquoi l'adresse e-mail professionnelle restera active pendant un certain temps après la fin de la relation de travail.
  • Pourquoi l'employeur doit pouvoir accéder à la boîte mail après la relation de travail (dans des cas exceptionnels).
  • Le contenu du message automatique qui sera envoyé aux personnes qui envoient encore un mail à l'adresse e-mail professionnelle après la fin de la relation de travail.
  • Dans quels cas une personne de confiance peut être désignée pour passer en revue les e-mails.
  • Les coordonnées de la personne de confiance.

Il est conseillé d'inclure également dans votre politique informatique des accords sur la gestion du compte e-mail professionnel des employés absents pendant une longue période. Dans ce cas, la suppression du compte e-mail n'est évidemment pas nécessaire, mais il est conseillé de prendre des accords sur un message d'absence et la personne de confiance qui peut consulter la boîte mail en cas de besoin.


4/ Que faire avec le dossier du personnel des anciens employés ?

Après la fin de la relation de travail, les principes généraux du GDPR restent applicables. La règle d'or est donc que vous ne pouvez conserver les données personnelles dans le dossier du personnel de l'ancien employé que si cela est nécessaire. Les données personnelles des anciens employés ne peuvent être conservées que s'il existe une base légale spécifique. De plus, à la fin du contrat de travail, la base légale pour traiter les données dans le cadre de l'exécution du contrat de travail disparaît. L'employeur devra donc rechercher une nouvelle base légale pour toutes les données personnelles qu'il conserve de l'employé.

Dans de nombreux cas, cette base légale existe déjà. Il est bien sûr autorisé de conserver les données personnelles d'un ancien employé lorsqu'une obligation légale le prescrit. La législation fiscale et des pensions, par exemple, oblige les employeurs à conserver certaines données de leurs anciens employés. La conservation de ces données après la fin du contrat de travail est donc parfaitement conforme au GDPR.

Une autre base légale pour conserver les données personnelles des anciens employés après la fin de la relation de travail sont les intérêts légitimes de l'employeur. Ainsi, l'employeur peut avoir un intérêt légitime à conserver les données de l'ancien employé qui peuvent être utiles dans le cadre d'une procédure judiciaire. Dans ce cas, la durée pendant laquelle il est nécessaire de conserver certaines données peut être déterminée en fonction du délai de prescription légal :

  • Données sur les raisons du licenciement et l'indemnité de licenciement : 1 an
  • Données sur les salaires : 5 ans
  • Données sur l'assurance groupe : 5 ans après la retraite de l'ancien employé (bientôt jusqu'à son 72e anniversaire)

Si aucune procédure n'a été engagée dans le délai de prescription légal, les données conservées à cet effet doivent être supprimées, sauf si elles peuvent être conservées sur la base d'une autre base légale.

Les données personnelles de l'ancien employé pour lesquelles il n'existe aucune base légale pour les traiter après la fin de la relation de travail doivent être effacées dès que possible.

Dans tous les cas, les anciens employés ont le droit de demander l'accès à leurs données personnelles conservées par leur ancien employeur. De plus, les anciens employés peuvent également demander l'effacement de leurs données personnelles si l'ancien employeur n'en a plus besoin aux fins pour lesquelles elles ont été collectées ou traitées. L'employeur ne peut refuser ces demandes que s'il existe une raison valable.


5/ Photos et informations sur les anciens employés sur le site Web, les réseaux sociaux, etc.

La base légale pour ces traitements expire à la fin du contrat de travail. L'employeur doit donc, de sa propre initiative, supprimer dès que possible toutes les références à l'ancien employé sur le site Web et les canaux de médias sociaux. Cela concerne notamment le nom de l'ancien employé, sa fonction, sa formation, ses photos (dans le cas de photos de groupe, il suffit de rendre les anciens employés méconnaissables).


6/ Transfert des données personnelles des anciens employés à des tiers

Les règles du GDPR concernant le transfert des données personnelles restent pleinement applicables après la fin du contrat de travail. En tant qu'employeur, vous devez donc être extrêmement prudent lors du transfert des données personnelles des anciens employés.

Dans ce contexte, la question se pose de savoir si vous, en tant qu'ancien employeur, pouvez coopérer à l'enquête de référence du (potentiel) nouvel employeur d'un ancien employé. Cela ne pose évidemment aucun problème lorsque vous avez l'autorisation explicite de l'ancien employé. Sans le consentement de l'ancien employé, c'est moins évident. L'ancien employeur qui souhaite néanmoins coopérer à l'enquête de référence peut tenter d'exclure l'application du GDPR en maintenant l'information strictement orale.


7/ Fermeture de l'accès de l'ancien employé

Enfin, l'employeur doit toujours veiller à ce que les anciens employés ne puissent plus accéder aux systèmes informatiques et bases de données de l'entreprise. Les anciens employés qui ont encore accès aux données personnelles conservées au sein de l'entreprise après la fin de la relation de travail peuvent provoquer une fuite de données, avec toutes les obligations supplémentaires du GDPR qui en découlent.



La Tetracademy est la revue trimestrielle juridique du cabinet d’affaires bruxellois Tetra Law. Cet article en est extrait. Pour plus d’informations ou pour recevoir chaque nouvelle publication, n’hésitez pas à suivre la Tetracademy en envoyant un email à tetracom@tetralaw.com ».

Mots clés

Articles recommandés

Un service pré-diagnostique propriété intellectuelle (gratuit) pour les entreprises belges

Des ministres d’une étrange justice : non merci!

Appel à l'action : le prochain gouvernement fédéral devra impérativement renforcer son attention pour le développement durable.