Dans le sillage du mouvement « Black Lives Matter », les entreprises veulent accroître la diversité de leur personnel. Les employeurs souhaitent parfois demander à leurs travailleurs ou candidats de fournir volontairement des informations personnelles (« contrôle de la diversité »). Il s’agit souvent d’enquêtes comportant des questions sur la race, l’origine ethnique, la santé, la religion, l’orientation sexuelle, le sexe, l’identité sexuelle ou l’origine sociale.
Mais dans quelle mesure la collecte de ces données est-elle autorisée par le RGPD ?
Le RGPD prévoit un régime spécial pour certaines catégories de données à caractère personnel en raison de leur nature sensible. Il s’agit plus particulièrement des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques, les données relatives à la santé et les données relatives au comportement sexuel ou à l’orientation sexuelle d’une personne.
Le traitement de ces catégories particulières de données à caractère personnel est en principe interdit, sauf si l’entreprise peut invoquer une exception spécifique. Cela s’applique également si vous sous-traitez la collecte de données à un tiers, par exemple une agence indépendante, puisqu’en tant que responsable du traitement des données, vous devez veiller à ce que les sous-traitants qui traitent les données en votre nom respectent également le RGPD. Dans le cadre d’une politique de diversité, les exceptions suivantes sont pertinentes :
(i) Le consentement explicite du travailleur :
La RGPD exige que le consentement soit libre, spécifique, éclairé et univoque. Cela implique notamment qu’il n’y ait pas de déséquilibre de pouvoir entre le responsable du traitement et la personne concernée. Pour cette raison, le consentement n’est pas une exception solide dans le contexte d’une politique de diversité sur le lieu de travail, car les travailleurs peuvent se sentir obligés de fournir les informations.
(ii) Nécessité en vue de l’exécution d’obligations et de l’exercice de droits spécifiques dans le domaine du droit du travail :
À ce jour, il n’existe aucune obligation ou disposition légale générale permettant de mesurer la diversité dans les entreprises. Les entreprises pourraient éventuellement compter sur l’introduction d’une « action positive » comme prévu dans la législation anti-discrimination. Afin d’introduire une action positive, l’entreprise (ou le secteur) doit démontrer qu’il existe une inégalité entre les personnes du groupe cible visé et les autres personnes. Selon l’Autorité de protection des données, cependant, cette inégalité peut également être démontrée d’une autre manière que par la collecte de données à caractère personnel. Par conséquent, selon l’Autorité de protection des données, les règles sur « l’action positive » ne peuvent être invoquées comme une exception à l’interdiction de traiter des données à caractère personnel sensibles.
… sauf à Bruxelles dans le cadre d’un plan de diversité (Actiris) :
Seules les entreprises ayant leur siège social ou au moins un établissement dans la Région de Bruxelles-Capitale peuvent se fonder sur une exception prévue par le droit bruxellois. En vertu de l’Arrêté du Gouvernement bruxellois du 7 mai 2009, les entreprises bruxelloises sont habilitées à répartir leurs travailleurs en catégories de bénéficiaires potentiels afin d’établir un plan de diversité et de le soumettre à Actiris pour approbation. Si ce plan de diversité est correctement mis en œuvre, l’entreprise peut se voir attribuer un label de diversité.
Toutefois, pour élaborer un plan de diversité, les entreprises ont besoin du soutien préalable du conseil d’entreprise, du CPPT ou de la délégation syndicale. Une fois que ce soutien a été obtenu, l’entreprise peut entamer le processus de deux ans, qui comprend les neuf étapes suivantes :
1. Signer une déclaration d’intention, par laquelle l’entreprise s’inscrit dans la politique bruxelloise de diversité et de non-discrimination ;
2. Constituer une structure porteuse (désignation de 3 à 8 personnes au sein de l’entreprise qui assureront le suivi du projet) ;
3. Dresser un état des lieux de la diversité au sein de l’entreprise (cette étape permet le « contrôle de la diversité ») ;
4. Définir les actions que l’entreprise mettra en œuvre au cours des deux années pendant lesquelles le plan de diversité s’appliquera ;
5. Budgétiser les coûts du plan pour servir de base à la demande de financement ;
6. Mettre en œuvre le plan de diversité après avoir reçu l’approbation d’Actiris ;
7. Évaluer le plan de diversité au bout de deux ans ;
8. Demander le label diversité suite à une évaluation finale positive ;
9. Pérenniser la diversité dans l’entreprise et continuer la lutte contre les discriminations après l’obtention du label diversité.
Les autres données à caractère personnel – y compris le sexe, l’identité sexuelle et l’origine sociale – ne font pas partie des catégories spéciales de données sensibles. Toutefois, cela ne signifie pas que ces données peuvent être demandées sans fondement. Les entreprises doivent disposer d’une base juridique.
Par exemple, les entreprises pourraient invoquer un intérêt légitime à ce que l’entreprise obtienne davantage de diversité. Cependant, la question se posera de savoir s’il est nécessaire pour une entreprise d’interroger ses travailleurs sur ces données à caractère personnel. En outre, dans le cadre du principe de responsabilité (« accountability »), l’entreprise devrait, si nécessaire, mettre en place un test d’équilibre élaboré afin de mettre en balance les intérêts de l’employeur et ceux des travailleurs.
En tout état de cause, tant les données sensibles que les données non sensibles peuvent être collectées et traitées sur une base anonyme, car le RGPD ne s’applique pas aux données anonymes. Afin d’exclure tout risque, il est donc fortement recommandé de ne collecter et traiter les données relatives aux travailleurs que sur une base anonyme. Il est toutefois exigé que les données ne puissent en aucune façon être attribuées à une personne identifiée ou identifiable et qu’elles aient donc été anonymisées dès le départ (et pas seulement après leur collecte).
Par Lauren Daniels, Avocate chez Claeys & Engels
Source : BECI