Toute entreprise qui collecte des données à caractère personnel, c’est-à-dire des données qui permettent d’identifier directement ou indirectement une personne, est considérée comme « responsable de traitement ».
Le traitement de ces données doit se faire en conformité avec le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018.
Ainsi, les structures doivent mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données en cas de contrôle.
A ce titre, l’employeur doit :
- collecter et traiter seulement les données nécessaires et pertinentes au regard de l’objectif et de la finalité poursuivi par le traitement mis en place ;
- définir une base légale du traitement de données personnelles mis en place ;
- sécuriser l’accès et la conservation des données collectées ou traitées ;
- informer les personnes de la mise en œuvre du traitement les concernant et de leurs droits ;
- réserver l’accès aux données personnelles uniquement aux personnes désignées et habilités au regard de leurs attributions et fonctions ou détenant une autorisation spéciale et ponctuelle. Ainsi, un salarié dont les fonctions ne justifient pas l’accès aux données