[article invité]
En vertu du Règlement Général européen de Protection des Données (RGPD), un employeur ne peut pas conserver les données à caractère personnel de ses collaborateurs plus longtemps que nécessaire. Pour y parvenir, cet employeur doit fixer des délais pour l’effacement de ces données ou pour un examen périodique.
Comment fixer ces délais ?
Parfois, le législateur lui-même a défini un délai de conservation obligatoire, lequel constitue donc un délai de conservation minimal, par exemple en ce qui concerne les documents sociaux visés aux arrêtés royaux du 23 octobre 1978 et du 8 août 1980, à l’instar du compte individuel ou du registre du personnel.
De manière générale, il est recommandé de conserver les données et les documents relatifs aux travailleurs pendant la durée de leur occupation et durant une période de cinq ans après la fin du contrat de travail. Ce délai de conservation peut se justifier par les délais de prescription au civil et au pénal pour les actions intentées dans le cadre de la relation de travail.
De fait, conformément à l’article 15 de la loi du 3 juillet 1978 relative aux contrats de travail, les actions civiles découlant du contrat de travail entre l’employeur et le travailleur expirent cinq ans après le fait qui a donné naissance à l’action, sans que ce délai ne puisse excéder un an après la cessation du contrat. Toutefois, si la violation des règles du droit du travail constitue (aussi) une infraction (par exemple, le non-paiement de la rémunération visé à l’article 162 du Code pénal social), il est possible pour ces actions civiles fondées sur une infraction de remonter jusqu’à cinq ans conformément à l’article 2262bis de l’Ancien Code Civil.
Attention : des délais plus courts ou plus longs peuvent trouver à s’appliquer !
En effet, dans certains cas, des données peuvent être conservées plus longtemps, par exemple celles relatives à la pension légale et/ou complémentaire, voire, à l’inverse, moins longtemps, par exemple les enregistrements de caméras de surveillance pour lesquels la loi du 21 mars 2007 prévoit qu’ils ne peuvent pas être conservés plus d’un mois s’ils ne peuvent pas contribuer à apporter la preuve d’une infraction, d’un dommage ou d’une incivilité.
Existe-il un référentiel en la matière ?
Non, contrairement à son homologue française, la CNIL, l’Autorité belge de Protection des Données (APD) n’a pas (encore ?) adopté de cadre de référence correspondant qui aiderait un employeur à mettre ses traitements en conformité avec le RGPD.
On lira néanmoins avec beaucoup d’intérêt les décisions rendues par l’APD, à l’instar de celle du 29 septembre 2020 dans laquelle l’APD a considéré que l’adresse email professionnelle d’un travailleur ne peut plus rester active 3 mois après son départ.
Ces décisions sont disponibles sur le site internet.
Comment procéder ?
Si ce n’est pas déjà fait, tout employeur devrait lister les différents traitements concernés pour y associer les durées de conservation correspondantes et, à tout le moins, intégrer celles-ci dans le registre des activités de traitement que tout employeur est en principe tenu de tenir conformément à l’article 30 du RGPD.
À propos des auteurs
Nicolas Roland & Jannes Vanovervelt, Avocats chez Younity