Newsflash
Protection des données et de la vie privée

Dans le sillage du mouvement « Black Lives Matter », les entreprises veulent accroître la diversité de leur personnel. Les employeurs souhaitent parfois demander à leurs travailleurs ou candidats de fournir volontairement des informations personnelles (« contrôle de la diversité »). Il s'agit souvent de données sur la race, l'origine ethnique, la santé, la religion, l'orientation sexuelle, le sexe, l'identité sexuelle ou l'origine sociale. Mais dans quelle mesure la collecte de ces données est-elle autorisée par le RGPD ?

Données à caractère personnel sensibles 

Le RGPD prévoit un régime spécial pour certaines catégories de données à caractère personnel en raison de leur nature sensible. Il s'agit plus particulièrement des données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données génétiques, les données biométriques, les données relatives à la santé et les données relatives au comportement sexuel ou à l'orientation sexuelle d'une personne.

Le traitement de ces catégories particulières de données à caractère personnel est en principe interdit, sauf si l'entreprise peut invoquer une exception spécifique. Dans le cadre d'une politique de diversité, les exceptions suivantes sont pertinentes :

1. Le consentement explicite du travailleur :

La RGPD exige que le consentement soit libre, spécifique, éclairé et univoque. Cela implique notamment qu'il n'y ait pas de déséquilibre de pouvoir entre le responsable du traitement et la personne concernée. Pour cette raison, le consentement n'est pas une exception solide dans le contexte d'une politique de diversité sur le lieu de travail, car les travailleurs peuvent se sentir obligés de fournir les informations.

2. Nécessité en vue de l'exécution d'obligations et de l'exercice de droits spécifiques dans le domaine du droit du travail :

À ce jour, il n'existe aucune obligation ou disposition légale générale permettant de mesurer la diversité dans les entreprises.

Les entreprises pourraient éventuellement compter sur l'introduction d'une "action positive" comme prévu dans la législation anti-discrimination. Afin d'introduire une action positive, l'entreprise (ou le secteur) doit démontrer qu'il existe une inégalité entre les personnes du groupe cible visé et les autres personnes. Selon l'Autorité de protection des données, cependant, cette inégalité peut également être démontrée d'une autre manière que par la collecte de données à caractère personnel.

Il n'y a donc pas d'exception pour les entreprises belges à l'interdiction de traiter des données sensibles dans le cadre d'une politique de diversité.

Nous n'avons connaissance que d'une seule exception possible. En vertu du droit bruxellois, les entreprises ayant leur siège social ou au moins un établissement dans la Région de Bruxelles-Capitale sont habilitées à établir un plan de diversité et à le soumettre à Actiris pour approbation. Si ce plan de diversité est correctement mis en œuvre, l'entreprise peut se voir attribuer un label de diversité. Dans le cadre de ce plan spécifique de diversité, il existe une autorisation légale de classer le personnel dans les catégories de travailleurs éligibles.

Données à caractère personnel non sensibles

Les autres données à caractère personnel - y compris le sexe, l'identité sexuelle et l'origine sociale - ne font pas partie des catégories spéciales de données sensibles. Toutefois, cela ne signifie pas que ces données peuvent être demandées sans fondement. Les entreprises doivent disposer d’une base juridique.

Par exemple, les entreprises pourraient invoquer un intérêt légitime à ce que l'entreprise obtienne davantage de diversité. Cependant, la question se posera de savoir s'il est nécessaire pour une entreprise d'interroger ses travailleurs sur ces données à caractère personnel. En outre, dans le cadre du principe de responsabilité (« accountability »), l'entreprise devrait, si nécessaire, mettre en place un test d'équilibre élaboré afin de mettre en balance les intérêts de l'employeur et ceux des travailleurs.

Risque de discrimination

Il faut également tenir compte de la législation sur la discrimination, qui interdit toute distinction fondée sur un certain nombre de critères protégés, notamment la race, l'ascendance, les convictions religieuses, l'orientation sexuelle, mais aussi le sexe, l'identité sexuelle et l'origine sociale, qui ne peuvent être justifiés. Un employeur qui divise son personnel en catégories sur la base des critères protégés accroît sa responsabilité dans les cas de discrimination.

Données anonymes

En tout état de cause, tant les données sensibles que les données non sensibles peuvent être collectées et traitées sur une base anonyme, car le RGPD ne s'applique pas aux données anonymes. Il est toutefois exigé que les données ne puissent en aucune façon être attribuées à une personne identifiée ou identifiable et qu'elles aient donc été anonymisées dès le départ (et pas seulement après leur collecte).

Point d'action

La discrimination est interdite et les entreprises sont bien avisées de promouvoir la diversité dans leurs politiques de ressources humaines. Toutefois, il faut garder à l'esprit que le traitement de données à caractère personnel sensibles est également interdit dans le cadre d'une politique de diversité et ne peut se faire que sur la base d’un fondement juridique adéquat.

Afin d'exclure tout risque, il est donc fortement recommandé de ne collecter et traiter les données relatives aux travailleurs que sur une base anonyme. Cela s'applique également si vous sous-traitez la collecte de données à un tiers, par exemple une agence indépendante, puisqu'en tant que responsable du traitement des données, vous devez veiller à ce que les sous-traitants qui traitent les données en votre nom respectent également le RGPD.