Dans le sillage du mouvement "Black Lives Matter", les entreprises s'efforcent d'accroître la diversité de leur main-d'œuvre. Pour ce faire, les employeurs souhaitent parfois demander à leurs employés ou candidats de partager des informations personnelles sur une base volontaire ("contrôle de la diversité"). Il s'agit souvent d'enquêtes comportant des questions sur la race, l'origine ethnique, la santé, la religion, l'orientation sexuelle, le sexe, l'identité sexuelle ou l'origine sociale. Mais dans quelle mesure la collecte de ces données est-elle autorisée par le GDPR ?  

Traitement des données personnelles sensibles : interdit en principe

Le GDPR prévoit un régime spécial pour certaines catégories de données personnelles en raison de leur nature sensible. Il s'agit plus particulièrement des données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données génétiques, les données biométriques, les données relatives à la santé ainsi que les données relatives au comportement sexuel ou à l'orientation sexuelle d'une personne. Le traitement de ces catégories particulières de données personnelles est en principe interdit, sauf si l'entreprise peut invoquer une exception spécifique. Cela s'applique également dans le cas où l'entreprise confierait la collecte des données à un tiers, comme une agence indépendante, car l'employeur, en tant que responsable du traitement des données, est tenu de s'assurer que les sous-traitants qui traitent les données en son nom respectent également le GDPR. Dans le contexte d'une politique de diversité, les exceptions suivantes sont pertinentes : (i) Le consentement explicite de l'employé : le GDPR exige que le consentement soit libre, spécifique, éclairé et sans ambiguïté. Cela signifie notamment qu'il n'y a pas de déséquilibre de pouvoir entre le contrôleur et la personne concernée. Pour cette raison, le consentement n'est pas une exception solide dans le contexte d'une politique de diversité sur le lieu de travail, car les employés peuvent se sentir poussés à s'enregistrer comme appartenant au groupe cible. (ii) Nécessité au regard de la mise en œuvre d'obligations et de l'exercice de droits spécifiques dans le domaine du droit du travail : A ce jour, il n'existe pas d'obligation légale générale ou de disposition permettant de mesurer la diversité dans les entreprises. Les entreprises pourraient éventuellement s'appuyer sur l'introduction d'actions dites "positives", comme le prévoit la législation anti-discrimination. En effet, pour l'introduction d'une action positive, l'entreprise (ou le secteur) doit démontrer qu'il existe une disparité entre les personnes du groupe ciblé et le reste. Toutefois, selon l'autorité de protection des données, cette inégalité peut également être démontrée par d'autres moyens que la collecte de données à caractère personnel. Par conséquent, selon l'autorité de protection des données, les règles d'action positive ne peuvent être invoquées comme une exception à l'interdiction de traiter des données personnelles sensibles..... ... sauf à Bruxelles grâce à un plan de diversité (Actiris) : Seules les entreprises ayant leur siège social ou au moins un bureau d'exploitation dans la région de Bruxelles peuvent se prévaloir d'une exception prévue par la réglementation bruxelloise. Selon l'arrêté du gouvernement bruxellois du 7 mai 2009, les entreprises bruxelloises sont en effet autorisées à diviser leur personnel en catégories d'employés bénéficiaires afin d'élaborer un plan de diversité et de le soumettre à Actiris pour approbation. Si ce plan de diversité est ensuite correctement mis en œuvre, l'entreprise peut obtenir un label de diversité. Toutefois, pour élaborer un plan de diversité, les entreprises ont besoin du soutien préalable du comité d'entreprise, du CPBW ou de la délégation syndicale. Une fois ce soutien obtenu, l'entreprise peut entamer le processus de deux ans, qui comprend les neuf étapes suivantes :  

  1. Signer une déclaration d'intention, souscrire à la politique de diversité et de non-discrimination de Bruxelles ;
  2. Créez une structure de soutien (désignez 3 à 8 personnes au sein de l'entreprise qui assureront le suivi du projet) ;
  3. Analyse de l'état de la diversité dans l'entreprise (le"suivi de la diversité" peut donc être effectué au cours de cette étape) ;
  4. Définissez les points d'action que l'entreprise mettra en œuvre au cours des deux années du plan pour la diversité ;
  5. Coût du plan comme base de la demande de financement ;
  6. Mise en œuvre du plan de diversité après avoir obtenu l'approbation d'Actiris ;
  7. Évaluation du plan de diversité après deux ans ;
  8. Demande de label de diversité après une évaluation finale positive ;
  9. Pérenniser la diversité dans l'entreprise et continuer à lutter contre les discriminations après l'obtention du label diversité.

Traitement de données personnelles non sensibles : autorisé sous réserve d'un test d'équilibre

D'autres données personnelles - y compris le sexe, l'identité sexuelle et l'origine sociale - ne relèvent pas des catégories spéciales de données sensibles. Toutefois, cela ne signifie pas que ces données peuvent être demandées comme ça. En effet, les entreprises doivent avoir une base légale. Par exemple, les entreprises pourraient invoquer un intérêt légitime pour l'entreprise à obtenir plus de diversité. Toutefois, la question se posera de savoir s'il est nécessaire, dans ce contexte, qu'une entreprise interroge les employés sur ces données personnelles. Le cas échéant, l'entreprise devra également mettre en place un test d'équilibre élaboré pour mettre en balance les intérêts de l'employeur et ceux des employés.  

Traitement des données anonymes : l'option la plus sûre

Dans tous les cas, les données sensibles et les données non sensibles peuvent être collectées et traitées sur une base anonyme, car le GDPR ne s'applique pas aux données anonymes. Pour éliminer tout risque, il est donc fortement recommandé de ne collecter et traiter les données des employés que sur une base anonyme. Toutefois, il est alors exigé que les données ne puissent en aucun cas être attribuées à une personne identifiée ou identifiable et qu'elles aient donc été anonymisées dès le départ (et non pas anonymisées seulement après la collecte). Vous avez besoin de plus d'informations ? NKVK - La Chambre de commerce néerlandaise pour la Belgique et le Luxembourg est là pour des milliers de PME qui veulent faire des affaires (plus) internationales. Il est essentiel de bien connaître le marché, de se familiariser avec la législation et de trouver les bons partenaires. Pour vous, un entretien sans engagement avec NKVK est le premier pas dans la bonne direction.

Notre bulletin d'information

Recevez toutes les mises à jour sur la recherche et les opportunités commerciales !

Merci ! Vous vous êtes inscrit avec succès à la newsletter.
Oups, quelque chose a mal tourné !

Découvrez notre guide gratuit sur "Faire des affaires avec succès en Belgique".

  • Différences culturelles
  • Opportunités fiscales
  • Coordonnées correctes
  • Toutes les informations dans un seul guide