Vous trouverez de plus amples informations à ce sujet dans notre fiche 1 sur le traitement des données à caractère personnel dans le cadre de la gestion du personnel, et plus précisément sous la question "Quand l’employeur doit-il effectuer une analyse d’impact relative à la protection des données ?" ou sur le site de l’Autorité de protection des données belge.
Il est recommandé d’effectuer une analyse d’impact relative à la protection des données ("Data protection impact assessment", ci-après DPIA) dès lors que la surveillance électronique des travailleurs répond au moins à trois des neuf critères identifiés par le Groupe de travail article 29 :
- Données concernant des personnes vulnérables, en l’occurrence les travailleurs
- Surveillance systématique
- Utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles
L’Autorité de protection des données considère par ailleurs qu’une DPIA est requise "lorsqu’il est question d’un traitement à grande échelle et/ou systématique de données de téléphonie, d’Internet ou d’autres données de communication, de métadonnées ou de données de localisation de personnes physiques ou permettant de mener à des personnes physiques (par exemple, le wifi-tracking ou le traitement de données de localisation de voyageurs dans les transports publics) lorsque le traitement n’est pas strictement nécessaire pour un service demandé par la personne concernée".
L’employeur effectuera une telle DPIA, qui est d’ailleurs également en partie incluse dans la procédure d’instauration du contrôle électronique, et décidera des mesures techniques appropriées à mettre en œuvre. Cette DPIA constitue un document justificatif destiné à prouver à l’Autorité de protection des données qu’une analyse des risques a bien été réalisée.
Une consultation préalable de l’Autorité de protection des données n’est obligatoire que lorsqu’un risque élevé pour la personne concernée subsiste malgré la mise en œuvre des mesures en question.