Ce qu’il faut savoir sur les procédures de gestion des absences
La gestion des absences, c’est-à-dire l’administration des congés annuels, des congés spéciaux, des congés maladie, de la récupération des heures supplémentaires, etc., fait partie des activités quotidiennes des départements des ressources humaines (RH) des institutions et organes de l’Union européenne. Ce travail comprend la collecte et le traitement de données à caractère personnel (également appelées «informations à caractère personnel») concernant les membres du personnel et, parfois, les membres de leur famille. Ces procédures peuvent porter sur le traitement de données relatives à la santé (données sensibles) et sont nécessaires pour déterminer, par exemple, si un congé maladie est justifié ou si un membre du personnel peut prétendre à un congé de maternité.
Toutefois, dans la mesure où tout congé spécial (déménagement, mariage, décès d’un membre de la famille, maladie d’un enfant, vote, etc.) doit être justifié par la fourniture de pièces justificatives, d’autres types d’informations à caractère personnel peuvent également être concernés. Les certificats médicaux, les certificats de décès et les informations relatives aux examens médicaux, à l’assurance maladie et à l’assurance contre les accidents sont également susceptibles d’être collectés et traités.
Quelles sont les principaux enjeux en matière de protection des données?
Qualité des données — il importe de ne pas traiter plus de données à caractère personnel que nécessaire. Comment? En se contentant, d’emblée, de ne collecter que les informations pertinentes et strictement nécessaires. En outre, la gestion des certificats médicaux et autres données médicales (orientation d’un malade par un généraliste vers un spécialiste, rapports d’examens médicaux, tests de laboratoire, etc.) doit être effectuée uniquement par le service médical de l’institution, et non par le département RH. Ce dernier doit uniquement recevoir les données administratives nécessaires au traitement des congés maladie (par exemple, le nombre de jours de congé maladie).
Droit à l’information — les membres du personnel doivent être informés de leurs droits et des finalités du traitement de leurs informations. Ce type d’information doit être expressément communiqué aux membres du personnel lors de l’introduction d’une nouvelle procédure, et mis à leur disposition en permanence (par exemple, sur la page intranet de l’organisation), de sorte à garantir que les membres du personnel peuvent avoir accès à ces informations à tout moment.
Droit d’accès — les membres du personnel doivent pouvoir accéder aux informations concernant leur absence afin de vérifier si elles sont exactes et de les corriger, le cas échéant. Ils doivent également être informés des modalités à cet égard.
Délais de conservation — les organisations doivent veiller à ce que les informations concernant la gestion des absences ne soient pas conservées plus longtemps que nécessaire. Des délais de conservations clairs doivent être fixés. Ces délais peuvent varier en fonction du type d’absence concerné.
Sécurité des données — vu le caractère sensible du traitement des données relatives à la santé, il convient que tous les membres du personnel du département RH s’occupant des procédures de demande d’absence signent une déclaration de confidentialité spécifique. Il y a lieu également de leur rappeler régulièrement leurs obligations en matière de confidentialité.
Informations complémentaires
La liste suivante, non exhaustive, est une sélection de documents à consulter pour toute information complémentaire:
Lignes directrices du CEPD:
Avis de contrôle préalable du CEPD:
Avis du CEPD sur la gestion des congés de l’EMA (dossier 2011-0851)