L’avis publié par le G29 met le traitement des données HR et plus généralement des données de salariés ou assimilés en perspective et traite à la fois du régime actuel et du RGPD.

WP 29 Opinion 2/2017 (WP249) on data processing at work

L'avis rappelle qu’en application de l’article 88 du RGDP un grand nombre d’aspects seront régis par le droit national des Etats membres, à savoir les traitements pour les besoins du recrutement, de l'exécution du contrat de travail (y compris le respect des obligations fixées par la loi ou par des conventions collectives) de la gestion, de la planification et de l'organisation du travail, de l'égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l'employeur ou au client, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail.

Il reprécise un certain nombre de points ayant déjà fait l’objet d’avis précédents en 2001 (avis 08/2001 WP 48 ) et 2002 (avis WP55) à savoir, notamment, la quasi impossibilité d’utiliser le consentement. Il apporte aussi de nouvelles précisions, comme par exemple, la nécessité de faire des évaluation d’impact ou « PIA » dans certains cas ou le fait que l’avis ne se limite pas aux salariés stricto sensu mais concerne aussi d'autres personnes amenées à travailler dans ou pour l’entreprise. Son objectif est d’intégrer l’immense progrès technologique intervenu depuis les précédents avis et qui rend la collecte et la conservation des données beaucoup plus facile et moins couteuse.

Il aborde un certain nombre de scenarios de risques : le recrutement, la collecte d’informations sur les salariés sur les réseaux sociaux, la surveillance de l’utilisation des outils informatique sur le lieu de travail , la surveillance de l’utilisation des outils informatique hors du lieu de travail (travail à distance, BYOD, la gestion des équipements portables, les dispositifs portables - notamment en matière de santé), les traitements de contrôle d’accès et gestion des horaires, la vidéo surveillance, la géolocalisation des véhicules des salariés hors les autres informations collectées par le véhicule, le partage des données des salariés avec des tiers, le transfert international des données.

L’avis donne un certain nombre de recommandations, y compris la nécessité d’une très grande transparence (les employés devant être conscients de l’étendue de certains traitements) et de la proportionnalité du traitement et minimisation des données.

C’est un document relativement court mais extrêmement dense.