L'obligation d'information des salariés par l'employeur concernant le RGPD

Vos salariés, comme toute personne dont les données personnelles font l'objet d'un "traitement" (soit d'un stockage, d'une utilisation, d'une conservation, etc.), bénéficient de droits particuliers en matière de protection des données, dont ils doivent être informés. 

Qu'est-ce qu'une "donnée personnelle", selon le RGPD et la CNIL ? 

Le RGPD définit une donnée à caractère personnelle comme "toute information se rapportant à une personne physique identifiée ou identifiable" (1). 

💡 Concrètement, on considère une personne physique comme "identifiable" dès lors qu'elle peut être identifiée de manière directe ou indirecte par référence à un identifiant, des données relatives à son identité ou sa localisation, des éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, etc.

Quelles informations personnelles un employeur peut-il détenir sur ses salariés ? 

Principe

La notion de "données personnelles", au demeurant relativement large, trouve son application au sein de l'entreprise. Dans ce cadre, elle regroupe notamment les informations personnelles fondamentales présentes dans le CV : le nom du salarié, son prénom, son adresse, son numéro de téléphone, etc.

Mais il peut aussi s'agir :

• de toutes les données nécessaires pour effectuer les déclarations sociales (comme le numéro de Sécurité sociale) ;
• des renseignements utiles à la gestion du personnel (en vue, par exemple, de la tenue du registre unique du personnel, de la gestion administrative ou de l'organisation du travail), comme les coordonnées relatives aux ayants droit du salarié pour la mutuelle d'entreprise, ou encore les informations concernant la personne à prévenir en cas d'urgence ;
• etc.

Quelles sont les informations interdites dans le dossier d'un salarié ? 

Certaines informations sont considérées comme "sensibles" par le RGPD, et sont de fait (et sauf exceptions) interdites de traitement. Il s'agit notamment des informations ayant trait :

• à l'origine raciale ou ethnique ;
• aux opinions politiques ;
• aux convictions religieuses ou philosophiques ;
• à l'appartenance syndicale ;
• au traitement des données génétiques ;
• aux données biométriques destinées à vous identifier de manière unique en tant que personne physique ;
• à la santé ;
• à la vie sexuelle ou l'orientation sexuelle d'une personne.

Protection des données personnelles : devez-vous recueillir le consentement de vos salariés pour traiter leurs données personnelles ? 

Pas nécessairement, tout dépend de la situation. 

Le RGPD pose le principe selon lequel un traitement de données personnelles n'est licite (= autorisé) que dans la mesure où au moins l'une des conditions suivantes est remplie (liste non exhaustive) (2) : 

• la personne concernée a consenti au traitement de ses données pour un ou plusieurs objectifs précis ;
• le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ;
• le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.

Or, le traitement des données personnelles des salariés par l'employeur est notamment nécessaire :

• à ce que celui-ci remplisse ses obligations légales à l'égard des organismes sociaux et fiscaux ;
• à l'exécution du contrat de travail lui-même (versement de la paie via le RIB, élaboration du contrat de travail avec les données requises, etc.).

Tout dépend donc de la nature des données collectées, et de la finalité du traitement (= objectif du traitement) mis en place. 

Quand l'employeur doit-il informer ses collaborateurs des traitements de leurs données personnelles ? Que dit la loi ?

Le RGPD vous impose, à chaque fois que vous recueillez les données personnelles de vos salariés auprès d'eux, de les informer notamment (liste non-exhaustive) (3) :

• de l'identité et les coordonnées du responsable du traitement ; 
• le cas échéant, des coordonnées du délégué à la protection des données ;
• des finalités du traitement, c'est-à-dire de ses objectifs ;
• de l'intention ou non de transférer les données à l'étranger hors Union européenne;
• de la durée de conservation des données.

Cette information doit se faire au moment de chaque traitement de données, par exemple lors du recrutement du salarié dont les données sont collectées.

🔍 Bon à savoir : on parle de "responsable du traitement" pour désigner la personne (physique, morale, autorité, etc.) qui définit les objectifs et les moyens du traitement des données personnelles. 

De quels droits devez-vous informer vos salariés, en ce qui concerne le traitement de leurs données personnelles ?

Vous avez également l'obligation d'informer vos salariés sur leur droit (3) :

• à procéder à une rectification des données qui se révéleraient inexactes ou incomplètes (4) ;
• à obtenir l'effacement (“droit à l'oubli”) des données sous conditions, notamment lorsqu'elles ne sont plus nécessaires au traitement envisagé (5) ;
• d'obtenir la limitation du traitement dans certains cas particuliers, notamment dans l'hypothèse où le traitement est illicite (6) ;
• de s'opposer au traitement de leurs données personnelles, pour des raisons tenant à leur situation particulière (7) ;
• d'obtenir la portabilité de leurs données (8).

Qui peut avoir accès aux données personnelles des salariés ?

L'accès aux données personnelles traitées par votre entreprise doit être limité aux seules personnes habilitées pour cela. Il vous incombe donc, en tant qu'employeur, de contrôler l'accès aux données collectées.

Comment informer vos salariés du traitement de leurs données ? Qu'est-ce que la clause RGPD ou la note d'information RGPD ?

Pour vous conformer à votre obligation d'informer vos salariés du traitement de leurs données personnelles, vous pouvez envisager d'insérer une clause explicite à ce sujet dans leurs contrats de travail. 

Cette clause peut être directement inclus dans le contrat de travail en cas du recrutement d'un nouveau collaborateur, ou faire l'objet d'un avenant pour les salariés déjà en place. 

Il est également possible de remettre une note d'information détaillée à chacun de vos salariés, en vue de vous assurer de leur parfaite information (et compréhension) du traitement de leurs données personnelles effectués.

Comment sensibiliser vos salariés au RGPD ? Suivez les recommandations de la CNIL !

Enfin, la Commission nationale de l'informatique et des libertés (CNIL) vous recommande, en tant qu'employeur, de sensibiliser et de former vos employés au respect du RGPD, notamment en ce qui concerne la gestion en interne des données personnelles.

À ce titre, il est recommandé que vos collaborateurs soient au fait de :

• l'interdiction de divulguer des données à des personnes non autorisées ;
• la nécessité de sauvegarder régulièrement les fichiers de traitement ;
• l'obligation de sécuriser les données traitées (par exemple en complexifiant et en modifiant régulièrement les mots de passe personnels, en verrouillant le poste de travail en partant, etc.).