Vos salariés, comme toute personne dont les données personnelles font l'objet d'un "traitement" (soit d'un stockage, d'une utilisation, d'une conservation, etc.) bénéficient de droits particuliers, dont ils doivent être informés.
Quelles informations personnelles un employeur peut-il détenir sur ses salariés ? Qu'entend-on par "données personnelles" des salariés ?
La Commission nationale de l'informatique et des libertés (CNIL) définit une donnée personnelle comme "toute information se rapportant à une personne physique identifiée ou identifiable" (1).
Concrètement, on considère une personne physique comme "identifiable" dès lors qu'elle peut être identifiée de manière directe ou indirecte par référence à un identifiant, des données relatives à son identité ou sa localisation, des éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, etc.
Cette notion, au demeurant relativement large, trouve également son application au sein de l'entreprise. Dans ce cadre, elle regroupe notamment les informations personnelles fondamentales présentes dans le CV : le nom, le prénom, l'adresse, le numéro de téléphone, etc.
Mais il peut aussi s'agir :
- de toutes les données nécessaires pour effectuer les déclarations sociales (comme le numéro de Sécurité sociale) ;
- des renseignements utiles à la gestion du personnel (en vue par exemple de la tenue du registre unique du personnel, de la gestion administrative ou de l'organisation du travail), comme les coordonnées relatives aux ayants droit du salarié pour la mutuelle d'entreprise, ou encore les informations concernant la personne à prévenir en cas d'urgence ;
- etc.
Devez-vous recueillir le consentement de vos salariés pour le recueil de leurs données personnelles ?
Pas nécessairement, tout dépend de la situation.
Le RGPD pose le principe selon lequel un traitement de données personnelles n'est licite que dans la mesure où, notamment, au moins l'une des conditions suivantes est remplie (2) :
- la personne concernée a consenti au traitement de ses données ;
- le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ;
- le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.
Or, le traitement des données personnelles des salariés par l'employeur est notamment nécessaire :
- à ce que celui-ci remplisse ses obligations légales à l'égard des organismes sociaux et fiscaux ;
- à l'exécution du contrat de travail lui-même (versement de la paie via le RIB, élaboration du contrat de travail avec les données requises, etc.).
Tout dépend donc de la nature des données collectées, et de la finalité du traitement mis en place.
Comment l'employeur doit-il informer ses collaborateurs des traitements de données personnelles ?
Le RGPD vous impose, à chaque fois que vous recueillez les données personnelles de vos salariés auprès d'eux, de les informer notamment (3) :
- de l'identité et les coordonnées du responsable du traitement ;
- le cas échéant, des coordonnées du délégué à la protection des données ;
- des finalités du traitement, soit ses objectifs ;
- de l'intention ou non de transférer les données à l'étranger ;
- de la durée de conservation des données.
Informez vos salariés sur leurs droits en matière de protection des données personnelles
Vous avez également l'obligation d'informer vos salariés sur leur droit (3) :
- d'obtenir gratuitement une copie des données la concernant (4) ;
- à procéder à une rectification des données qui se révéleraient inexactes ou incomplètes (5) ;
- à obtenir l'effacement (“droit à l'oubli”) des données sous conditions, notamment lorsqu'elles ne sont plus nécessaires au traitement envisagé (6) ;
- d'obtenir la limitation du traitement dans certains cas particuliers, notamment dans l'hypothèse où le traitement est illicite (7) ;
- de s'opposer au traitement de leurs données personnelles, pour des raisons tenant à leur situation particulière (8) ;
- d'obtenir la portabilité de leurs données (9).
Quand devez-vous informer vos salariés ? Le respect du RGPD intervient-il dès le recrutement du salarié ?
Cette information doit se faire au moment de chaque traitement de données, par exemple lors du recrutement du salarié dont les données sont collectées.
Qui peut avoir accès aux données personnelles des salariés ?
L'accès aux données personnelles traitées par votre entreprise doit être limité aux seules personnes habilitées pour cela. Il vous incombe donc, en tant qu'employeur, de contrôler l'accès aux données collectées.
Information des salariés : comment rédiger une clause RGPD dans un contrat de travail ?
Pour vous conformer à votre obligation d'informer vos salariés de la collecte du traitement de leurs données personnelles, vous pouvez envisager d'insérer une clause explicite à ce sujet dans leurs contrats de travail.
Cette clause peut être directement inclus dans le contrat de travail en cas du recrutement d'un nouveau collaborateur, ou faire l'objet d'un avenant pour les salariés déjà en place.
Notez néanmoins que la rédaction d'une telle clause n'est pas obligatoire.
Qu'est-ce qu'une mention d'information RGPD ?
Il est possible de remettre une note d'information détaillée à chacun de vos salariés, en vue de vous assurer de leur parfaite information (et compréhension) des traitements de leurs données personnelles effectués.
Sensibilisez vos salariés aux enjeux du RGPD
Enfin, la Commission nationale de l'informatique et des libertés (CNIL) vous recommande, en tant qu'employeur, de sensibiliser et de former vos employés au respect du RGPD, notamment en ce qui concerne la gestion en interne des données personnelles.
À ce titre, il est recommandé que vos collaborateurs soient au fait de :
- l'interdiction de divulguer des données à des personnes non autorisées ;
- la nécessité de sauvegarder régulièrement les fichiers de traitement ;
- l'obligation de sécuriser les données traitées (par exemple en complexifiant et en modifiant régulièrement les mots de passe personnels, en verrouillant le poste de travail en partant, etc.).
Références :
(1) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 4
(2) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 6
(3) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 13
(4) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 15
(5) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 16
(6) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 17
(7) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 18
(8) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 21
(9) Règlement (UE) 2016/679 (règlement général sur la protection des données), article 20
licenciement pour faute grave. Juriste Très bon PROF ! bien détaillé ses réponses à mes interrogations. Rassurée pour acter notification de licenciement absences 21/10/24 sans justificatifs sans cesse demandés, non présenté entretien...