Aller au contenu principal
Gérer mes collaborateurs
Gérer vos obligations

Gérer la protection des données personnelles des salariés

Date de mise à jour : 22/11/2022 Date de vérification le : 22/11/2022 8 minutes

Dans le cadre de son activité, une entreprise va recueillir les données personnelles de ses clients, de ses fournisseurs… mais également celles de ses salariés. Ces données sont protégées par le « règlement général sur la protection des données » (RGPD), ce qui a amené la Cnil à publier des recommandations dans son guide intitulé « Protégez les données de vos collaborateurs ». Voici ce qu’il faut en retenir.

Rédigé par l'équipe WebLex.
Gérer la protection des données personnelles des salariés


La protection des données des salariés vue par la Cnil

Collaborateurs = données personnelles ? De très nombreuses données personnelles des salariés sont nécessaires pour la bonne gestion de l’entreprise. Par exemple, une entreprise a besoin de beaucoup d’informations pour assurer :

  • la rémunération des salariés ;
  • les déclarations sociales obligatoires ;
  • la tenue du registre unique du personnel ,
  • la gestion administrative du personnel (type de permis de conduire détenu, coordonnées de personnes à prévenir en cas d’urgence) ;
  • l’organisation du travail (photographie facultative du salarié pour les annuaires internes et organigrammes).

Données personnelles collectées = données utiles. La Cnil conseille aux entreprises de ne réclamer que les informations utiles pour accomplir leurs missions et de ne pas traiter de données dites « sensibles » (activité syndicale, opinions politiques, religieuses, etc.), protégées par des obligations particulières.

Données personnelles = données protégées. L’entreprise doit garantir la confidentialité et la sécurité des données collectées « à risques » (coordonnées bancaires, numéro de sécurité sociale, etc.). La Cnil recommande, pour cela, que seules les personnes habilitées puissent en prendre connaissance. Les actions sur les données de ces personnes doivent être enregistrées (il faut savoir qui se connecte à quoi, quand et pour faire quoi).

Le saviez-vous ?

Notez qu’un salarié peut toujours demander une copie de toutes les données collectées le concernant (copie d’un bulletin de paie, état d’un compte épargne-temps, relevés des badgeuses, messages envoyées par le mail professionnel, etc.).

Une aide de la CNIL. La CNIL adopte régulièrement des référentiels qui ont pour vocation de sécuriser les entreprises quant au respect du RGPD au regard des données personnelles des salariés qu’elle est susceptible de recueillir dans le cadre de son activité. En voici quelques exemples.

Exemple 1 : le recours à la biométrie. Parce que les données biométriques sont inhérentes à la personne, elles constituent des données sensibles. Le recours à la biométrie pour contrôler l’accès à ses locaux ou à ses outils doit donc être (valablement) justifié. Tout employeur qui envisage le contrôle d’accès à ses locaux ou à ses outils numériques en utilisant des données biométriques doit respecter le règlement-type publié par la Cnil.

Attention ! Le recours à un dispositif biométrique, pour contrôler les horaires des salariés, ne peut faire l’objet d’une demande d’autorisation de la Cnil que s’il existe des circonstances exceptionnelles fondées sur un impératif spécifique de sécurité. En effet, les données biométriques bénéficient d’un régime très protecteur, celles-ci étant uniques et permettant d’identifier un individu à partir de ses caractéristiques physiques ou biologiques. En l’absence de circonstance exceptionnelle imposant le recours à la biométrie pour le contrôle des horaires des salariés, la mise en place d’un tel système serait excessive et vous exposerait à des amendes prononcées par la Cnil.

Exemple 2 : les dispositifs d’alerte professionnelle. L’entreprise qui met en place un dispositif d'alerte doit s'assurer de sa conformité aux dispositions du Règlement général sur la protection des données (RGPD). Pour cela, la CNIL a donc adopté un référentiel permettant ainsi aux entreprises de s'assurer de la conformité des traitements de données mis en œuvre dans le cadre des dispositifs d'alertes aux principes relatifs à la protection des données.

     => Consulter le référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles

Exemple 3 : la gestion du personnel. Pour aider les employeurs, la Cnil a publié un référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines. Il explicite les règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération, ou encore la mise à disposition des salariés d’outils de travail, mais aussi les traitements courants de gestion de la paye et de recrutement.

     => Consulter le référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines

Exemple 4 : les infractions commises avec un véhicule de l’entreprise. Pour aider les employeurs, la CNIL vient de mettre en place un référentiel relatif aux traitements de données dans le cadre de leur obligation de dénonciation des conducteurs ayant commis une infraction routière. Si ce référentiel n’est pas obligatoire, les employeurs choisissant de ne pas l’appliquer peuvent être amenée à justifier de l’existence de leur traitement de données et des mesures mises en œuvre pour garantir sa conformité au RGPD.

     => Consulter le référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de dénonciation des infractions.


Le recrutement d’un nouveau collaborateur vu par la Cnil

Recrutement = données personnelles ? Dans le cadre d’un recrutement, une entreprise va recueillir des données personnelles du candidat. Dans ce cas, vous devez respecter, à compter du 25 mai 2018, le « règlement général sur la protection des données » (RGPD).

     => Pour en savoir plus sur l’analyse d’impact, consultez notre fiche « Organiser la protection des données personnelles (RGPD) »

Questionnez le candidat (librement ?). La Cnil rappelle tout d’abord que lorsque vous recrutez un nouveau salarié, vous ne pouvez pas demander tout et n’importe quoi aux candidats.

Illustrations. Par exemple, des informations sur l’emploi occupé par les membres de la famille d’un candidat n’ont pas de lien avec ses compétences et ne sont pas utiles. En outre, il n’est pas utile de réclamer au candidat, au stade de l’entretien, son numéro de sécurité sociale.

Informez le candidat. La Cnil rappelle que vous devez informer les candidats sur ce qui va être fait des données qu’ils vous communiquent : qui va y avoir accès (service RH, un prestataire, etc.), combien de temps elles vont être conservées, comment ils peuvent exercer leurs droits sur leurs données ?

Recrutement terminé. Une fois le choix du nouveau salarié effectué, il faut supprimer les informations sur les candidats non retenus, sauf s’ils acceptent de rester dans un fichier de candidats pour une durée limitée à 2 ans.


Les limites du contrôle des données selon la Cnil

Tout n’est pas permis ! Si la Loi permet à l’employeur de contrôler l’activité de ses salariés, ces derniers ont des droits qu’il faut respecter. Pour respecter les droits des salariés, la Cnil rappelle qu’un employeur doit retenir 2 règles simples.

1ère règle. Il ne doit pas abuser de son pouvoir : la surveillance doit reposer sur un intérêt légitime et les employés ne doivent pas être mis sous surveillance permanente.

2nde règle. Il doit être transparent : par exemple, il doit consulter les instances représentatives du personnel et informer des salariés de la mise en œuvre d’un dispositif de surveillance.

Exemple d’une collecte de données excessive. La Cnil considère que les badgeuses photo, Or, consistant à photographier un salarié à chaque fois qu’il badge, entraînent une collecte de données excessive. Selon elle, les pointeuses par badge, qui enregistrent le jour et l’heure de pointage de la personne utilisant le badge, permettent déjà d’assurer un contrôle satisfaisant des horaires de travail des employés, d’autant, qu’en pratique, l’accès aux photographies pour contrôler les horaires des salariés était quasi inexistant, et qu’il n’y a pas de procédure contentieuse initiée sur la base des informations collectées par ces dispositifs. Elle recommande aux entreprises de renforcer le rôle du personnel encadrant, notamment pour prévenir et empêcher la fraude.


RGPD et données collectées : sensibilisation et formation des collaborateurs

Protection des données : c’est l’affaire de tous ! La Cnil rappelle que la protection des données n’est pas que l’affaire des juristes ou des informaticiens. Il faut, en effet, également sensibiliser les salariés à cette question. C’est pour cela qu’il faut les former :

  • sur les droits des personnes dont les données personnelles sont collectées et la procédure à suivre (exemple : le service client reçoit une demande d’opposition à recevoir de la publicité et la transmet au service en charge du marketing) ;
  • sur les règles internes de gestion des données personnelles ;
  • sur les règles élémentaires de sécurité (mots de passe complexes, poste de travail verrouillé en cas d’absence, etc.).

     => Consultez le guide pratique de sensibilisation au RGPD pour les PME

Conseil. La Cnil recommande de profiter de la mise en place du RGPD pour revoir, le cas échéant, la charte informatique et la diffuser auprès de vos salariés.

A retenir

Pour la Cnil, la gestion des données personnelles des salariés doit se faire en toute transparence pour permettre de tisser un lien de confiance avec les salariés : il est donc conseillé de les sensibiliser et de les former sur cette question.

Pour un contenu personnalisé, inscrivez-vous gratuitement !
Déjà inscrit ? Connectez-vous
Sources
Voir plus Voir moins
Voir les sources
Votre cabinet mérite un site Internent sur-mesure. Nous vous l'offrons !
Abonnez vous à la newsletter
Accéder à WebLexPro
Accéder à WeblexPro