Le Règlement Général sur la Protection des Données personnelles : les obligations des employeurs dans le traitement des données personnelles relatives à leurs salariés

Par Julie De Oliveira et Laure Guilmet

Les récents scandales liés aux collectes illégales, fuites ou piratages de données personnelles rappellent l’importance de traiter ces dernières de manière à garantir une sécurité et une confidentialité.

 

Le Règlement européen 2016/679 du 27 avril 2016, dit « Règlement Général sur la Protection des Données » (RGPD) entré en application le 25 mai 2018, est l’occasion d’évoquer les obligations mises à la charge des employeurs dans le traitement des données personnelles relatives à leurs salariés.

 

Les entreprises doivent limiter la collecte aux données, relatives à leurs salariés, adéquates, pertinentes par rapport à la finalité poursuivie afin de se conformer au principe de minimisation des données du RGPD. Elles ne doivent ensuite conserver ces données que sur une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, c’est-à-dire, le temps de la période d’emploi de la personne concernée sauf dispositions législatives ou réglementaires contraires.

 

En pratique, les entreprises vont collecter des données sur des candidats dans le cadre du recrutement et sur ses salariés dans le cadre de la gestion de son personnel et de l’action sociale et culturelle :

 

– Dans le cadre du recrutement, les données collectées ne devant servir qu’à apprécier sa capacité à occuper l’emploi à pourvoir doivent être limitées aux diplômes et aux expériences du candidat. A ce stade, il est interdit aux entreprises de collecter le numéro de sécurité sociale, des données sur l’entourage familial, sur l’état de santé ou sur l’appartenance syndicale d’un candidat. A la fin du recrutement, les données sur les candidats non retenus doivent être supprimées, sauf s’ils acceptent de rester dans le « vivier » de l’entreprise voire du groupe auquel l’entreprise appartient, dans la limite conseillée de 2 ans.

 

– Dans le cadre de la gestion de son personnel, l’employeur peut collecter des données nécessaires au respect d’une obligation légale (tel que le numéro de sécurité sociale pour établir le bulletin de paie et procéder aux déclarations sociales obligatoires), des données nécessaires à l’évaluation professionnelle du salarié (tels que les objectifs fixés, les résultats obtenus, l’appréciation des compétences, les observations et les souhaits émis par le salarié).

 

Les entreprises, en leur qualité d’employeur, peuvent contrôler l’accès à leurs locaux et le temps de travail des salariés grâce à des badges. Si les données relatives aux déplacements du personnel ne peuvent être conservées que 3 mois, celles relatives au contrôle du temps de travail et aux motifs d’absence (congés, autorisation d’absence, jours RTT etc.) peuvent être conservées dans la limite de 5 ans.

 

Elles peuvent au surplus contrôler l’activité de leurs salariés au moyen de la vidéosurveillance. Pour rappel, l’utilisation d’un système de vidéosurveillance doit reposer sur un intérêt légitime de l’entreprise (comme la sécurité des biens et des personnes dans des lieux particulièrement exposés à des risques d’agression ou de vol), avoir fait l’objet préalablement à sa mise en œuvre d’une information-consultation auprès des institutions représentatives du personnel et être portée à la connaissance des personnes concernées (affichage, avenant au contrat de travail, mention sur l’intranet ou courrier joint au bulletin de paie). La conservation des images capturées dans le cadre de la vidéosurveillance ne peut excéder un mois.

 

– Dans le cadre de la gestion de l’action sociale et culturelle, l’employeur peut collecter des informations sur les ayants droit de ses salariés.

 

Candidats et salariés de l’entreprise doivent être informés de l’identité et des coordonnées du responsable du traitement, de celles du délégué à la protection des données personnelles (s’il en a été désigné), de la finalité du traitement, de la base juridique du traitement, des catégories de données concernées, des destinataires des données, de la durée de conservation des données, des modalités selon lesquelles ils peuvent exercer leurs droits d’opposition, d’accès, de rectification, de limitation et de portabilité de leurs données et de leur droit d’introduire une réclamation auprès de l’autorité de contrôle, la Commission Nationale de l’Informatique et des Libertés (CNIL).

 

Afin de satisfaire à leur obligation de transparence, les entreprises doivent en principe leur communiquer ces informations au moment où les données sont obtenues, par exemple, par une notice d’information à l’intention des candidats, par une clause du contrat de travail ou via un affichage pour les salariés.

 

Dans les entreprises d’au moins 50 salariés, le comité social et économique doit être informé, préalablement à leur introduction, sur les traitements automatisés de gestion du personnel.

 

Une fois les données collectées, les entreprises, en tant que responsables des traitements, doivent également mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles et pouvoir justifier de la conformité des traitements à tout moment.

 

A cet égard, seules les personnes habilitées désignées par le responsable des traitements doivent pouvoir accéder aux données personnelles des salariés. Il est donc nécessaire de sensibiliser le personnel sur la confidentialité de ces données et les règles de sécurité à respecter (utilisation d’un mot de passe, verrouillage de son poste de travail en cas d’absence etc.).

 

Le RGPD impose en outre aux entreprises de tenir une documentation interne complète sur les traitements de données personnelles.

 

Pour tous les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des salariés concernés, c’est-à-dire les traitements de données révélant leur origine raciale ou ethnique, leur appartenance syndicale ou relatives à leur santé ou les traitements reposant sur l’évaluation systématique et approfondie d’aspects personnels ou sur la surveillance systématique du salarié (vidéosurveillance, outils de gestion du temps de présence comme les badges ou géolocalisation), les entreprises doivent au préalable procéder à une analyse d’impact faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Faute de parvenir à réduire le risque élevé, la CNIL devra être consultée avant de mettre en œuvre ce traitement.

 

En cas de violation de données à caractère personnel, le responsable de traitement devra notifier cette violation à l’autorité de protection des données dans les 72 heures et informer les salariés concernés si celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

 

En cas de manquements à ces dispositions légales, les entreprises pourront faire l’objet de sanctions (avertissement, mise en demeure, limitation temporaire ou définitive du traitement, suspension des flux de données, amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial) mais également être condamnées à verser des dommages et intérêts au salarié ayant subi un dommage matériel ou moral du fait d’une violation du RGPD.

 

Afin d’aider les entreprises dans la mise en conformité de leurs traitements de données personnelles avec les dispositions du RGPD, la CNIL propose des outils tels qu’un modèle de registre pour recenser de façon précise les traitements de données personnelles, un logiciel afin de réaliser une analyse d’impact, un formulaire de désignation du délégué à la protection des données ou encore des normes simplifiées récentes (NS-42 relative aux badges sur le lieu de travail du 24 mai 2018) ou moins récentes (comme par exemple la NS-46 relative à la gestion du personnel du 25 janvier 2018 laquelle n’est plus en vigueur à compter du 25 mai 2018 mais peut servir de base comme « bonnes pratiques »).

 

Le projet de loi relatif à la protection des données personnelles, adopté définitivement le 14 mai dernier, assure la mise en œuvre du RGPD sur le territoire français en adaptant la loi Informatique et Libertés du 6 janvier 1978.

 

Si le RGPD est entré en vigueur le 25 mai 2018, les contrôles opérés par la CNIL quant au respect de ces nouvelles obligations pour les entreprises et de ces droits pour les salariés devraient, dans un premier temps, avoir pour but d’accompagner les entreprises dans leurs démarches de mise en conformité. Il reste que les entreprises sont encouragées à se conformer rapidement à ces nouveaux textes et à mettre en place les mesures nécessaires avec le soutien de leur conseil.