Comment, à l’ère du numérique, ne pas être attentif à la protection des données personnelles des salariés quand on est chef d’entreprise ? Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, les obligations des employeurs en matière de collecte, de traitement et de conservation des données des salariés se sont considérablement renforcées. Si vous ne respectez pas ces règles, vous vous exposez à des lourdes sanctions, tant en termes d’image que financièrement. De plus, plusieurs décisions de justice ont mis en lumière l’importance du respect des droits des salariés dans ce domaine, telles que l’arrêt Nikon en France ou la condamnation de la CNIL contre Carrefour.
Dans cet article, nous allons explorer les différents aspects de la protection des données personnelles des salariés, afin de vous fournir les informations clés pour rester en conformité avec la loi.
La collecte des données personnelles des salariés : quelles sont les obligations ?
Quelles données peuvent être collectées ?
La collecte des données personnelles des salariés doit être strictement encadrée. Selon la CNIL, seules les informations nécessaires à la gestion du personnel peuvent être recueillies. Cela inclut des informations telles que :
- les coordonnées,
- le numéro de Sécurité sociale,
- les informations bancaires pour le versement des salaires,
- les éléments liés à la vie professionnelle du salarié : ses qualifications, son parcours, ou encore ses évaluations.
On notera que la collecte de certaines données sensibles, comme celles relatives à la santé ou aux opinions politiques, est en principe interdite, sauf dans des cas limitativement énumérés.
Les principes de finalité et de proportionnalité
Les données personnelles des salariés ne doivent être recueillies que pour des motifs déterminés, explicites et légitimes. Par exemple, les informations liées à la santé ne peuvent être collectées que dans le cadre de la gestion des absences pour maladie, ou de l’aménagement du poste de travail. De plus, la quantité de données collectées doit être proportionnée à la finalité poursuivie. Cela signifie qu’il est interdit de rassembler des renseignements superflus ou excessifs par rapport à l’objectif initial.
Précisons également que les données collectées doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.
Le traitement des données : quelles précautions prendre ?
La sécurisation des données personnelles
Une fois collecté, le traitement des données personnelles doit être sécurisé. Les entreprises sont tenues de mettre en place des mesures techniques et organisationnelles adaptées pour protéger les informations contre les risques de perte, de vol, ou de consultation non autorisée. Cela peut inclure :
- le cryptage des données,
- la mise en place de politiques d’accès restreint,
- la formation du personnel à la protection des données.
La nomination du Délégué à la Protection des Données (DPO)
Depuis l’entrée en vigueur du RGPD, la nomination d’un Délégué à la Protection des Données (DPO) est obligatoire pour certaines entreprises, notamment celles dont l’activité de base l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou qui traitent des données dites sensibles.
Mais quel est son rôle ? Le DPO est chargé de veiller à ce que la société soit en conformité avec la réglementation en matière de protection des données. Il doit sensibiliser et former les salariés, et servir de point de contact avec la CNIL.
Les droits des salariés : transparence et accès aux données
Un droit d’information
Chaque salarié doit être informé :
- de l’identité et des coordonnées du responsable du traitement
- des finalités poursuivies,
- de la base légale du dispositif,
- des catégories de données traitées et leur durée de conservation
- de ses différents droits (opposition, accès, rectification, effacement…) et leurs modalités d’exercice
Ces informations doivent être données :
- dès la collecte si elles sont recueillies directement auprès du salarié
- au plus tard 1 mois après si les données sont recueillies de façon indirecte, auprès d’une autre source.
Un droit d’accès et de rectification
Comme nous le constatons, la loi protège fortement les salariés. Ils disposent de droits importants concernant leurs données personnelles. Ils peuvent :
- demander à accéder aux informations les concernant,
- les faire rectifier en cas d’erreur,
- demander leur effacement dans certains cas.
L’employeur a l’obligation de répondre à ces demandes dans un délai d’un mois.
Le droit à la portabilité des données
Le RGPD introduit aussi le droit à la portabilité des données. Ce droit permet au salarié de récupérer les données qu’il a fournies à son employeur dans un format structuré et couramment utilisé. Il sera particulièrement pertinent dans le cadre d’un changement d’emploi, où le salarié souhaite reprendre ses informations personnelles pour les transmettre à son nouvel employeur.
Que doit faire l’employeur s’il constate une violation des données ?
Des données personnelles peuvent fuiter, être perdues, de manière accidentelle ou illicite.
Une clé USB perdue qui contenait une copie des fichiers clients est une violation des données par exemple.
Si cette violation engendre un risque pour la personne concernée, l’employeur doit notifier l’incident à la CNIL dans un délai de 72 heures après en avoir pris connaissance. La notification s’effectue en ligne (https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles)
Si le manquement présente un risque élevé, l’employeur doit aussi en informer les salariés concernés sans délai.
Quelles sont les sanctions encourues par les employeurs en cas de non-conformité ?
Le non-respect des règles relatives aux informations collectées et au droit d’accès est passible de sanctions pénales, de dommages et intérêts si les salariés justifient d’un préjudice et d’amendes administratives.
Lorsqu’elles sont prononcées à l’égard d’une entreprise, ces amendes administratives peuvent s’élever de 2 jusqu’à 4 % de son chiffre d’affaires mondial annuel.
En 2020, la CNIL a lourdement sanctionné le groupe Carrefour en condamnant Carrefour France à payer une amende de 2.250.000 euros et Carrefour Banque à payer 800.000 euros d’amende.
La CNIL a, entre autres, sanctionné :
- une durée excessive de conservation des données
- une gestion défaillante des demandes d’exercice de droits
- une absence de lisibilité des informations données
Comme vous avez pu le voir, la protection des données personnelles des salariés est un enjeu très important pour les entreprises. La conformité au RGPD, tout comme aux directives de la CNIL, permet non seulement de se prémunir contre des sanctions lourdes, mais aussi de renforcer la confiance des salariés envers leurs employeurs. Il est donc indispensable pour les entreprises de mettre en place des politiques de gestion des informations robustes, et de sensibiliser l’ensemble du personnel à ces enjeux.
En cas de doute, n’hésitez pas à consulter un expert en protection des données pour vous assurer que votre entreprise respecte toutes les obligations légales en vigueur.
Ou à vous faire accompagner par un avocat spécialisé en droit du travail.
N’attendez pas pour prendre rendez-vous !
Sources :
- CNIL — Travail et données personnelles
- CNIL — RGPD en pratique : Protéger les données
- Ministère de l’Économie — Collecte des données des salariés : Les règles à respecter
- Village de la Justice — Les nouvelles obligations de l’employeur en matière de protection des données personnelles