22 juillet 2023
Depuis que la loi s’est intéressée aux problématiques concernant les données personnelles, le sous-problème des données personnelles des employés DANS l’entreprise où ils travaillent est encore plus complexe.
Si des règles existent (RGPD notamment), force est de constater qu’elles sont rarement appliquées, par ignorance mais aussi de par la difficulté à les appliquer, sans parler de la logistique nécessaire.
Concrètement, quel cadre régit le droit d’accès des salariés à leurs données personnelles dans la société où ils travaillent ? Quels sont les processus à mettre en place pour être conforme à la loi ? Quels sont les risques juridiques en cas de non conformité ?
Pour bien appréhender ce problème, il faut distinguer 3 sujets: l’information des salariés sur le traitement de leurs données personnelles, en précisant QUELLES données peut récupérer l’employeur et enfin le droit d’accès des salariés à ces informations.
La règle est simple: l’employeur n’est pas obligé d’avoir le consentement de ses salariés pour la plupart des traitements de données personnelles dans son entreprise MAIS il doit fournir aux employés une information « claire et intelligible » à propos de ces traitements ET il ne doit collecter QUE les informations nécessaires.
Le fait de ne pas être obligé d’avoir le consentement des salariés pour recueillir leurs données va à l’encontre du RGPD mais on peut comprendre que le consentement ne soit pas nécessaire ….. pour les données nécessaires.. à l’exécution d’un contrat dont la personne concernée est partie prenante et/ou à une obligation légale.
Selon la loi, les employeurs peuvent donc « traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales », comme la santé et la sécurité des salariés (articles L. 4121-1 et R. 4422-1 du Code du travail).
En ce qui concerne l’information des salariés sur les données récupérées et leur traitement, la loi exige que cette information soit claire et facile à comprendre.
Concrètement, tout salarié doit être averti et « comprendre »:
Comme vous l’avez compris se pose logiquement le problème de savoir QUELLES données sont nécessaires et quelles données de le sont pas. Et bien sûr, se pose également le problème de la limite entre « vie privée » et « vie professionnelle » !
La fiche du site gouvernemental https://www.economie.gouv.fr/entreprises/collecte-donnees-salaries-regles ainsi que la fiche spécifique de la CNIL https://www.cnil.fr/fr/travail-et-donnees-personnelles listent clairement les données que peut collecter une entreprise.
Étudiez ces textes attentivement car ils vous surprendront.
Savez-vous par exemple que lors d’un recrutement, vous ne pouvez pas demander au candidat son numéro de sécurité sociale ?
Savez-vous qu’un mail dont l’objet serait « personnel » ou « privé » ne peut pas être consulté par l’employeur ?
Enfin, connaissez-vous les durées de détention des informations collectées à propos des salariés ? Quelles informations doivent être conservées 5 ans ?
Question subsidiaire: quelles règles concernent les intérimaires, les stagiaires, les freelances ou les personnels détachés ?
Le droit d’accès des salariés aux informations les concernant est fixé par la loi et (voir + haut) les salariés doivent en être informés.
Les principes à retenir sont que le droit d’accès est gratuit, concerne des données et non des documents. Quand il est exercé, l’entité qui donne accès doit s’assurer de l’identité du demandeur mais aussi s’assurer que ce droit d’accès ne porte pas atteinte « aux droits des tiers ».
Ce dernier aspect est souvent délicat, par exemple quand un salarié demande l’accès à des mails le concernant.
Dans ce domaine encore, la fiche de la CNIL est parfaitement renseignée: https://www.cnil.fr/fr/le-droit-dacces-des-salaries-leurs-donnees-et-aux-courriels-professionnels
Il peut arriver que le salarié demande à ce que les données le concernant soient effacées, il en a le droit. Ceci dit, l’employeur doit supprimer les données seulement si:
Parmi les problèmes compliqués à résoudre en entreprise, la sécurité des données concernant les employés et l’information de ceux-ci en cas de fuite ne sont pas les moindres.
Très souvent, cela implique un prestataire externe qui lui aussi doit être conforme au RGPD et plus spécifiquement à l’article 28 de celui-ci concernant la sous-traitance.
En cas de fuite de données les concernant, l’entreprise doit informer les salariés. Parfois difficile dans la culture française, cette information est obligatoire et évite de surcroît d’autres problèmes potentiels. A noter que légalement, la CNIL doit également être informée de toute fuite de données dans les 48 heures.
Votre entreprise est-elle en conformité avec la collecte et le droit d’accès des salariés à leurs données personnelles ?