Le RGPD protège les données des salariés
Le RGPD s’applique à tous les individus, salariés ou non. Le RGPD est l’acronyme de la règlementation européenne sur la protection des données personnelles. Cette règlementation vient renforcer celles déjà en vigueur comme, entres autres, la loi informatique et libertés.
Entrée en application en mai 2018, le RGPD assure également la protection des données des salariés vis-à-vis de leur employeur. Pour l’exécution du contrat de travail, un certain nombre de vos données personnelles doivent obligatoirement être fournies à votre employeur. Celui-ci ne dispose pour autant pas d’un droit illimité dans leur utilisation et leur traitement.
Le RGPD protège les données personnelles des salariés
C’est l’article 4 du RGPD qui défini ce qu’est la donnée personnelle. Il s’agit de toute information permettant d’identifier directement ou indirectement une personne physique. La portée est considérable. On retrouve parmi les données personnelles du salarié :
- son identité: nom, prénom, surnom
- sa date de naissance et lieu de naissance
- le numéro de sécurité sociale
- les éléments du CV
- son adresse
- la composition de sa famille
- ses revenus
- sa signature manuscrite comme électronique
- son ou ses adresses emails
- …
Mais les données personnelles des salariés ne s’arrêtent pas là ! Tout identifiant en ligne, login, numéro d’identification, ou tous les éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Toutes ces données sont concernées par le RGPD.
Chaque utilisation d’une donnée personnelle doit faire l’objet d’un traitement bien défini. Il est interdit de stocker une donnée sans finalité précise.
L’information du salarié sur le stockage, les traitements et leurs finalités est obligatoire. Certaines données, telles que le numéro de sécurité sociale, l’appartenance à un syndicat, la signature, … sont qualifiées de données sensibles. Ces données font l’objet de déclarations et précautions supplémentaires.
Vous êtes propriétaire de vos données personnelles et de ce qui en est fait.
Utilisation des données RGPD et accord des salariés
Il existe de nombreux cas d’utilisation des données personnelles des salariés dans une entreprise, certains requièrent l’accord explicite du salarié et d’autres non. Les utilisations sans consentement explicite sont clairement définies. Ces utilisations en revanche ne dégagent aucunement l’employeur des obligations d’information et de communication relatives au RGPD et autres législations en vigueur. Il n’existe aucun consentement tacite en matière de données personnelles.
RGPD salarié et utilisations sans consentement requis
Le consentement explicite n’est pas requis pour l’employeur dans le cas des traitements relevant de l’exécution normale du contrat de travail qui le lie à son employé :
- Traitement de la paie
- Respect des obligations légales, administratives
- Suivi de la carrière
- Suivi des formations
- Contrôle de l’activité de l’employé, sous certaines réserves et contraintes
Il est donc vivement recommandé par la CNIL aux employeur de ne conserver que les données strictement nécessaires aux obligations RH. Il est également obligatoire d’en contrôler les accès, de les sécuriser et d’en archiver les utilisations et accès.
Autres utilisations des données personnelles
Toute autre utilisation de données personnelles d’un salarié est soumis à son accord explicite. Cet accord doit être donné explicitement, en connaissance de l’utilisation faite, précise. Faire signer un droit d’utilisation de son image (sa photo) à un salarié pour toute utilisation ultérieure est illicite. Un droit à l’image doit concerner 1 prise de vue et 1 utilisation.
De même utiliser une copie numérique de la signature d’un employé est totalement prohibée sans un accord exprès explicite, écrit. Il s’agit dans ce cas d’un cas avéré d’usurpation d’identité. Un simple e-mail informatif au salarié ne suffit pas à se dégager de ses responsabilités en la matière. Le lien de subordination existant entre l’employeur et l’employé peut aggraver les circonstances autour de cette pratique.
Conséquences d’un refus d’utilisation de données personnelles
Les loi sont claires à ce sujet. Aucun salarié ne doit subir des conséquences pour un refus d’utilisation de ses données personnelles. Le respect de la vie privée fait partie des obligations de l’employeur, à l’image de la protection physique et mentale de ses employés défini par le Code du Travail. Le juste équilibre entre vie professionnelle et vie personnel doit également s’appliquer. Les droits fondamentaux sur les données personnelles entrent également dans ces cadres.
Que faire en cas de violation de vos données salarié – RGPD
La première chose à faire est de saisir, par email ou autre moyen votre employeur. Cette saisine se fait à travers le délégué à la protection des données, s’il existe. A défaut de DPO, c’est le responsable de l’entreprise qu’il faut saisir.
Cette même procédure s’applique pour demander accès, rectification, ou retirer un consentement préalablement donné.
Vous devez obligatoirement recevoir réponse à votre requête dans un délai raisonnable. A défaut de réponse, vous pouvez déposer un recours auprès de la CNIL, et dans le cas expliqué de la signature une plainte auprès de la gendarmerie.
Concrètement vos recours possible en général sont :
- le service des plaintes de la CNIL, en cas de difficultés pour accéder à votre dossier personnel, de collecte excessive ou de défaut de sécurisation des données,
- les services de l’inspection du Travail,
- le procureur de la République
- si le cadre l’exige, les forces de l’ordre (gendarmerie, police, …)
Des fiches explicatives sont disponibles directement auprès de la CNIL : travail et vie privée.
Textes de référence
Le code civil dans son article 9 sur la protection de l’intimité de la vie privée.
Le code du travail défini plusieurs articles :
- L’Article L1121-1 (droits et libertés dans l’entreprise)
- Les Articles L1222-3 et L1222-4 (information des employés)
- Article L2323-47 (information/consultation du comité social d’entreprise)
Les articles 226-1 et suivants du code pénal relatifs à la protection de la vie privée.
Et enfin, Le Règlement européen sur la protection des données personnelles (RGPD).
Ces éléments sont issus de mes expériences personnelles