Focus sur la collecte des données personnelles des salariés

Blog RH by QuickMS

Je m'abonne !

Collecte des données personnelles des salariés

Zoom sur les règles à respecter, les droits à garantir, et les sanctions encourues

La collecte et le traitement par l’employeur des données personnelles du salarié sont soumis à des obligations destinées à préserver la vie privée ainsi que les libertés individuelles des personnes concernées.

Ainsi que le précise la CNIL, sur son site internet :

« Protéger les données personnelles de vos collaborateurs sur leur lieu et pendant leur temps de travail c’est aussi un moyen de renforcer le lien de confiance nécessaire au bon fonctionnement de votre entreprise. Le développement de l’utilisation des nouvelles technologies au travail peut faire craindre une surveillance systématique. La transparence sera alors le meilleur moyen de s’en prémunir. »

Voyons donc de quelle manière la collecte des données doit-elle être réalisée en pratique.

I. Information des salariés

Selon les dispositions de l’article L.1221-6 du Code du travail, les informations personnelles que l’employeur est en droit de collecter doivent être strictement limitées à celles dont il a réellement besoin (exemples : relevé d’identité bancaire, copie des diplômes obtenus).

L’employeur doit informer les salariés sur les données personnelles qu’il collecte et les traitements qu’il met en œuvre dans l’entreprise d’une façon concise, transparente, compréhensible et aisément accessible, soit par écrit ou soit, lorsque cela est approprié, par voie électronique (Règlement UE nº 2016/679, 27 avr. 2016, article 12).

Cette information doit être communiquée aux salariés au moment où ils fournissent des données personnelles, dans le cas où ces dernières sont collectées directement auprès d’eux, et dans un délai raisonnable n’excédant pas un mois lorsque les données sont collectées par le biais d’un tiers.

Le règlement général sur la protection des données ne fixe pas la manière dont l’information doit être faite, néanmoins, l’employeur doit être en mesure de prouver que la personne dispose de toutes les informations.

Ainsi, cette information peut prendre la forme d’une : charte d’utilisation d’outils informatiques, note de service, information sur l’intranet de l’entreprise, lettre d’information avec preuve d’envoi (ou de remise).

Il est vivement recommandé d’insérer au contrat de travail (ou à l’avenant) une mention générique sur la collecte des données, et de renvoyer pour le détail à tel document, dont une copie aura été remise au salarié.

Lorsque les données sont collectées auprès du salarié au moment où celles-ci sont obtenues, l’employeur lui communique les informations suivantes :

  • la finalité du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • leur durée de conservation ;
  • les droits des salariés (droit d’accès et de rectification, droit d’introduire une réclamation auprès de la CNIL).

Lorsque les données sont collectées auprès d’une autre personne que le salarié concerné, les informations à transmettre sont, outre celles précitées, les suivantes :

  • les catégories de données à caractère personnel ;
  • la source d’où proviennent les données.

II. Droits des salariés 

Les droits du salarié sont multiples. Les principaux sont les suivants :

  • Droit d’accès :

Tout salarié peut demander à son employeur l’accès à toutes les données personnelles ayant été collectées. Le salarié peut également obtenir une copie des données le concernant.

Lorsque l’employeur répond à une demande d’accès d’un salarié à des courriels professionnels, il lui appartient d’apprécier l’atteinte fait aux droits des tiers.

Le délai dans lequel l’employeur doit répondre à sa demande est fixé à un mois.

  • Droit de rectification :

Le salarié est en droit de solliciter auprès de son employeur la rectification des données personnelles inexactes.

  • Droit à leur effacement (droit à l’oubli) :

Ce droit permet au salarié de demander à l’employeur d’effacer l’ensemble des données collectées, dans la limite des obligations légales, du caractère d’intérêt général du traitement des données, ou encore lorsque le traitement des données est nécessaire dans le cadre d’une procédure judiciaire.

  • Droit à portabilité :

Ce droit permet au salarié de récupérer ses données afin de les réutiliser à des fins personnelles.

  • Sanctions encourues :

Toute personne ayant subi un dommage matériel ou moral résultant d’une violation du RGPD a le droit d’obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi.

Il est tout à fait possible d’envisager qu’une telle action en réparation prenne la forme d’une action collective.

Au plan pénal, et selon les situations, les infractions sont classées en tant que délit ou de contravention.

 

III. À titre d’illustration 

  • Le non-respect des formalités préalables à la mise en œuvre de traitement de données personnelles, constitue un délit, sanctionné par une peine d’amende égale à 300.000 € et 5 ans d’emprisonnement ;
  • La même peine est prévue en cas de conservation des données hors délais ;
  • Le défaut d’information sur les droits des intéressés et le refus de réponse au droit d’accès de communication constituent une contravention de 5ᵉ classe sanctionnée par une peine d’amende de 1500 €.
Enfin, des sanctions administratives existent également, puisque la CNIL veille à ce que les amendes administratives imposées pour des violations du RGPD soient effectives. Certaines violations dont le RGPD dresse la liste (article 83 du Règlement) peuvent être punies d’une amende pouvant atteindre 10 millions d’euros (exemple : violations aux obligations générales, à la sécurité des données et à l’analyse d’impact), d’autres peuvent atteindre jusqu’à 20 millions d’euros (violation aux droits des personnes, le non-respect d’une injonction émise par la CNIL).
Webinar actualité juridique RH live by Capstan avocats
Bandeau "nos auteurs ont du talent" pour présenter les rédacteurs de Quickms

Article rédigé par La Team Capstan avocats

Articles similaires

FOCUS : IA ET CNIL

FOCUS : IA ET CNIL

24 Juil, 2024

La CNIL publie des premières réponses pour un déploiement responsable et respectueux de la protection des données d’un système d’intelligence artificielle générative au sein des entreprises. Lisez notre article pour comprendre les implications juridiques et protéger vos droits.

lire plus
FOCUS : Statut collectif

FOCUS : Statut collectif

17 Juil, 2024

Nos experts RH analysent les récentes décisions de la Cour de cassation sur le statut collectif. Découvrez pourquoi le CSE peut contester un accord collectif et comment un syndicat peut agir pour harcèlement moral lié à un mandat. Lisez notre article pour comprendre les implications juridiques et protéger vos droits.

lire plus
FOCUS : état de santé

FOCUS : état de santé

10 Juil, 2024

Nos experts RH décryptent les dernières décisions de la Cour de cassation concernant l’état de santé des salariés. Quand l’employeur doit-il organiser une visite de reprise après une maladie et les conditions pour contester un avis d’inaptitude du médecin du travail ? Découvrez notre article pour comprendre les obligations et les droits en matière de santé au travail.

lire plus

Restez informé des dernières actualités RH

inscription newsletter rh quickms
Suivez-nous