Collecte des données personnelles des salariés

Zoom sur les règles à respecter, les droits à garantir, et les sanctions encourues

La collecte et le traitement par l’employeur des données personnelles du salarié sont soumis à des obligations destinées à préserver la vie privée ainsi que les libertés individuelles des personnes concernées.

Ainsi que le précise la CNIL, sur son site internet :

« Protéger les données personnelles de vos collaborateurs sur leur lieu et pendant leur temps de travail c’est aussi un moyen de renforcer le lien de confiance nécessaire au bon fonctionnement de votre entreprise. Le développement de l’utilisation des nouvelles technologies au travail peut faire craindre une surveillance systématique. La transparence sera alors le meilleur moyen de s’en prémunir. »

Voyons donc de quelle manière la collecte des données doit-elle être réalisée en pratique.

I. Information des salariés

Selon les dispositions de l’article L.1221-6 du Code du travail, les informations personnelles que l’employeur est en droit de collecter doivent être strictement limitées à celles dont il a réellement besoin (exemples : relevé d’identité bancaire, copie des diplômes obtenus).

L’employeur doit informer les salariés sur les données personnelles qu’il collecte et les traitements qu’il met en œuvre dans l’entreprise d’une façon concise, transparente, compréhensible et aisément accessible, soit par écrit ou soit, lorsque cela est approprié, par voie électronique (Règlement UE nº 2016/679, 27 avr. 2016, article 12).

Cette information doit être communiquée aux salariés au moment où ils fournissent des données personnelles, dans le cas où ces dernières sont collectées directement auprès d’eux, et dans un délai raisonnable n’excédant pas un mois lorsque les données sont collectées par le biais d’un tiers.

Le règlement général sur la protection des données ne fixe pas la manière dont l’information doit être faite, néanmoins, l’employeur doit être en mesure de prouver que la personne dispose de toutes les informations.

Ainsi, cette information peut prendre la forme d’une : charte d’utilisation d’outils informatiques, note de service, information sur l’intranet de l’entreprise, lettre d’information avec preuve d’envoi (ou de remise).

Il est vivement recommandé d’insérer au contrat de travail (ou à l’avenant) une mention générique sur la collecte des données, et de renvoyer pour le détail à tel document, dont une copie aura été remise au salarié.

Lorsque les données sont collectées auprès du salarié au moment où celles-ci sont obtenues, l’employeur lui communique les informations suivantes :

  • la finalité du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • leur durée de conservation ;
  • les droits des salariés (droit d’accès et de rectification, droit d’introduire une réclamation auprès de la CNIL).

Lorsque les données sont collectées auprès d’une autre personne que le salarié concerné, les informations à transmettre sont, outre celles précitées, les suivantes :

  • les catégories de données à caractère personnel ;
  • la source d’où proviennent les données.

II. Droits des salariés 

Les droits du salarié sont multiples. Les principaux sont les suivants :

  • Droit d’accès :

Tout salarié peut demander à son employeur l’accès à toutes les données personnelles ayant été collectées. Le salarié peut également obtenir une copie des données le concernant.

Lorsque l’employeur répond à une demande d’accès d’un salarié à des courriels professionnels, il lui appartient d’apprécier l’atteinte fait aux droits des tiers.

Le délai dans lequel l’employeur doit répondre à sa demande est fixé à un mois.

  • Droit de rectification :

Le salarié est en droit de solliciter auprès de son employeur la rectification des données personnelles inexactes.

  • Droit à leur effacement (droit à l’oubli) :

Ce droit permet au salarié de demander à l’employeur d’effacer l’ensemble des données collectées, dans la limite des obligations légales, du caractère d’intérêt général du traitement des données, ou encore lorsque le traitement des données est nécessaire dans le cadre d’une procédure judiciaire.

  • Droit à portabilité :

Ce droit permet au salarié de récupérer ses données afin de les réutiliser à des fins personnelles.

  • Sanctions encourues :

Toute personne ayant subi un dommage matériel ou moral résultant d’une violation du RGPD a le droit d’obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi.

Il est tout à fait possible d’envisager qu’une telle action en réparation prenne la forme d’une action collective.

Au plan pénal, et selon les situations, les infractions sont classées en tant que délit ou de contravention.

 

III. À titre d’illustration 

  • Le non-respect des formalités préalables à la mise en œuvre de traitement de données personnelles, constitue un délit, sanctionné par une peine d’amende égale à 300.000 € et 5 ans d’emprisonnement ;
  • La même peine est prévue en cas de conservation des données hors délais ;
  • Le défaut d’information sur les droits des intéressés et le refus de réponse au droit d’accès de communication constituent une contravention de 5ᵉ classe sanctionnée par une peine d’amende de 1500 €.
Enfin, des sanctions administratives existent également, puisque la CNIL veille à ce que les amendes administratives imposées pour des violations du RGPD soient effectives. Certaines violations dont le RGPD dresse la liste (article 83 du Règlement) peuvent être punies d’une amende pouvant atteindre 10 millions d’euros (exemple : violations aux obligations générales, à la sécurité des données et à l’analyse d’impact), d’autres peuvent atteindre jusqu’à 20 millions d’euros (violation aux droits des personnes, le non-respect d’une injonction émise par la CNIL).
Webinar actualité juridique RH live by Capstan avocats
Bandeau "nos auteurs ont du talent" pour présenter les rédacteurs de Quickms

Article rédigé par La Team Capstan avocats

Articles similaires

FOCUS : Frais de transport des salariés : quelles obligations ?

FOCUS : Frais de transport des salariés : quelles obligations ?

13 Mar, 2025

Nos experts RH font le point sur les nouvelles obligations des employeurs en matière de prise en charge des frais de transport des salariés en 2025. Découvrez les règles de remboursement, les titres éligibles et les dispositifs facultatifs comme le forfait mobilités durables. Anticipez les évolutions et optimisez vos politiques de mobilité en entreprise.

lire plus
Focus – Accidents du travail et maladies pro : que disent les juges ?

Focus – Accidents du travail et maladies pro : que disent les juges ?

28 Fév, 2025

Nos experts RH décryptent deux récentes décisions de justice sur les accidents du travail et maladies professionnelles. Peut-on reconnaître un choc émotionnel causé par un contrôle d’huissier comme un accident du travail ? Quelles limites pour la reconnaissance d’un burn-out en maladie professionnelle ? Découvrez les enjeux et implications pour les employeurs.

lire plus
Focus : Grève et Statut collectif

Focus : Grève et Statut collectif

17 Fév, 2025

Nos experts RH décryptent trois décisions majeures de la Cour de cassation sur le droit de grève et le statut collectif. Découvrez comment le préavis de grève, la rémunération post-mouvement et l’égalité de traitement sont redéfinis. Lisez l’article complet pour en savoir plus !

lire plus

Restez informé des dernières actualités RH

inscription newsletter rh quickms
Suivez-nous