Les données personnelles des salariés : Cnil, communication, RGPD...
Le RGPD encadre l'utilisation des données personnelles des salariés. La direction doit assurer la communication de leurs données aux salariés concernés. La CNIL peut sanctionner l'employeur en cas de manquement.
Données personnelles des salariés : que dit la CNIL
La CNIL reconnaît la nécessité pour les entreprises de récolter certaines données personnelles relatives aux employés afin de respecter leurs obligations légales (déclarations sociales), et d’organiser au mieux leur temps de travail ou les actions sociales mises en oeuvre par l’employeur. Néanmoins, des garde-fous doivent être instaurés, en se contentant de récolter les informations vraiment utiles ou essentielles à l’organisation administrative et à l’accomplissement des missions des salariés. Il est aussi requis d’assurer la sécurité et confidentialité des données recueillies, et d’avertir la CNIL en cas de toute violation dans les 72 heures. En revanche, il n'est plus obligatoire de faire une déclaration des données RH auprès de la Cnil.
Les salariés disposent par ailleurs d’un droit d’information et d’un droit d’accès intangible aux données les concernant. Ils bénéficient également d’un droit de rectification en cas de données personnelles erronées, et d’un droit à l’effacement dès lors que les informations ne sont plus nécessaires au vu des finalités pour lesquelles elles ont été collectées. Les sanctions de la Cnil contre l'employeur peuvent être lourdes en cas d'atteinte aux données des salariés.
La communication des données personnelles des salariés
L’entreprise doit informer ses salariés de l’existence de traitement de données personnelles par tout moyen à sa disposition. L’identité des personnes en charge des fichiers doit leur être fournie, de même que les destinataires des données et leur durée de conservation. Seules les personnes en charge de la gestion du personnel et les administrations publiques compétentes peuvent a priori accéder aux données personnelles. Pour autant, certaines informations sont communicables au supérieur hiérarchique du salarié, au comité d’entreprise ou encore aux délégués du personnel, si elles sont indispensables à l’exercice de leur fonction ou mission.
RGPD et données personnelles des salariés
Le Règlement général sur la Protection des Données (RGPD) impose aux entreprises de tenir "un registre des traitements de données" regroupant l’ensemble des informations personnelles relatives aux salariés qui sont récoltées. Ce registre doit permettre aux autorités ou aux salariés, en vertu de leur droit d’accès, de savoir quelles sont les données recueillies, et leurs finalités. Le registre doit préciser les personnes autorisées à y accéder et les dispositifs de protection numérique (format digital) ou physique (format papier) pour assurer leur confidentialité.
Conservation des données personnelles des salariés
Les données personnelles des salariés sont conservables pendant la durée de leur présence dans l’entreprise. Mais une fois qu’un employé quitte l’entreprise suite à une démission, à la fin de son contrat, à un licenciement, ou à un départ en retraite, ses données personnelles ne peuvent pas être conservées indéfiniment. Une durée de 5 ans est admise pour les bulletins de paie et les documents ayant servi au contrôle du temps de travail par exemple.
Consentement et données personnelles des salariés
Si l’information des salariés est bien obligatoire en toute circonstance pour les outils de traitements de données personnelles, leur consentement n’est pas toujours requis. Le consentement n’est pas imposé pour les données permettant la gestion de la paie, l’exécution du contrat de travail, le contrôle de l’activité, et le respect des diverses obligations légales de l’entreprise. Tout ce qui va « au-delà » en revanche suppose un consentement explicite des salariés.