Quelles obligations pour l'employeur concernant les données de ses salariés ?
Depuis l’entrée en vigueur du Règlement Général de Protection des Données (ci-après « RGPD »), on observe une augmentation des obligations de l’employeur vis-à-vis du traitement des données de ses salariés.
Le chef d’entreprise doit être en conformité avec le RGPD au même titre qu'il doit respecter le code du travail.
Tout manquement peut entraîner des sanctions.
Il est donc essentiel que le dirigeant, tout comme le salarié, ait connaissance des données traitées, de la manière dont elles sont conservées et des sanctions qui peuvent être prononcées.
Quelles sont les données traitées par l'employeur ?
En pratique, l’employeur est amené à collecter des données personnelles de toutes sortes :
- Le relevé d’identité bancaire du salarié ;
- La copie des diplômes et certifications du salarié ;
- Les coordonnées d’un contact d’urgence ;
- L’adresse du domicile du salarié ;
- La copie des papiers d’identité ;
- Le suivi administratif des visites médicales du salarié.
Le traitement de ces différentes données doit être licite, loyal et transparent. Autrement dit, le chef d'entreprise doit déterminer une raison légitime pour collecter ces données et ne recueillir que celles dont il a besoin.
La Commission nationale de l'informatique et des libertés (ci-après « CNIL »), précise les raisons de cette collecte :
- La gestion des rémunérations et l’accomplissement des formalités administratives afférentes ;
- Le suivi des carrières et de la mobilité ;
- La gestion des aides sociales.
Remarque : Les informations recueillies pour l’une des raisons ci-dessus ne peuvent pas être réutilisées pour poursuivre un autre objectif qui ne serait pas compatible avec l'objectif initial.
Par exemple :
- Il est interdit à l’employeur de demander le numéro de sécurité sociale d’un candidat avant de l’embaucher, dès lors que la collecte de l’information n’est pas encore devenue nécessaire.
- De même, il est interdit à l’employeur de demander au candidat à l’embauche, des informations relatives à la composition de sa famille. En effet, seules des informations présentant un lien avec l’appréciation de ses qualités et compétences professionnelles peuvent être recueillies.
- L’expert-comptable de la société ne peut pas exiger la communication de la liste nominative des salaires de la société, s’il existe une base de salaire non nominative permettant ainsi de mieux protéger les données personnelles des salariés.
Il est facile de justifier une telle protection concernant les données personnelles puisqu'elle a pour origine le principe de protection de la vie privée.
En plus, l’employeur a une obligation d’information et doit aviser ses employés du traitement de leurs données personnelles de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Donc, il ne peut pas refuser de répondre aux questions d’un salarié qui s’interroge sur le traitement ou l’utilisation de ses données personnelles.
Rappelons que l’employeur doit protéger la santé mentale des travailleurs au regard du code du travail, et doit s'assurer que les informations relatives à l’identité et à la vie privée de ses salariés soient minutieusement protégées.
Comment sont conservées les données du salarié ?
Combien de temps sont-elles conservées ?
Le RGPD prévoit que la durée de conservation des données personnelles est déterminée en fonction de la finalité du traitement.
Dans le cadre du traitement des données de salariés, il convient néanmoins de respecter certains délais prévus par la loi, tels que :
- Les bulletins de salaire sont conservés 5 ans ;
- Les documents concernant les observations et mises en demeure de l’inspection du travail sont conservés 5 ans ;
- Les mentions sur le registre du personnel sont conservées jusqu’à 5 ans à compter du départ du salarié.
Qui peut-y avoir accès ?
Il est impératif pour l’employeur de respecter le principe selon lequel seules les personnes habilitées sont autorisées à avoir accès aux données personnelles traitées au sein de l’entreprise.
Ainsi, les personnes chargées de la gestion du personnel, de la gestion de la paie ou même d’assurer la sécurité des personnes et des biens sont les seules à bénéficier d’un accès aux données.
Par ailleurs, l’employeur doit veiller à ce que les personnes habilitées disposent uniquement des informations nécessaires à l’accomplissement de leurs missions.
Enfin, il doit également protéger les informations contenues dans le registre du personnel.
Quelles sont les sanctions pour l'employeur qui ne respecte pas le RGPD ?
Dans l’hypothèse où l’employeur constate une violation des données personnelles d'un salarié, il doit impérativement l’en informer dans les meilleurs délais.
Le salarié détient alors la possibilité d’introduire une réclamation auprès de la CNIL, pouvant conduire à des sanctions administratives délivrées par la Commission, telles que :
- Ordonner à l’employeur de mettre les opérations de traitement en conformité avec les dispositions du RGPD, le cas échéant, de manière spécifique et dans un délai déterminé ;
- Ordonner à l’employeur de communiquer à la personne concernée une violation de données à caractère personnel ;
- Imposer une amende administrative ;
- Ordonner la suspension des flux de données.
Par ailleurs, si le salarié a subi un préjudice du fait de la violation de ses droits garantis par le RGPD, il lui est également possible d’exercer un recours juridictionnel afin d’obtenir le paiement de dommages et intérêts.
Dans ce cas, il doit être en mesure de démontrer une faute (la violation du RGPD), un préjudice et un lien de causalité entre les deux.
Les organisations syndicales de salariés ont également la capacité d’engager une action de groupe afin de faire cesser un manquement au RGPD.
Enfin, l’employeur qui collecte des données personnelles par un moyen frauduleux, déloyal ou illicite encourt une condamnation pénale de 5 ans d’emprisonnement et de 300 000 euros d’amende.
En conclusion
Afin de protéger l’employeur d’un éventuel manquement au RGPD, il apparaît essentiel de désigner un délégué à la protection des données (ci-après « DPO »).
La désignation d’un DPO permet d’éviter une violation des données personnelles du salarié et d’alerter le dirigeant sur les mesures à mettre en place pour être conforme au RGPD.
Aujourd’hui, le salarié dispose d’un véritable droit de protection de ses données personnelles lui garantissant même une limitation de celles-ci dans leur utilisation par l’employeur.
Enfin, retenez qu’un salarié peut engager la responsabilité de son employeur pour le non-respect des dispositions du RGPD concernant le traitement de ses données.