Aucune donnée n’échappera au nouveau Règlement général de la protection des données (RGPD) qui entre en vigueur le 25 mai 2018 ! 

Les données personnelles des collaborateurs sont couvertes comme les autres par le RGPD. Tout comme un client ou un consommateur, un salarié bénéficie d’un droit d’accès à ses données personnelles. Il a la possibilité de demander une modification, voire l’effacement de ses données dans la base RH de son employeur. A découvrir les 8 idées reçues sur le RGPD.

 

1 –  J’ai pris des photos de la soirée de fin d’année des salariés de l’entreprise que j’ai publié sur la page de l’entreprise d’un grand réseau social. Je peux le faire librement et je n’ai pas besoin de recueillir leur accord pour le faire.

Faux : la photo est une donnée personnelle des salariés et avec l’Intelligence artificielle et les algorithmes des gros opérateurs de BIG DATA (réseau sociaux, moteurs de recherche, sites marchands), retrouver les identités est chose aisée !

 

2 – Je garde les CV des candidats que je n’ai pas retenu et je me réserve de les solliciter au cas où j’aurais un emploi plus en adéquation. Je peux le faire sans contrainte.

Vrai et … faux : garder un CV pour se réserver la possibilité de sourcer sur cette réserve est possible à condition que le candidat soit informé de cette rétention et qu’il est donné son accord. Enfin, la CNIL estime que cette durée de conservation de peut excéder 2 ans. En revanche, si je dois « effacer » la donnée et ne plus l’utiliser, je me dois de l’archiver pour pouvoir la ressortir en cas de litige comme une poursuite pour discrimination à l’embauche qui n’est prescrite qu’au bout de 5 ans. Autrement dit, je peux accéder au CV et dossier de candidature pendant 2 ans mais je devrais archiver ce dossier pour des fins de respect du droit du travail pendant 3 années supplémentaires.

 

3 – Je n’ai pas besoin d’informer des candidats à un emploi sur le traitement des données que je fais ou sur la possibilité de transférer ces données à un tiers (pour une analyse graphologique par exemple) ; s’ils sont candidat, c’est en connaissance de cause

Faux : il faut qu’un candidat sache ce que vous comptez faire de ce qu’il vous confie … et qu’il puisse éventuellement faire valoir ses droits (accès et rectification, etc.).

 

4- Je dois conserver les traces d’une candidature pendant 5 ans en cas de mise en cause pour discrimination à l’embauche. Or, un candidat non retenu me contacte quelque mois après et exige l’effacement de ces données ! Comment concilier les deux ?

Effacement ne veux pas dire destruction mais simplement que vous ne pouvez utiliser les données de cette personne ; vous devez donc les stocker en lieu sûr et vous assurer que personne n’y a accès en dehors du motif légitime de désarchivage à des fins contentieuses. Au-delà de 5 ans, vous pourrez détruire ces données.

 

5 – Dans le cas où je confie le traitement des données à caractère personnel dont je dispose (de mes salariés…), je dois formaliser ma relation avec le sous-traitant/prestataire par un contrat.

Vrai : le RGPD exige que le traitement de données personnelles par un sous-traitant soit régi par un contrat prévoyant notamment que le sous-traitant ne traite les données qui lui sont confiées que conformément aux instructions de l’entreprise, qu’il avertisse l’entreprise en cas de faille de sécurité, qu’il mette en place des mesures de sécurité appropriées ou encore qu’il supprime les données personnelles à la fin de sa mission. Le contrat permet à l’entreprise d’engager la responsabilité contractuelle de son sous-traitant en cas de manquement.

 

6 – Je dois demander le consentement du salarié pour traiter ses données personnelles.

Faux … heureusement ! Le traitement des données personnelles d’un salarié est nécessaire à l’exécution du contrat de travail. Le consentement du salarié n’est donc pas nécessaire. Toutefois, pour les données qui ne sont pas directement liées au contrat de travail, mais qui sont nécessaires pour que le salarié puisse bénéficier d’avantages, comme le Comité d’entreprise par exemple (nombre d’enfants, âge des enfants par exemple), les données ne peuvent être collectées qu’avec le consentement du salarié. Et de toute façon, même si le consentement du salarié n’est pas requis, cela ne nous dispense pas de l’informer du traitement des données et notamment de leur éventuelle sous-traitance à un gestionnaire de paye. Attention à la rétention de données dont je n’ai plus l’utilité ou sans relation avec l’emploi. Ainsi, détenir une copie d’une carte grise pour justifier de l’accès au parking d’entreprise est justifié tant que le salarié bénéficie de cet accès. En revanche, détenir la copie du permis de conduire d’un salarié qui n’utilise pas de véhicule à titre professionnel ou les véhicules mis à disposition par l’entreprise est injustifié. Demander un numéro de téléphone personnel ou une adresse mail personnelle doit être dûment justifié et assorti d’une finalité licite et légitime.

 

7 – Le numéro de sécurité sociale est une donnée personnelle.

Vrai : le numéro de sécurité sociale est unique et permet d’identifier un individu de manière certaine. Il s’agit donc d’une donnée personnelle sensible nécessitant des garanties supplémentaires et qui ne peut pas être traitée ou collectée arbitrairement.

 

8 – Afin de sécuriser les données personnelles, seuls les salariés de l’entreprise et tous les salariés peuvent y avoir accès.

Faux : l’accès aux données personnelles doit être restreint en fonction des objectifs poursuivis. Tous les salariés ne peuvent donc pas avoir accès à l’ensemble des données personnelles traitées ou stockées dans l’entreprise, ce qui implique qu’il y ait un cloisonnement en interne afin de donner des habilitations nécessaires à certains salariés en fonction des tâches qu’il a à exécuter. A l’inverse, il peut être justifié que certaines personnes extérieures à l’entreprise puissent avoir accès à ces données personnelles. Par exemple, dans le cadre de la gestion externalisée de la paie, les administrateurs internes ou externes peuvent avoir accès aux données, de même que les sous-traitants en charge de la gestion de la paie. En interne, seuls les RH et éventuellement la direction financière peuvent avoir accès aux données de leurs salariés. L’accès aux données nécessaires à la gestion de la paie doit donc être strictement limité à ces personnes.