Le Règlement Général de Protection des Données est entré en vigueur le 25 mai 2018, apportant à tout citoyen européen une réelle protection de ses données personnelles. Le RGPD s’applique également aux informations collectées par un employeur sur ses salariés dans le cadre professionnel. Voyons de quelle façon la collecte d’informations est encadrée et quelles règles doivent être respectées par l’employeur.
Sommaire
RGPD lors du Processus de Recrutement
Il est courant que le recruteur demande un certain nombre d’informations à un candidat. Il ne peut néanmoins pas demander n’importe quelle information. Ce qu’il est en droit de demander est limité aux informations nécessaires pour vérifier que les capacités et les compétences du candidat sont en adéquation avec le poste visé. Des informations concernant l’entourage du candidat, un éventuel engagement syndical ou des opinons politiques par exemple ne peuvent pas être demandées.
Les informations recueillies durant le processus ne doivent en aucun cas être accessibles à des personnes extérieures au recrutement. De plus, si le candidat n’est pas retenu, il n’est possible de conserver les informations recueillies qu’avec l’accord explicite du candidat. Dans ce cas, les données pourront être conservées deux ans maximum. Au-delà de ce délai, elles devront être détruites.
RGPD dans la Gestion du Personnel
L’entreprise possède de nombreuses informations sur ses salariés afin d’assurer la gestion du personnel. Certaines sont directement liées au métier exercé ou au poste occupé. Dans cette catégorie peuvent se retrouver les copies des diplômes et certifications obtenus par le salarié ou encore un relevé d’identité bancaire pour la paie ou un taux d’imposition pour le prélèvement à la source. Des informations personnelles peuvent également être collectées, comme les coordonnées d’une personne à joindre en cas d’urgence.
L’employeur ne doit collecter que les données dont il a réellement besoin pour la gestion de son personnel. D’autre part, il a l’obligation d’en assurer la sécurité. Un contrôle d’accès strict doit être mis en place afin que seules les personnes possédant les habilitations nécessaires puissent y avoir accès.
La plupart des informations peuvent être conservées durant toute la durée pendant laquelle le salarié est présent dans l’entreprise. Certains documents doivent cependant être conservés plus longtemps. Le contrat de travail ou les fiches de paie doivent par exemple être conservées durant cinq années.
RGPD des Accès aux Locaux et Horaires de Travail
La collecte d’informations concernant les accès aux locaux ou aux horaires de travail des salariés est tout à fait légale. Elles peuvent notamment être utiles à la sécurité de l’entreprise, au contrôle de restriction de circulation dans certaines zones. S’il est possible de savoir qui était dans l’entreprise et à quelle heure, il est plus facile de gérer les flux d’entrées et de sorties ou même de cantine. Il est également possible d’obtenir instantanément une liste d’appel en cas d’évacuation d’un bâtiment ou de contrôler le taux de remplissage des locaux vis-à-vis de contraintes Covid-19 par exemple.
Si la collecte des données a pour objectif de calculer le temps de travail effectif de chaque salarié, elle doit faire l’objet d’une information particulière. Tous les salariés ainsi que les instances représentatives du personnel doivent être informés de l’utilisation de cet outil. Les informations recueillies ne doivent être accessibles qu’à un nombre très limités de personnes : gestion du personnel, gestion de la paie et sécurité de l’entreprise. Ces données doivent être conservées durant cinq années.
L’employeur fournit généralement à ses salariés un certain nombre d’outils informatiques nécessaires à leurs activités. Ainsi, les dossiers produits, emails envoyés et reçus ainsi que l’historique de recherche des navigateurs sont considérés comme étant à caractère professionnel. L’employeur a donc toute latitude pour en prendre connaissance.
Néanmoins, si des contrôles sont réalisés, ils doivent respecter la vie privée des salariés. Le contenu d’un courrier ou un email dont le caractère privé est évident, d’après le sujet du message par exemple, ne pourra pas être consulté par l’employeur.
L’employeur peut également mettre en place un système de contrôle de l’utilisation d’Internet et de la messagerie. L’objectif est alors d’assurer la sécurité du système d’information et de se prémunir contre les cyberattaques, ainsi que limiter l’utilisation des outils informatiques à des fins personnelles. Attention cependant, il est interdit d’utiliser un système d’enregistrement des actions effectuées par un salarié sur son ordinateur ou d’accéder à des fichiers personnels.
Les informations concernant l’utilisation des outils informatiques peuvent être conservées durant six mois.
Droit d’accès du salarié à son dossier professionnel
Tout salarié ou ancien salarié peut demander l’accès à ses informations personnelles. Il doit adresser sa demande par écrit ou par email soit à la direction des ressources humaines, soit au Délégué à la protection des données de l’entreprise.
L’employeur doit répondre à toute demande dans un délai d’un mois maximum après sa réception. Tout dépassement de ce délai peut faire l’objet d’une réclamation du salarié auprès de la CNIL.
Pour conclure sur la Protection des données des salariés
L’employeur a la possibilité de collecter des données personnelles sur ses salariés. Néanmoins, cette pratique est bien encadrée par le RGPD. Il n’est pas question de récupérer n’importe quelle information. Toutes les informations sont identifiées et doivent répondre à un besoin précis. Le salarié doit bien entendu avoir accès à toutes ses informations personnelles collectées.