RGPD

Mise à jour : 04 mai 2022
En quoi les RH sont-elles concernées par le RGPD ?
En quoi les RH sont-elles concernées par le RGPD ?
Comment les données collectées doivent-elles être traitées ?
Comment les données collectées doivent-elles être traitées ?
Registre des traitements de données : quelles sont les obligations de l'employeur ?
Registre des traitements de données : quelles sont les obligations de l'employeur ?
Qu'est-ce que le délégué à la protection des données ?
Qu'est-ce que le délégué à la protection des données ?
Quelles informations l'employeur doit-il fournir aux salariés et au CSE ?
Quelles informations l'employeur doit-il fournir aux salariés et au CSE ?
Comment l'entreprise doit-elle gérer les données les plus sensibles ?
Comment l'entreprise doit-elle gérer les données les plus sensibles ?
Analyses d'impact : quand et comment les élaborer ?
Analyses d'impact : quand et comment les élaborer ?
Comment la Cnil contrôle-t-elle l'application du RGPD ?
Comment la Cnil contrôle-t-elle l'application du RGPD ?
Quelles actions et sanctions peuvent être prononcés par la Cnil ?
Quelles actions et sanctions peuvent être prononcés par la Cnil ?
L'essentiel Les points de vigilance

L'employeur a l'obligation d'informer les salariés de la collecte de leurs données. L'information doit porter à la fois sur les caractéristiques du traitement de données et sur les droits des salariés sur leurs données personnelles.

Par ailleurs, le comité social et économique doit être tenu des traitements de données automatisés de gestion du personnel.

Tout ouvrir

Quelles sont les obligations d'information de l'employeur ?

L'employeur doit informer les salariés sur les données personnelles qu'il collecte et les traitements qu'il met en œuvre dans l'entreprise d'une façon concise, transparente, compréhensible et aisément accessible : par écrit ou, lorsque cela est approprié, par voie électronique .

Exemple

Les candidats à un poste dans l'entreprise peuvent être informés de la collecte de leur données lorsqu'ils déposent leur CV sur le site internet de l'entreprise. Cette information peut être donnée dans une fenêtre Pop-up qui s'ouvre lorsque le candidat souhaite enregistrer ses données.

Concrètement, les informations suivantes doivent être communiquées s'agissant de chaque traitement automatisé de données personnelles :

  • l'identité et les coordonnées du responsable du traitement (l'employeur)
  • la base légale du traitement (c'est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s'agir du consentement des personnes concernées, du respect d'une obligation prévue par un texte, de l'exécution d'un contrat, etc.)
  • les finalités poursuivies par le traitement auquel les données sont destinées
  • le caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l'utilité de collecter ces données au vu de l'objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données
  • les destinataires ou catégories de destinataires des données (qui a besoin d'y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants)
  • la durée de conservation des données (ou critères permettant de la déterminer)
  • les droits des personnes concernées (les droits d'accès, de rectification, d'effacement et à la limitation sont applicables pour tous les traitements, voir )
  • le droit d'introduire une réclamation auprès de la Cnil et les coordonnées de la commission
  • s'il existe, les coordonnées du délégué à la protection des données de l'entreprise (voir )
  • l'existence d'un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d'accéder aux documents autorisant ce transfert
  • l'existence d'une prise de décision automatisée ou d'un profilage, les informations utiles à la compréhension de l'algorithme et de sa logique, ainsi que les conséquences pour la personne concernée.

Le CSE est-il informé sur les traitements de données ?

Oui, le CSE doit être informé sur les traitements automatisés de gestion du personnel préalablement à leur introduction dans l'entreprise, ainsi qu'en cas de modification .

Remarque

Il s'agit d'une simple information et non d'une consultation.

À quel moment l'employeur doit-il informer les salariés du traitement de leurs données ?

L'employeur doit informer les salariés :

  • lors de la collecte de leurs données
  • en cas de modification substantielle ou d'événement particulier, notamment :
    • s'il a subi, par erreur ou par négligence, de manière accidentelle ou illicite, une violation de données à caractère personnel, c'est-à-dire la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles
    • et si la violation de ces données présente un risque élevé pour les droits et libertés des personnes concernées.

Attention

L'employeur doit également signaler la violation des données personnelles à la Cnil dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés.

Quels sont les droits des salariés sur leurs données ?

Les salariés dont les données sont collectées dispose des droits suivants :

  • droit d'information : c'est le droit d'être informé de la collecte et du traitement des données (voir ) mais également la possibilité pour le salarié d'obtenir la confirmation que ses données sont ou ne sont pas traitées
  • droit d'accès aux données : le salarié a un droit d'accès à ses données, ainsi qu'aux informations qui doivent lui être transmises au moment de leur collecte (RGPD, Règl. UE, no 2016-679, 27 avr. 2016, art. 15)
  • droit de rectification des données inexactes et de les compléter (RGPD, Règl. UE, no 2016-679, 27 avr. 2016, art. 16)
  • droit à l'oubli : le salarié peut faire effacer des données le concernant par le mécanisme du « droit à l'oubli », notamment lorsqu'elles ne sont plus nécessaires au regard de la finalité du traitement, lorsqu'il retire son consentement à la collecte de ses données, ou lorsque ces données ont fait l'objet d'un traitement illicite (RGPD, Règl. UE, no 2016-679, 27 avr. 2016, art. 17)
  • droit à la portabilité des données : le salarié peut obtenir que les données soient directement transmises d'un responsable de traitement à un autre (RGPD, Règl. UE, no 2016-679, 27 avr. 2016, art. 20)
  • droit de s'opposer à la collecte des données : le salarié a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de données à caractère personnel. L'employeur doit alors arrêter le traitement des données concernées, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés du salarié, ou pour la constatation, l'exercice ou la défense de droits en justice (RGPD, Règl. UE, no 2016-679, 27 avr. 2016, art. 21).

L'employeur doit instaurer des procédures effectives permettant aux salariés d'exercer leurs droits sur leurs données personnelles, en identifiant à qui ils doivent s'adresser (RGPD, Règl. UE, no 2016-679, 27 avr. 2016, art. 12).

Des outils pour aller plus loin
  Modèles
Pour afficher ce contenu :
créez votre compte gratuitement !
Je suis déjà inscrit
Pour afficher ce contenu :
créez votre compte gratuitement !
Je suis déjà inscrit
Attention

L'employeur doit également signaler la violation des données personnelles à la Cnil dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés.