Retour au thème "RGPD"
L'essentiel Le droit en tableau Les points de vigilance

Les données personnelles contenues dans les traitements doivent être :

  • traitées de manière licite, loyale et transparente pour les salariés concernés
  • collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités définies
  • exactes et tenues à jour
  • conservées sous une forme permettant l'identification des salariés concernées pendant une durée qui n'excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle.

Quelles sont les conditions pour créer un traitement de données ?

Un traitement de données peut être crée si :

  • s'appuie sur une base légale
  • il poursuit des finalités déterminées, explicites et légitimes.
Attention
Lorsqu'une donnée est recueillie au titre d'une finalité, elle ne doit pas être réutilisées pour un autre objectif qui serait incompatible avec celui envisagé initialement.

La base légale du traitement de données doit être l'une des suivantes (RGPD, ) :

  • le salarié a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques
  • le traitement est nécessaire à l'exécution du contrat de travail
  • le traitement est nécessaire au respect d'une obligation légale à laquelle l'employeur est soumis
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux du salarié ou d'une autre personne physique
  • le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l'employeur, à moins que ne prévalent les intérêts, libertés et droits fondamentaux du salarié.
Remarque
En règle générale, les traitements de données liés à la gestion des ressources humaines sont nécessaires à l'exécution du contrat de travail ou répondent à une obligation légale.
Attention
La Cnil estime qu'en raison du lien du subordination qui lie le salarié à son employeur, le salarié est rarement en mesure de donner un consentement pleinement libre. Le consentement du salarié comme base légale pour tenir un traitement de données doit donc être limité aux situations où l'acceptation ou le refus du salarié n'entraine aucune conséquence pour lui (Cnil, Délib. nº 2019-160, 21 nov. 2019).        
Exemple
Voir le tableau Finalités et bases légales les plus courantes en matière de gestion des ressources humaines (Cnil Délib. nº 2019-160, 21 nov. 2019).

Quelles données peuvent être collectées ?

Il s'agit des données pertinentes et strictement nécessaire aux finalités poursuivies (voir question dédiée). Elles doivent être exactes et tenues régulièrement à jour.

Exemple
Voir tableau sur les données pouvant être collectées et traitéesselon les finalités du traitement en gestion des ressources humaines (Cnil Délib. nº 2019-160, 21 nov. 2019).

Sur les données qu'il est interdit de collecter : voir question dédiée.

Est-il interdit de collecter certaines données ?

Les traitements révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, biométriques, concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits (RGPD, ).

Le RGPD interdit de recueillir ou d'utiliser ces données, sauf dans les cas suivants :

  • si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée)
  • si les informations sont manifestement rendues publiques par la personne concernée
  • si elles sont nécessaires à la sauvegarde de la vie humaine
  • si leur utilisation est justifiée par l'intérêt public et autorisé par la Cnil
  • si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.
Attention
Un logiciel ne doit pas avoir pour finalité de rechercher et de constater l'existence d'infractions pénales (par exemple en matière de pédopornographie). La recherche d'infractions pénales est en effet interdite pour les employeurs de droit privé ().

Dans quel cas l'entreprise est-elle autorisée à utiliser le numéro de sécurité sociale des salariés ?

Le numéro de sécurité social (dit aussi NIR : numéro d'inscription au répertoire) ne peut être utilisé que dans les cas ci-dessous :

  • pour remplir leurs obligations déclaratives nécessitant le numéro de sécurité sociale, notamment la déclaration préalable à l'embauche (DPAE)
  • pour le traitement automatisé de la paie et de la gestion du personnel résultant de dispositions légales ou réglementaires et de conventions collectives concernant les déclarations, les calculs de cotisations
  • lorsqu'il s'agit d'une entreprise de travail temporaire : pour la tenue et la transmission des relevés mensuels des contrats de mission
  • pour l'instruction, le suivi et la gestion des dossiers des accidents de service, des accidents du travail et des maladies professionnelles dont sont victimes les agents en activité ou retraités, et la gestion des demandes de surveillance médicale postprofessionnelle des agents ayant été exposés à un risque professionnel pendant l'exercice de leurs fonctions : les agents habilités des employeurs publics ainsi que ceux de leurs tiers mandatés, les agents habilités des employeurs privés et les médecins du travail et de prévention.

Combien de temps les données peuvent-elles être conservées ?

Les données doivent être conservées pendant le temps strictement nécessaire mais pas au-delà : tout dépend de la réalisation des finalités poursuivies.

Exemple
Voir tableau la durée de conservation des données en gestion des ressources humaines (Cnil Délib. nº 2019-160, 21 nov. 2019).

La durée de conservation des données doit être déterminée en amont de leur traitement et le salarié doit en être informé.

Comment les données doivent-elles être sécurisées ?

L'employeur doit mettre en place des dispositifs de protection permettant de sécuriser ces données contre des risques de perte ou de piratage.

Il doit donc veiller à utiliser des logiciels sécurisés, des antivirus sûrs et régulièrement mis à jour, procéder à des changements réguliers de mots de passe, effectuer des sauvegardes régulières, sécuriser les accès Wi-fi, ou encore mettre en place une charte informatique définissant des bonnes pratiques afin de limiter les risques d'intrusion malveillante. Il doit limiter le nombre de personnes ayant accès aux données.

Astuce
En ce qui concerne les traitements en gestion du personnel, La Cnil encourage l'employeur à adopter des mesures de sécurité aux formes diverses (Cnil Délib. nº 2019-160, 21 nov. 2019) :
  • sensibilisation, authentification des utilisateurs et gestion des habilitations
  • traçage des accès et incidents
  • sécurisation des postes de travail, des dispositifs mobiles, du réseau informatique, des serveurs, des sites web, des sauvegardes, de l'archivage et des échanges avec l'extérieur
  • fixation des modalités de maintenance et destruction des données
  • gestion de la sous-traitance éventuelle
  • protection des locaux
  • encadrement des développements informatiques
  • usage de fonctions cryptographiques.
  • Pour afficher ce contenu :
    créez votre compte gratuitement !

    Finalités et bases légales les plus courantes des traitements de données de gestion du personnel, selon la Cnil

    Activité de traitement

    Finalités

    Base légaleenvisageable

    Recrutement

    Traitement des candidatures (CV et lettre de motivation) et gestion des entretiens

    Mesures précontractuelles

    Constitution d'une CV-thèque

    Intérêt légitime

    Gestion administrative

    du personnel

    Gestion du dossier professionnel des employés (tenu conformément aux dispositions législatives, réglementaires, statutaires, conventionnelles et contractuelles)

    Exécution du contrat

    Réalisation d'états statistiques ou de listes d'employés pour répondre à des besoins de gestion administrative

    Intérêt légitime

    Gestion des annuaires internes et des organigrammes

    Intérêt légitime

    Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement

    Intérêt légitime

    Gestion des élections professionnelles

    Obligation légale

    Organisation des réunions du CSE et des instances représentatives du personnel

    Obligation légale

    Gestion des rémunérations et accomplissement des formalités administratives

    Établissement des rémunérations et mise à disposition des bulletins de salaire

    Exécution du contrat

    Déclaration sociale nominative (DSN)

    Obligation légale

    Mise à disposition

    des personnels d'outilsinformatiques

    Suivi et maintenance du parc informatique

    Intérêt légitime

    Gestion des annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux

    Intérêt légitime

    Mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux

    Intérêt légitime

    Gestion de la messagerie électronique professionnelle

    Intérêt légitime

    Réseaux privés virtuels internes à l'organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet)

    Intérêt légitime

    Organisation du travail

    Gestion des agendas et projets professionnels

    Intérêt légitime

    Suivi des carrières

    et de la mobilité

    Évaluation professionnelle des personnels (dans le respect des dispositions législatives, réglementaires et conventionnelles)

    Intérêt légitime

    Gestion des compétences professionnelles internes

    Intérêt légitime

    Gestion prévisionnelle de l'emploi et des compétences (GPEC)

    Intérêt légitime

    Gestion de la mobilité professionnelle

    Exécution du contrat

    Formation

    Gestion des demandes de formation et des périodes de formation effectuées

    Exécution du contrat

    Organisation des sessions de formation et évaluation des connaissances et des formations

    Intérêt légitime

    Gestion des aides sociales

    Gestion de l'action sociale et culturelle directement mise en œuvre par l'employeur (hors activités de médecine du travail, de service social ou de soutien psychologique)

    Intérêt légitime

    Données pouvant être collectées et traitées selon les finalités du traitement en gestion des ressources humaines

    Catégorie de données

    Exemples de données

    Identification du salarié

    Données relatives à l'identité : nom, prénom, photographie (facultatif), sexe, date et lieu de naissance, nationalité, coordonnées professionnelles, coordonnées personnelles (facultatif), références du passeport (uniquement pour les personnels amenés à se déplacer à l'étranger), situation familiale, situation matrimoniale, enfants à charge, type de permis de conduire

    Données relatives à la situation professionnelle : lieu de travail, date d'entrée dans l'entreprise, numéro d'identification interne, ancienneté, emploi occupé et coefficient hiérarchique, section comptable, nature du contrat de travail, taux d'invalidité, reconnaissance de la qualité de travailleur handicapé, invalide pensionné, mutilé de guerre ou assimilé

    Données relatives au titre valant autorisation de travail : type, numéro d'ordre et copie du titre pour les salariés étrangers

    Coordonnées des personnes à prévenir en cas d'urgence

    Distinctions honorifiques

    Suivi de la carrièreet de la formationdu salarié

    Gestion de la carrière : date et conditions de recrutement, date, objet et motif des modifications apportées à la situation professionnelle, simulation de carrière, desiderata en termes d'emploi, sanctions disciplinaires à l'exclusion de celles consécutives à des faits amnistiés

    Évaluation professionnelle : dates des entretiens d'évaluation, identité de l'évaluateur, compétences professionnelles, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l'emploi occupé, observations et souhaits formulés par le salarié, prévisions d'évolution de carrière

    Formation : diplômes, certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations

    Suivi administratif des visites médicales : dates des visites, aptitude au poste de travail (apte ou inapte, propositions d'adaptation du poste de travail ou d'affectation à un autre poste de travail formulées par le médecin du travail)

    Établissement des fiches de paie et obligations légales connexes

    Numéro de sécurité sociale, numéros attribués par les organismes d'assurances sociales, de retraite et de prévoyance, situation familiale, situation matrimoniale, enfants à charge, régime et base de calcul de la rémunération, éléments déterminant l'attribution d'un complément de rémunération, congés et absences donnant lieu à retenues déductibles ou indemnisables, ainsi que toute retenue légalement opérée par l'employeur, frais professionnels, taux de prélèvement à la source, données transmises via la DSN

    Validation des acquisde l'expérience

    Date de la demande, diplôme, titre ou certificat de qualification concerné, expériences professionnelles soumises à validation, validation (oui/non), date de la décision

    Gestion des déclarations d'accident du travail et de maladie, autres absences

    Coordonnées du médecin du travail, date de l'accident ou de la première constatation médicale de la maladie, date du dernier jour de travail, date de reprise, motif de l'arrêt (accident du travail ou maladie professionnelle), travail non repris à ce jour et autres éléments nécessaires auxdites déclarations

    Sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d'heures de délégation

    Données relatives à l'exercice d'un mandat électif ou représentatif syndical, la participation à la réserve opérationnelle ou aux missions de sapeur-pompier volontaire

    Outils et matériel misà la dispositionde l'employé dansle cadre de ses missions professionnelles

    Annuaires internes et organigrammes : nom, prénom, photographie (facultatif), fonction, coordonnées professionnelles, formation et réalisations professionnelles

    Agendas professionnels : dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes

    Tâches des personnels : identification des personnels concernés, répartition des tâches

    Outils et matériel misà la dispositionde l'employé dansle cadre de ses missions professionnelles

    Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement : gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires

    Annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux

    Données de connexion enregistrées pour assurer la sécurité et le bon fonctionnement des applications et des réseaux informatiques, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des salariés

    Messagerie électronique : carnet d'adresses, comptes individuels, à l'exclusion de toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les salariés

    Réseaux privés virtuels de diffusion ou de collecte de données de gestion administrative des personnels (intranet) : formulaires administratifs internes, organigrammes, espaces de discussion, espaces d'information

    Activités socialeset mises en œuvrepar l'employeur

    Identité de l'employé et de ses ayants droit ou ouvrants droit, revenus, avantages et prestations demandés et servis

    Relations avec le CSE

    Convocations, documents préparatoires, comptes rendus, procès-verbaux divers

    Durée de conservation des données en gestion des ressources humaines

    Activités detraitement

    Détails dutraitement

    Base active

    Archivageintermédiaire

    Textesde référence

    Gestion de la paie

    Bulletin de salaire

    1 mois

    5 ans

    50 ans en version dématérialisée

    Éléments nécessaires au calcul de l'assiette

    1 mois

    6 ans

    Saisie des données calculées (DSN)

    Durée nécessaire à l'accomplissement de la déclaration

    6 ans

    Ordre de virement pour paiement

    Durée nécessaire à l'émission du bulletin de paie

    10 ans à compter de la clôture de l'exercice comptable

    C. com.,

    art. L. 123-22

    Registre uniquedu personnel

     

    Durée de présence du salarié dans les effectifs

    5 ans à compter

    du départ du salarié

    C. trav.,

    art. R. 1221-26

    Gestiondes mandatsdes représentants du personnel

    Nature du mandat et syndicat d'appartenance

    6 mois après la fin du mandat

    6 ans

    Les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à crédit d'heures de délégation

    Durée de la période de sujétion de l'employé concerné

    6 ans

    C. trav.,

    art. L. 2142-1-3

    Pour afficher ce contenu :
    créez votre compte gratuitement !
    Attention

    Un logiciel ne doit pas avoir pour finalité de rechercher et de constater l'existence d'infractions pénales (par exemple en matière de pédopornographie). La recherche d'infractions pénales est en effet interdite pour les employeurs de droit privé ().

    La Cnil estime qu'en raison du lien du subordination qui lie le salarié à son employeur, le salarié est rarement en mesure de donner un consentement pleinement libre. Le consentement du salarié comme base légale pour tenir un traitement de données doit donc être limité aux situations où l'acceptation ou le refus du salarié n'entraine aucune conséquence pour lui (Cnil, Délib. nº 2019-160, 21 nov. 2019).        

    Lorsqu'une donnée est recueillie au titre d'une finalité, elle ne doit pas être réutilisées pour un autre objectif qui serait incompatible avec celui envisagé initialement.

    Astuce

    En ce qui concerne les traitements en gestion du personnel, La Cnil encourage l'employeur à adopter des mesures de sécurité aux formes diverses (Cnil Délib. nº 2019-160, 21 nov. 2019) :

  • sensibilisation, authentification des utilisateurs et gestion des habilitations
  • traçage des accès et incidents
  • sécurisation des postes de travail, des dispositifs mobiles, du réseau informatique, des serveurs, des sites web, des sauvegardes, de l'archivage et des échanges avec l'extérieur
  • fixation des modalités de maintenance et destruction des données
  • gestion de la sous-traitance éventuelle
  • protection des locaux
  • encadrement des développements informatiques
  • usage de fonctions cryptographiques.
  • Retour au thème "RGPD"