L'essentiel Les points de vigilance

L'employeur a l'obligation d'informer les salariés de la collecte de leurs données. L'information doit porter à la fois sur les caractéristiques du traitement de données et sur les droits des salariés sur leurs données personnelles.

Par ailleurs, le comité social et économique doit être tenu des traitements de données automatisés de gestion du personnel.

Quelles sont les obligations d'information de l'employeur ?

L'employeur doit informer les salariés sur les données personnelles qu'il collecte et les traitements qu'il met en œuvre dans l'entreprise d'une façon concise, transparente, compréhensible et aisément accessible : par écrit ou, lorsque cela est approprié, par voie électronique ().

Exemple
Les candidats à un poste dans l'entreprise peuvent être informés de la collecte de leur données lorsqu'ils déposent leur CV sur le site internet de l'entreprise. Cette information peut être données dans une fenêtre Pop-up qui s'ouvre lorsque le candidat souhaite enregistrer ses données.

Concrètement, les informations suivantes doivent être communiquées s'agissant de chaque traitement automatisé de données personnelles :

  • l'identité et coordonnées du responsable du traitement (l'employeur)
  • la base légale du traitement (c'est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s'agir du consentement des personnes concernées, du respect d'une obligation prévue par un texte, de l'exécution d'un contrat, etc.)
  • les finalités poursuivies par le traitement auquel les données sont destinées
  • le caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l'utilité de collecter ces données au vu de l'objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données
  • les destinataires ou catégories de destinataires des données (qui a besoin d'y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants)
  • la durée de conservation des données (ou critères permettant de la déterminer)
  • les droits des personnes concernées (les droits d'accès, de rectification, d'effacement et à la limitation sont applicables pour tous les traitements, voir question dédiée)
  • le droit d'introduire une réclamation auprès de la Cnil et les coordonnées de la commission
  • s'il existe, les coordonnées du délégué à la protection des données de l'entreprise (voir question dédiée)
  • l'existence d'un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d'accéder aux documents autorisant ce transfert
  • l'existence d'une prise de décision automatisée ou d'un profilage, les informations utiles à la compréhension de l'algorithme et de sa logique, ainsi que les conséquences pour la personne concernée.

À quel moment l'employeur doit-il informer les salariés du traitement de leurs données ?

L'employeur doit informer les salariés :

  • lors de la collecte de leurs données
  • en cas de modification substantielle ou d'événement particulier, notamment :
    • s'il a subi, par erreur ou par négligence, de manière accidentelle ou illicite, une violation de données à caractère personnelles, c'est à dire la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles
    • et si la violation de ces données présente un risque élevé pour les droits et libertés des personnes concernées.
Attention
L'employeur doit également signaler la violation des données personnelles à la Cnil dans les 72 heures si celle-ci est susceptible de représenter un risque pour les droits et libertés.

Le CSE est-il informé sur les traitements de données ?

Oui, le CSE doit être informé sur les traitements automatisés de gestions du personnel : préalablement à leur introduction dans l'entreprise ainsi que sur les modifications .

Remarque
Il s'agit d'une simple information, pas d'une consultation.

Quels sont les droits des salariés sur leurs données ?

Les salariés dont les données sont collectées dispose des droits suivants :

  • droit d'information : c'est le droit d'être informés de la collecte et du traitement des données (voir question dédiée) mais également la possibilité pour le salarié d'obtenir la confirmation que ses données sont ou ne sont pas traitées
  • droit d'accès aux données : le salarié a un droit d'accès à ces données, ainsi qu'aux informations qui doivent lui être données au moment de leur collecte (RGPD, ) (voir question dédiée)
  • droit de rectification des données inexactes et de les compléter (RGPD, )
  • droit à l'oubli : le salarié peut faire effacer des données le concernant par le mécanisme du « droit à l'oubli », notamment lorsqu'elles ne sont plus nécessaires au regard de la finalité du traitement, lorsqu'il retire son consentement à la collecte de ses données, ou lorsque ces données ont fait l'objet d'un traitement illicite (RGPD, )
  • droit à la portabilité des données : le salarié peut obtenir que les données soient directement transmises d'un responsable de traitement à un autre (RGPD, )
  • droit de s'opposer à la collecte des données : le salarié a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de données à caractère personnel. L'employeur doit alors arrêter le traitement des données concernées, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés du salarié, ou pour la constatation, l'exercice ou la défense de droits en justice (RGPD, ).

L'employeur doit instaurer des procédures effectives permettant aux salariés d'exercer leurs droits sur leurs données personnelles, en identifiant à qui ils doivent s'adresser (RGPD, ).

Des outils pour aller plus loin
Pour afficher ce contenu :
créez votre compte gratuitement !
Pour afficher ce contenu :
créez votre compte gratuitement !
Attention

L'employeur doit également signaler la violation des données personnelles à la Cnil dans les 72 heures si celle-ci est susceptible de représenter un risque pour les droits et libertés.