Gestion RH

RGPD et données personnelles des salarié·es

par | 18 Juin 2022

Le RGPD (Règlement Général sur la Protection des Données) implique aussi de prendre en compte les données des salarié·es de l’entreprise. En effet, leurs données personnelles sont nombreuses. On peut citer par exemple : coordonnées (de contact et bancaire), salaire, mutuelle, mais aussi compte-rendu d’entretien, demande de formation ou même relevé de badgeuse…

Les recommandations RGPD

D’un point de vue général, la CNIL recommande de :

  • ne demander aux salarié·es que les informations utiles. Par exemple, évitez de traiter des données « sensibles » telles que les opinions politiques, religion, origine ethnique, etc.
  • pour les données à risques (coordonnées bancaires, etc.), s’assurer de leur confidentialité et de leur sécurité. Il s’agit donc de faire une liste de personnes habilitées et de pouvoir enregistrer leurs actions (savoir qui se connecte à quoi, quand et pour faire quoi).

Il est aussi important d’être à jour dans les informations c’est-à-dire par exemple :

  • mettre à jour les accès lorsqu’il y a une mobilité (changement de manager, de RH, mobilité du salarié, etc.)
  • ne pas conserver les données d’anciens salarié·es (sauf en cas de contentieux)
  • un·e salarié·e peut vous demander de consulter son dossier personnel. Il comprend toutes les données le concernant (du recrutement au relevé de badgeuse en passant par ses demandes de formations, etc.). Il faut donc pouvoir lui répondre rapidement et au plus tard en 1 mois.

Pour traiter la question de manière détaillée, nous vous conseillons le guide dédié à la gestion des ressources humaines.

Les données liées au recrutement

Pendant un processus de recrutement, vous ne pouvez demander que des éléments en lien avec l’emploi à pourvoir. Exemple : vous ne pouvez pas demander à un·e candidat·e s’il a des enfants. Par contre, vous pouvez indiquer que le poste demande des déplacements réguliers et demander si cela ne pose pas de problème par rapport à sa vie personnelle.

Pour un·e candidat·e reçu·e, les données personnelles (numéro de sécurité sociale, etc.) ne peuvent être recueillies qu’à l’embauche. Les éléments de recrutement (cv, compte-rendu d’entretien) et d’embauche (carte vitale, carte d’identité) peuvent ensuite être conservés par l’entreprise.

Pour les candidat·es non-reçu·es, plusieurs options :

  • le ou la candidat·e demande la destruction de son dossier (cv, lettre de motivation, etc.)
  • il n’y a pas de demande du candidat·e, les données sont automatiquement détruites, au plus tard, 2 ans après le dernier contact
  • avec l’accord formel de la personne, une conservation plus longue est possible.

Plus globalement et pour information, vous pouvez consulter la partie dédiée au recrutement sur le site de la Cnil.

Les entretiens annuels et professionnels

Les compte-rendus d’entretiens annuels ou d’entretiens professionnels inclus des informations qui sont considérées comme confidentielles. Il peut s’agir des performances des salarié·es, des demandes de formation ou de mobilité, des souhaits d’évolution, remarques du N+1. Autant d’information qui, sans être aussi sensible que les coordonnées bancaires, n’ont pas vocation à être accessible à toutes et tous dans l’entreprise.

Sur les modalités d’accès, le même principe est donc appliqué pour l’ensemble des données, compte-rendu inclus : confidentialité et sécurité. On retrouve donc la question clé « Qui a accès à quoi et pour quoi faire ? »

Concernant, la durée de conservation, il n’existe aucune précision légale. Les recommandations de la CNIL indique, qu’à part en cas de contentieux (possible ou avéré), l’entreprise n’a pas à conserver les évaluations de ses anciens salariés (cf. Recommandations de la CNIL concernant les évaluations).

Les éléments liés au contrôle et à la surveillance

Il est possible de contrôler l’activité des salariés que ce soit en géolocalisant les véhicules ou en contrôlant l’accès internet par exemple. Mais tout n’est pas possible.

La CNIL met en avant 2 règles générales qui concernant le contrôle de l’activité :

  • Rester pondéré
    • Il y a un intérêt légitime à la surveillance
    • Il n’y a pas de mise sous surveillance permanente des salariés
  • Être transparent
    • les instances représentatives du personnel doivent être consultées
    • les employés doivent être informés de la mise en œuvre d’un dispositif de surveillance

NB : en fonction du type d’enregistrement, surveillance, géolocalisation, etc. des règles particulières peuvent être mises en place.

Vous trouverez différentes ressources thématiques sur le site de la CNIL.

Articles récents

Congés pour évènements familiaux

Comme vous le savez, tous les salariés ont droit à des congés payés. Mais il existe d'autres congés en entreprise dont notamment les congés pour évènements familiaux. Les congés pour évènements...

JOP 2024 : circulation et justificatifs

Les jeux olympiques et paralympiques sont un évènement d’envergure. S’ils vont être source d’opportunités, ils vont également avoir des impacts sur les professionnels et les particuliers...

Fausse-couche : nouvelles mesures RH

La loi de financement de la Sécurité Sociale 2024 met en place de nouvelles mesures RH pour améliorer l’indemnisation des femmes ayant subi une fausse-couche. Ces mesures complètent la loi de 2023...

Congés payés pendant les arrêts maladie : mettre à jour son entreprise

Les règles de calcul des congés payés pendant les arrêts maladie ont changé, voici quelques pistes pour mettre à jour son entreprise. Les changements Nous en parlions, il y a quelques mois, la Cour...

Refus d’un CDI après un CDD

La loi Marché du Travail de décembre 2022 met en place de nouvelles obligations lorsque l’employeur propose d’embaucher un·e salarié·e en CDI après un CDD ou une mission d’intérim. En effet,...