Gestion quotidienne & pilotage stratégique :
éliminez vos doutes, contactez un expert SVP

    Questions/Réponses sur la Webactu concernant l'impact du RGPD en matière RH : les droits du salarié 2/2

    19 juin 2019

    À la suite de la WEBACTU du 23 mai dernier sur l'impact du RGPD en matière RH, nous vous proposons cette publication sur les réponses apportées aux questions posées lors de cette conférence.

    1. Un employeur peut-il diffuser la date d'anniversaire de ses salariés ?

    La collecte des dates d'anniversaire des salariés est possible dans le cadre des traitements RH et paie. Pour pouvoir diffuser la date d'anniversaire, l'employeur doit justifier d'une raison légitime liée à la finalité RH ou paie du traitement. À défaut, la diffusion sera considérée comme illicite.

    2. Le comité d'entreprise ou le CSE a-t-il vocation à être responsable du traitement ?

    Le responsable du traitement est la personne physique ou morale. En matière de fonctionnement ou de gestion des activités sociales et culturelles, le comité d'entreprise (ou le CSE) pourra être amené à recueillir des données personnelles (nom, prénom, parfois noms des conjoints, téléphone, adresse etc.) et donc à être responsable du traitement car c'est bien lui qui détermine les finalités et les moyens du traitement de données personnelle utilisée dans le cadre des activités du CE/CSE.

    ll est tout à fait possible pour le CE ou le CSE de réclamer à l'employeur les données personnelles nécessaires au traitement de ses activités sociales et culturelles. Dans ce cas, le CE/CSE devra, en plus des éléments classiques découlant de son obligation d'information, informer les salariés de la source des données personnelles.

    Si le salarié refuse que le CE/CSE traite ses données dans le cadre des ASC, la conséquence, qui pourra être prévue par le règlement intérieur de l'instance, sera simple : soit il ne pourra pas prétendre aux prestations sociales du CE/CSE ou soit il ne pourra prétendre qu'au minimum des prestations sociales.

    3. Quelles sont les obligations vis-à-vis des candidats à un emploi ?

    Les obligations vis-à-vis des candidats à l'emploi sont les mêmes celles applicables vis-à-vis des salariés. Ainsi, l'employeur a l'obligation de fournir une information individuelle et écrite sur le traitement aux candidats à un emploi.

    4. Qui sont les salariés pouvant traiter les données personnelles et sont-ils soumis à une obligation de confidentialité ?

    L'employeur a l'obligation de limiter les salariés pouvant traiter au quotidien les données personnelles des salariés dans le cadre d'un traitement RH ou paie. Il n'est pas nécessaire qu'ils aient des identifiants nominatifs pour accéder aux données personnelles. Toutefois, dans le cadre de son obligation de sécurité, l'employeur doit garantir un accès sécurisé et limité aux données personnelles. En vertu du contrat de travail, les salariés sont soumis à une obligation de loyauté à l'égard de l'employeur. Néanmoins, il est préférable de prévoir une clause de confidentialité pour les salariés qui auront accès aux données personnelles RH ou paie.

    5. Un salarié peut-il s'opposer au traitement de données personnelles effectuées par son employeur ?

    En droit social, un salarié peut uniquement s'opposer aux traitements fondés sur un intérêt légitime de l'employeur comme par exemple les traitements de données relatifs à la vidéosurveillance basés sur une exigence de sécurité des biens et des personnes. Dans un tel cas, l'employeur ne peut plus traiter les données sauf s'il démontre l'existence de motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés du salarié

    6. Un salarié peut-il faire jouer son droit à limitation du traitement ?

    Le salarié peut demander à l'employeur de limiter le traitement de données le concernant ce qui aura pour conséquence d'obliger l'employeur à suspendre le traitement dans les situations suivantes :

    • contestation de l'exactitude des données traitées,

    • absence de licéité du traitement,

    • lorsque le salarié fait jouer son droit d'opposition le temps de vérifier la réalité des intérêts légitimes poursuivis par l'employeur,

    • besoin du salarié d'accéder à ses données traitées par l'employeur pour la défense d'un intérêt en justice alors que l'employeur souhaite supprimer ces données.

    Quand l'employeur met fin à la limitation du traitement, il doit en informer le salarié.

    7. Existe-t-il une limite au droit d'accès des salariés ?

    Il faut tout d'abord préciser qu'en présence de fichiers comportant des données personnelles appartenant à des salariés différents, l'employeur doit fournir au salarié qui le demande uniquement les données personnelles qui le concernent avec floutage des données personnelles de ses collègues pouvant apparaître au même endroit que les données personnelles qui font l'objet de la demande d'accès.

    D'après la CNIL, le droit d'accès peut parfois être limité notamment si les données personnelles des salariés en cause sont protégées par le secret des affaires, le secret médical, la propriété intellectuelle ou encore par le secret des correspondances.

    8. À quels types de données personnelles le salarié peut-il avoir accès ?

    Le salarié peut avoir accès à toutes les données personnelles traitées par l'employeur dans le cadre de l'exécution du contrat de travail comme par exemple les données relatives à :

    • son recrutement ;

    • son historique de carrière ;

    • l'évaluation de ses compétences professionnelles (entretiens annuels d'évaluation, notation) ;

    • ses demandes de formation et les éventuelles évaluations de celles-ci ;

    • son dossier disciplinaire ;

    • l'utilisation de son badge de contrôle d'accès aux locaux ;

    • ses données issues d'un dispositif de géolocalisation ;

    • tout élément ayant servi à prendre une décision à son égard (une promotion, une augmentation, un changement d'affectation, etc.). ;

    • il peut aussi s'agir des valeurs de classement annuel, parfois appelées " ranking ", ou de potentiel de carrière.

    9. Le numéro de sécurité sociale est-il une donnée sensible ?

    Si on s'en tient à la lettre du RGPD ou de la loi de 1978 modifiée, le numéro de sécurité sociale n'est pas une donnée sensible. Sans lui conférer le caractère d'une donnée sensible, la CNIL estime que le numéro de sécurité sociale, dénommé officiellement le numéro d'identification au répertoire (acronyme NIR), constitue une catégorie particulière de données. Elle autorise son utilisation pour les traitements relatifs à la paie dans le cadre du paiement des cotisations sociales mais elle l'interdit pour ce qui concerne les données RH. S'agissant de ces dernières, il est donc nécessaire de demander une autorisation préalable à la CNIL.

    Cette lettre est réalisée par : Antoine Schmidt, Richard Arjoun, Véronique Baroggi

    Les articles des experts SVP sur le même thème :