Nous contacter.
02 52 35 24 54
Qu’est-ce qu’une donnée à caractère personnel ?
Une donnée à caractère personnel concerne une personne physique et permet de l’identifier :
- directement (nom / prénom, photo, numéro de carte d’identité / sécurité sociale)
- indirectement (adresse postale, numéro de téléphone, mail, adresse IP etc.)
Le Règlement Général sur la Protection de Données (RGPD) s’applique dès lors qu’il y a traitement de données à caractère personnel : collecte, utilisation, organisation, conservation, et ce quel que soit le support (informatisé ou papier).
Le traitement des données à caractère personnel des salariés
Il existe deux cas de figure dans le cadre du traitement des données à caractère personnel des salariés.
En effet, le recueil de consentement n’est pas attendu lorsque le traitement des données entre dans le cadre des obligations de l’employeur : préparation d’un contrat de travail, exécution de contrat (paie, formation, médecine du travail …). Le traitement des données a comme base légale les obligations légales, règlementaires et conventionnelles.
Par contre, dès lors que l’employeur traite des données hors de ce cadre, il doit demander le consentement de la personne : par exemple recueil de la photo du salarié pour la réalisation d’un « trombinoscope ».
Quelles sont les obligations des employeurs concernant la protection des données personnelles des salariés ?
Les employeurs sont tenus de respecter diverses obligations quant au traitement des données à caractère personnel de leurs salariés.
Obligation de sécurité et de confidentialité
Le responsable du traitement des données de l’entreprise a pour obligation de mettre tous les moyens en œuvre afin de sécuriser les locaux où sont conservées les données, ainsi que le système d’information. L’objectif ? Prévenir les risques de vols, de modifications ou d’endommagement des données. Ainsi, assurez-vous également que seules les personnes habilitées puissent avoir accès à ces données.
La minimisation des données
En tant qu’entreprise, de nombreuses informations vous sont nécessaires afin de gérer vos employés au sein de votre entreprise. Toutefois veillez à ne collecter que les informations utiles nécessaires à leurs fonctions. La collecte doit être déterminée et répondre à une finalité précise. On parle de minimisation des données.
C’est notamment pour cela que les questions lors d’un recrutement ne doivent pas porter sur la vie personnelle du candidat (religion, statut marital, etc). Seules les informations utiles à l’égard du poste à pourvoir peuvent être collectées.
Obligation d’information et de transparence
Vous devez également informer vos salariés sur la méthode de gestion des données au sein de votre entreprise. Pour que le traitement soit loyal et licite, ils doivent notamment connaître :
- l’identité du responsable du fichier de traitement des données,
- la finalité du fichier (l’utilisation des données),
- le caractère obligatoire ou facultatif des réponses,
- leurs droits d’accès, de rectification, d’opposition, de suppression
- les destinataires des données,
- les éventuels transferts des données hors Union Européenne.
Cette obligation de transparence est définie dans les articles 12, 13 et 14 du RGPD. Elle permet ainsi aux salariés :
- de comprendre la raison de la collecte des différentes données les concernant,
- de comprendre quel sera le traitement desdites données,
- d’assurer la maîtrise de leurs données, et de l’application de leurs droits.
La mise en place du registre des traitements des données
La tenue du registre de traitement de données est obligatoire pour tous les organismes, privés ou publics, traitant des données à caractère personnel sur le territoire de l’Union Européenne, quelle que soit leur taille.
Les entreprises de moins de 250 salariés doivent y inscrire :
- les traitements non occasionnels,
- les traitements qui peuvent comporter un risque pour les droits des libertés des personnes,
- les traitements qui concernent des données dites sensibles.
Si votre entreprise comptabilise plus de 250 salariés alors vous êtes dans l’obligation de tenir un registre de l’ensemble des traitements.
La désignation d’un délégué à la protection des données (DPO)
Afin d’accompagner les entreprises pour la gestion et la protection des données à caractère personnel qu’elles collectent, le RGPD impose à certaines organisations de désigner un Délégué à la Protection des données. Ainsi, d’après l’article 37 du RGPD vous êtes dans l’obligation de désigner un DPO si vous faites parties des cas suivants :
- Autorités et organismes publics.
- Organismes qui traitent des données à caractère personnel à grande échelle de manière régulière.
- Organismes qui traitent des données sensibles à grande échelle.
Réalisation d’analyse d’impact
L’analyse d’impact sur la vie privée (AIVP) est également un point fondamental lié à la protection des données à caractère personnel de vos salariés.
Dès lors qu’il existe un risque élevé pour les droits et libertés des personnes (ex : utilisation de données bancaires, usurpation d’identité), alors le responsable de traitement doit mener une AIVP.
Cette analyse permet d’évaluer la gravité du risque, mais également d’en connaître la source, sa nature et ses caractéristiques.
Si le risque est avéré, alors la CNIL doit en être informée.
La sensibilisation de vos collaborateurs
La protection des données à caractère personnel ne concerne pas uniquement le pôle juridique ou RH de votre entreprise. Il est primordial que l’intégralité de vos salariés soient formés et sensibilisés aux enjeux que représente le traitement des données.
Vous pouvez les former sur les règles élémentaires de sécurité (ex : poste de travail verrouillé en cas d’absence), ou plus largement sur les règles internes de gestion des données (ex : ne pas divulguer des données de tiers à autrui).
Besoin d’être accompagné dans la gestion et la protection des données personnelles de vos salariés ?
Contactez AP3R Consulting, Cabinet de conseil RGPD à Angers et dans tout le grand ouest.