Nous contacter.
07 81 41 17 25
Une donnée à caractère personnel concerne une personne physique et permet de l’identifier :
Le Règlement Général sur la Protection de Données (RGPD) s’applique dès lors qu’il y a traitement de données à caractère personnel : collecte, utilisation, organisation, conservation, et ce quel que soit le support (informatisé ou papier).
Il existe deux cas de figure dans le cadre du traitement des données à caractère personnel des salariés.
En effet, le recueil de consentement n’est pas attendu lorsque le traitement des données entre dans le cadre des obligations de l’employeur : préparation d’un contrat de travail, exécution de contrat (paie, formation, médecine du travail …). Le traitement des données a comme base légale les obligations légales, règlementaires et conventionnelles.
Par contre, dès lors que l’employeur traite des données hors de ce cadre, il doit demander le consentement de la personne : par exemple recueil de la photo du salarié pour la réalisation d’un « trombinoscope ».
Les employeurs sont tenus de respecter diverses obligations quant au traitement des données à caractère personnel de leurs salariés.
Le responsable du traitement des données de l’entreprise a pour obligation de mettre tous les moyens en œuvre afin de sécuriser les locaux où sont conservées les données, ainsi que le système d’information. L’objectif ? Prévenir les risques de vols, de modifications ou d’endommagement des données. Ainsi, assurez-vous également que seules les personnes habilitées puissent avoir accès à ces données.
En tant qu’entreprise, de nombreuses informations vous sont nécessaires afin de gérer vos employés au sein de votre entreprise. Toutefois veillez à ne collecter que les informations utiles nécessaires à leurs fonctions. La collecte doit être déterminée et répondre à une finalité précise. On parle de minimisation des données.
C’est notamment pour cela que les questions lors d’un recrutement ne doivent pas porter sur la vie personnelle du candidat (religion, statut marital, etc). Seules les informations utiles à l’égard du poste à pourvoir peuvent être collectées.
Vous devez également informer vos salariés sur la méthode de gestion des données au sein de votre entreprise. Pour que le traitement soit loyal et licite, ils doivent notamment connaître :
Cette obligation de transparence est définie dans les articles 12, 13 et 14 du RGPD. Elle permet ainsi aux salariés :
La tenue du registre de traitement de données est obligatoire pour tous les organismes, privés ou publics, traitant des données à caractère personnel sur le territoire de l’Union Européenne, quelle que soit leur taille.
Les entreprises de moins de 250 salariés doivent y inscrire :
Si votre entreprise comptabilise plus de 250 salariés alors vous êtes dans l’obligation de tenir un registre de l’ensemble des traitements.
Afin d’accompagner les entreprises pour la gestion et la protection des données à caractère personnel qu’elles collectent, le RGPD impose à certaines organisations de désigner un Délégué à la Protection des données. Ainsi, d’après l’article 37 du RGPD vous êtes dans l’obligation de désigner un DPO si vous faites parties des cas suivants :
L’analyse d’impact sur la vie privée (AIVP) est également un point fondamental lié à la protection des données à caractère personnel de vos salariés.
Dès lors qu’il existe un risque élevé pour les droits et libertés des personnes (ex : utilisation de données bancaires, usurpation d’identité), alors le responsable de traitement doit mener une AIVP.
Cette analyse permet d’évaluer la gravité du risque, mais également d’en connaître la source, sa nature et ses caractéristiques.
Si le risque est avéré, alors la CNIL doit en être informée.
La protection des données à caractère personnel ne concerne pas uniquement le pôle juridique ou RH de votre entreprise. Il est primordial que l’intégralité de vos salariés soient formés et sensibilisés aux enjeux que représente le traitement des données.
Vous pouvez les former sur les règles élémentaires de sécurité (ex : poste de travail verrouillé en cas d’absence), ou plus largement sur les règles internes de gestion des données (ex : ne pas divulguer des données de tiers à autrui).
Besoin d’être accompagné dans la gestion et la protection des données personnelles de vos salariés ?
Contactez AP3R Consulting, Cabinet de conseil RGPD à Angers et dans tout le grand ouest.