Employeur : que dit la loi en matière de collecte des données des salariés ?

Un employeur est forcément amené à un moment ou à un autre à collecter des données concernant ses salariés, que ce soit à l'occasion de leur recrutement, de la gestion courante du personnel de son entreprise, ou encore, par exemple, pour calculer leurs horaires de travail réalisés.

Le recueil et la conservation par l'employeur de certaines données relatives aux salariés sont encadrés par la loi notamment dans le cadre du règlement général de protection des données (RGPD), un texte réglementaire européen qui a pour but de "renforcer les droits des personnes, de responsabiliser les acteurs traitant des données et de crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données", comme l'indique le ministère de l'Économie. Quelles sont les règles à respecter par un employeur en matière de collecte des données concernant ses salariés ?

Les règles à respecter en matière de collecte de données lors d'un recrutement

À l'occasion du recrutement d'un salarié, un employeur est logiquement amené à collecter des informations sur ce dernier dans le but de connaitre le profil du candidat, son expérience sur le même type de poste, ses motivations professionnelles, etc.

On parle alors du recueil de données personnelles, c'est-à-dire, selon la définition donnée par la Commission nationale de l’informatique et des libertés (CNIL), d'informations qui se rapportent à une personne physique identifiée ou identifiable comme, par exemple lors d'un recrutement, les nom et prénom du candidat, ses expériences professionnelles, sa formation, ou encore les résultats de tests d'aptitude ou de compétence.

Or, toutes ces informations récoltées à l'occasion du recrutement d'un salarié doivent être conformes aux règles définies par le règlement général de protection des données (RGPD) qui s'impose en Europe et à la loi française "Informatique et Libertés" du 6 janvier 1978, actualisée en 2018 et 2019 pour se conformer au droit européen.

En conséquence, lorsqu'un employeur organise un recrutement, il doit respecter certains grands principes en matière de collecte et de traitement de données :

• L'employeur est tenu de traiter les données qu'il collecte sur un candidat de manière "licite, loyale et transparente". Par exemple, il ne peut pas utiliser ces informations dans le but de pratiquer une différence de traitement des candidats en fonction de leur âge, de leur sexe, de leur origine, de leur handicap, ou encore de leur lieu de résidence, ce qui constitue des pratiques discriminatoires, ou un employeur est obligé d'avertir un candidat qu'il est filmé pendant son entretien d'embauche ;
• les données sur les candidats collectées et conservées par un employeur doivent l'être à des fins "déterminées, explicites et légitimes" ;
• un employeur doit recueillir des informations seulement considérées comme "adéquates, pertinentes et limitées" à un recrutement, ce qui exclut, par exemple, de collecter des données sur la famille du candidat, sur ses opinions politiques, philosophiques ou religieuses, son appartenance syndicale, son état de santé, ses projets d'avoir un enfant, son orientation sexuelle, ses mensurations ou d'autres caractéristiques physiques comme le poids, sauf si ces informations sont nécessaires au recrutement, par exemple pour le métier de mannequin ;
• un employeur peut conserver les données qu'il collecte à l'occasion d'un recrutement mais pour une durée "strictement nécessaire", en principe pas plus de 2 ans, et il doit en avertir le candidat.

D'autre part, lors d'un recrutement, un employeur n'a pas le droit de demander aux candidats leur numéro de Sécurité sociale et leurs coordonnées bancaires.

D'une manière générale, toutes les données collectées à l'occasion d'un recrutement doivent être accessibles seulement aux personnes de l'entreprise qui participent au processus d'embauche.

La collecte de données des salariés pour la gestion du personnel

Pour mener à bien la gestion administrative de son personnel (paie, évolution de carrière, etc.), organiser le travail dans l'entreprise ou en matière sociale (mutuelle, ayants droit, etc.), un employeur collecte des informations concernant ses salariés telles que leur relevé d’identité bancaire (pour le versement de leur salaire), la copie de leurs diplômes qui attestent de leur niveau de qualification pour leur poste, leur taux d'imposition depuis la mise en place du prélèvement à la source de l'impôt sur le revenu, ou encore par exemple les coordonnées d’un proche à prévenir en cas d'urgence. Il doit s'agir de données dont l'employeur a réellement besoin, comme le rappelle la loi.

Toutes ces informations ne doivent être mises à la disposition que des personnes de l'entreprise amenées à gérer le personnel et aux supérieurs hiérarchiques des salariés. L'employeur est chargé de contrôler cet accès aux données qui concernent ses salariés.

Un employeur n'a en effet pas le droit de communiquer ces informations à d'autres tiers sauf dans certaines situations prévues par la loi ou si une décision de justice le demande.

Toutefois, dans l'entreprise, les délégués du personnel, les délégués syndicaux, le conseil social et économique (CSE) peuvent être destinataires des données personnelles des salariés collectées par l'employeur si ces dernières sont nécessaires à l'exercice de leurs missions. Mais les salariés doivent en être informés et peuvent s'y opposer.

D'ailleurs, sur une simple demande, et sans avoir à motiver cette dernière, un salarié a le droit d'obtenir une copie des données qui le concernent et qui sont conservées par son entreprise.

Les données collectées par un employeur sur un salarié dans le but de gérer administrativement son personnel doivent être conservées dans l'entreprise pour une durée limitée, c'est-à-dire le temps où le salarié est présent dans l'entreprise. Néanmoins, certaines informations nécessaires aux obligations comptables, sociales et fiscales de l'employeur peuvent être conservées après le départ du salarié car ces dernières doivent légalement être gardées pendant une durée de 5 ans.

Les données collectées par l'employeur concernant la présence des salariés dans l'entreprise

Un employeur dispose de la possibilité de mettre en place des outils destinés à calculer le temps de travail effectif de ses salariés ou, par exemple, pour permettre le contrôle de l'accès dans l'entreprise et sécuriser ce dernier.

Dans ce cadre, un employeur est autorisé notamment à utiliser des outils biométriques, c'est-à-dire qui permettent l'analyse des caractéristiques physiques d'une personne (voix, empreintes digitales, visage, etc.).

La loi prévoit que les données des salariés récoltées de cette manière ne sont accessibles qu'aux personnes de l'entreprise chargées de gérer le personnel, la paie ou la sécurité, ainsi qu'au CSE s'il existe dans l'entreprise. L'employeur doit prévoir des mesures spécifiques pour garantir la sécurité de ces informations.

La collecte de telles données dans l'entreprise suppose que les salariés en soient informés, et plus précisément qu'ils soient destinataires des éléments concernant les finalités poursuivies par l'employeur, la base légale du dispositif mis en place, les destinataires des données recueillies, leur durée de conservation. Les salariés doivent aussi être avertis de leur droit d’opposition, d’accès et de rectification des données collectées sur eux, et de leur possibilité de porter une réclamation auprès de la CNIL.

Dans tous les cas, les instances représentatives du personnel dans l'entreprise doivent être informées ou consultées avant toute décision d’installer un dispositif de contrôle des horaires ou d’accès aux locaux, comme le rappelle la Commission nationale de l’informatique et des libertés.

En matière de conservation, les données des salariés recueillies par l'employeur pour le suivi de leur temps de travail (mais aussi de leur temps d'absence de l'entreprise) peuvent être gardées dans l'entreprise pendant 5 ans. Celles qui concernent la sécurité et l'accès à l'entreprise doivent, en revanche, être supprimées par l'employeur 3 mois après leur enregistrement.

Les données des salariés en lien avec l'utilisation du numérique dans l'entreprise

Lorsqu'un employeur met à disposition de ses salariés des outils informatiques nécessaires à la réalisation de leurs missions, toutes les données contenues dans les fichiers, les courriels, les historiques de recherche, etc., sont considérées comme ayant un caractère professionnel.

De ce fait, l'employeur est autorisé légalement à pouvoir prendre connaissance et à contrôler toutes ces données, d'une part dans le but de limiter les risques d’abus d’une utilisation trop personnelle de ces outils et, d'autre part, pour assurer la sécurité des réseaux informatiques de son entreprise et éviter qu'ils subissent des attaques.

L'accès à ces données doit toutefois être réalisé dans le respect de la vie privée des salariés concernés. Ces derniers doivent d'ailleurs être informés par l'employeur des raisons qui l'amène à contrôler ce type de données.

En revanche, par exemple, un courriel ou un fichier informatique ayant pour objet "personnel" ou "privé" ne peut pas être consulté par l’employeur, même si ce dernier a interdit d’utiliser les outils de l’entreprise à des fins personnelles, au titre qu'un salarié a droit au respect de sa vie privée et au secret de ses correspondances privées, même lorsqu'il est au travail.

L'employeur peut néanmoins le faire, mais seulement en présence du salarié ou après l'avoir prévenu au préalable, ou en cas de risque ou évènement particulier que seule la justice peut apprécier ensuite si un litige en lien avec une telle situation survient entre un employeur et un salarié.

D'autre part, l’usage par l'employeur de logiciels permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur (des logiciels appelés "keyloggers") est interdit par la loi sauf si leur utilisation répond à un impératif exceptionnel de sécurité.

En matière de contrôle de l'utilisation des outils informatiques par l'employeur, dans tous les cas, les instances représentatives du personnel doivent être informées ou consultées avant la mise en œuvre d’un tel dispositif.