Employeur : que dit la loi en matière de collecte des données des salariés ?
Un employeur est forcément amené à un moment ou à un autre à collecter des données concernant ses salariés, que ce soit à l'occasion de leur recrutement, de la gestion courante du personnel de son entreprise, ou encore, par exemple, pour calculer leurs horaires de travail réalisés.
Le recueil et la conservation par l'employeur de certaines données relatives aux salariés sont encadrés par la loi notamment dans le cadre du règlement général de protection des données (RGPD), un texte réglementaire européen qui a pour but de "renforcer les droits des personnes, de responsabiliser les acteurs traitant des données et de crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données", comme l'indique le ministère de l'Économie. Quelles sont les règles à respecter par un employeur en matière de collecte des données concernant ses salariés ?
Les règles à respecter en matière de collecte de données lors d'un recrutement
À l'occasion du recrutement d'un salarié, un employeur est logiquement amené à collecter des informations sur ce dernier dans le but de connaitre le profil du candidat, son expérience sur le même type de poste, ses motivations professionnelles, etc.
On parle alors du recueil de données personnelles, c'est-à-dire, selon la définition donnée par la Commission nationale de l’informatique et des libertés (CNIL), d'informations qui se rapportent à une personne physique identifiée ou identifiable comme, par exemple lors d'un recrutement, les nom et prénom du candidat, ses expériences professionnelles, sa formation, ou encore les résultats de tests d'aptitude ou de compétence.
Or, toutes ces informations récoltées à l'occasion du recrutement d'un salarié doivent être conformes aux règles définies par le règlement général de protection des données (RGPD) qui s'impose en Europe et à la loi française "Informatique et Libertés" du 6 janvier 1978, actualisée en 2018 et 2019 pour se conformer au droit européen.
En conséquence, lorsqu'un employeur organise un recrutement, il doit respecter certains grands principes en matière de collecte et de traitement de données :
- L'employeur est tenu de traiter les données qu'il collecte sur un candidat de manière "licite, loyale et transparente". Par exemple, il ne peut pas utiliser ces informations dans le but de pratiquer une différence de traitement des candidats en fonction de leur âge, de leur sexe, de leur origine, de leur handicap, ou encore de leur lieu de résidence, ce qui constitue des pratiques discriminatoires, ou un employeur est obligé d'avertir un candidat qu'il est filmé pendant son entretien d'embauche ;
- les données sur les candidats collectées et conservées par un employeur doivent l'être à des fins "déterminées, explicites et légitimes" ;
- un employeur doit recueillir des informations seulement considérées comme "adéquates, pertinentes et limitées" à un recrutement, ce qui exclut, par exemple, de collecter des données sur la famille du candidat, sur ses opinions politiques, philosophiques ou religieuses, son appartenance syndicale, son état de santé, ses projets d'avoir un enfant, son orientation sexuelle, ses mensurations ou d'autres caractéristiques physiques comme le poids, sauf si ces informations sont nécessaires au recrutement, par exemple pour le métier de mannequin ;
- un employeur peut conserver les données qu'il collecte à l'occasion d'un recrutement mais pour une durée "strictement nécessaire", en principe pas plus de 2 ans, et il doit en avertir le candidat.
D'autre part, lors d'un recrutement, un employeur n'a pas le droit de demander aux candidats leur numéro de Sécurité sociale et leurs coordonnées bancaires.
D'une manière générale, toutes les données collectées à l'occasion d'un recrutement doivent être accessibles seulement aux personnes de l'entreprise qui participent au processus d'embauche.
La collecte de données des salariés pour la gestion du personnel
Pour mener à bien la gestion administrative de son personnel (paie, évolution de carrière, etc.), organiser le travail dans l'entreprise ou en matière sociale (mutuelle, ayants droit, etc.), un employeur collecte des informations concernant ses salariés telles que leur relevé d’identité bancaire (pour le versement de leur salaire), la copie de leurs diplômes qui attestent de leur niveau de qualification pour leur poste, leur taux d'imposition depuis la mise en place du prélèvement à la source de l'impôt sur le revenu, ou encore par exemple les coordonnées d’un proche à prévenir en cas d'urgence. Il doit s'agir de données dont l'employeur a réellement besoin, comme le rappelle la loi.
Toutes ces informations ne doivent être mises à la disposition que des personnes de l'entreprise amenées à gérer le personnel et aux supérieurs hiérarchiques des salariés. L'employeur est chargé de contrôler cet accès aux données qui concernent ses salariés.
Un employeur n'a en effet pas le droit de communiquer ces informations à d'autres tiers sauf dans certaines situations prévues par la loi ou si une décision de justice le demande.
Toutefois, dans l'entreprise, les délégués du personnel, les délégués syndicaux, le conseil social et économique (CSE) peuvent être destinataires des données personnelles des salariés collectées par l'employeur si ces dernières sont nécessaires à l'exercice de leurs missions. Mais les salariés doivent en être informés et peuvent s'y opposer.
D'ailleurs, sur une simple demande, et sans avoir à motiver cette dernière, un salarié a le droit d'obtenir une copie des données qui le concernent et qui sont conservées par son entreprise.
Les données collectées par un employeur sur un salarié dans le but de gérer administrativement son personnel doivent être conservées dans l'entreprise pour une durée limitée, c'est-à-dire le temps où le salarié est présent dans l'entreprise. Néanmoins, certaines informations nécessaires aux obligations comptables, sociales et fiscales de l'employeur peuvent être conservées après le départ du salarié car ces dernières doivent légalement être gardées pendant une durée de 5 ans.
Les données collectées par l'employeur concernant la présence des salariés dans l'entreprise
Un employeur dispose de la possibilité de mettre en place des outils destinés à calculer le temps de travail effectif de ses salariés ou, par exemple, pour permettre le contrôle de l'accès dans l'entreprise et sécuriser ce dernier.
Dans ce cadre, un employeur est autorisé notamment à utiliser des outils biométriques, c'est-à-dire qui permettent l'analyse des caractéristiques physiques d'une personne (voix, empreintes digitales, visage, etc.).
La loi prévoit que les données des salariés récoltées de cette manière ne sont accessibles qu'aux personnes de l'entreprise chargées de gérer le personnel, la paie ou la sécurité, ainsi qu'au CSE s'il existe dans l'entreprise. L'employeur doit prévoir des mesures spécifiques pour garantir la sécurité de ces informations.
La collecte de telles données dans l'entreprise suppose que les salariés en soient informés, et plus précisément qu'ils soient destinataires des éléments concernant les finalités poursuivies par l'employeur, la base légale du dispositif mis en place, les destinataires des données recueillies, leur durée de conservation. Les salariés doivent aussi être avertis de leur droit d’opposition, d’accès et de rectification des données collectées sur eux, et de leur possibilité de porter une réclamation auprès de la CNIL.
Dans tous les cas, les instances représentatives du personnel dans l'entreprise doivent être informées ou consultées avant toute décision d’installer un dispositif de contrôle des horaires ou d’accès aux locaux, comme le rappelle la Commission nationale de l’informatique et des libertés.
En matière de conservation, les données des salariés recueillies par l'employeur pour le suivi de leur temps de travail (mais aussi de leur temps d'absence de l'entreprise) peuvent être gardées dans l'entreprise pendant 5 ans. Celles qui concernent la sécurité et l'accès à l'entreprise doivent, en revanche, être supprimées par l'employeur 3 mois après leur enregistrement.
Les données des salariés en lien avec l'utilisation du numérique dans l'entreprise
Lorsqu'un employeur met à disposition de ses salariés des outils informatiques nécessaires à la réalisation de leurs missions, toutes les données contenues dans les fichiers, les courriels, les historiques de recherche, etc., sont considérées comme ayant un caractère professionnel.
De ce fait, l'employeur est autorisé légalement à pouvoir prendre connaissance et à contrôler toutes ces données, d'une part dans le but de limiter les risques d’abus d’une utilisation trop personnelle de ces outils et, d'autre part, pour assurer la sécurité des réseaux informatiques de son entreprise et éviter qu'ils subissent des attaques.
L'accès à ces données doit toutefois être réalisé dans le respect de la vie privée des salariés concernés. Ces derniers doivent d'ailleurs être informés par l'employeur des raisons qui l'amène à contrôler ce type de données.
En revanche, par exemple, un courriel ou un fichier informatique ayant pour objet "personnel" ou "privé" ne peut pas être consulté par l’employeur, même si ce dernier a interdit d’utiliser les outils de l’entreprise à des fins personnelles, au titre qu'un salarié a droit au respect de sa vie privée et au secret de ses correspondances privées, même lorsqu'il est au travail.
L'employeur peut néanmoins le faire, mais seulement en présence du salarié ou après l'avoir prévenu au préalable, ou en cas de risque ou évènement particulier que seule la justice peut apprécier ensuite si un litige en lien avec une telle situation survient entre un employeur et un salarié.
D'autre part, l’usage par l'employeur de logiciels permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur (des logiciels appelés "keyloggers") est interdit par la loi sauf si leur utilisation répond à un impératif exceptionnel de sécurité.
En matière de contrôle de l'utilisation des outils informatiques par l'employeur, dans tous les cas, les instances représentatives du personnel doivent être informées ou consultées avant la mise en œuvre d’un tel dispositif.
Dossiers similaires
- Licenciement économique : dans quel cas ? Quelle procédure ? Quelle limite ? Le licenciement économique est une procédure légale qu’un employeur peut mettre en place lorsque son entreprise doit faire face à des difficultés d’ordre économique ou à des mutations...
- Entretien professionnel : réglementation, objectifs et organisation Dans le cadre de son activité au sein d’une entreprise, un salarié doit bénéficier tous les deux ans, en principe, d’un entretien professionnel. Obligatoire, cette rencontre individuelle...
- Entretien d’embauche : 8 erreurs à ne pas faire en tant que recruteur ! Bien des recruteurs ont tendance à minimiser le déroulé d’un entretien d’embauche, persuadés que seul le candidat reçu a besoin de se préparer, de faire bonne impression et de convaincre....
- Transformer un CDD en CDI : quelle procédure ? Le contrat de travail à durée indéterminée (CDI) est la forme normale d'une relation de travail. Il s'agit du contrat de travail le plus favorable pour un salarié qui bénéficie dans ce cas du...
- Chef d'entreprise : comment concilier sa vie professionnelle et sa vie privée ? Une étude de 2017 a révélé que près de 75 % des entrepreneurs estiment qu’il est trop difficile de concilier vie professionnelle et vie privée. Bien des chefs d’entreprise ont ainsi...
- Comment rédiger une lettre ou un e-mail de refus de candidature ? Une seule offre d’emploi au sein d’une grande entreprise reçoit en moyenne 250 candidatures. De fait, plus de 99 % des candidats postulants sont éliminés. Outre les candidatures spontanées,...
- Fiche de poste : définition, comment la créer, avec quelles informations ? Une fiche de poste a pour but de décrire en détail les rôles, les missions et les responsabilités réelles attribués à chaque emploi dans une entreprise. Il s’agit d’une représentation...
- Combien de jours de congés accorder aux salariés pour décès d'un proche ? Tout salarié a le droit de s’absenter en cas de décès d’un membre de sa famille, notamment pour pouvoir assister aux obsèques, sans que des conditions d’ancienneté n’interviennent. La...
- Qu'est-ce qu'un manager ? Quelles devraient être ses principales qualités ? Diriger une entreprise et gérer une équipe ne s’improvise pas. Ce management a des conséquences très importantes pour la vie et la pérennité d’une entreprise. Un manager a pour but...
- Chef d'entreprise : comment apprendre à déléguer ? Si le chef d’entreprise est celui qui définit le cap à atteindre pour l’activité de sa société et, en conséquence, détermine le rôle que doit tenir chacun de ses collaborateurs, il ne...
- Comment organiser un webinar efficace ? Quels outils utiliser ? Les webinars ont le vent en poupe. Avec la pandémie de coronavirus qui a entraîné une révolution absolue dans les façons de travailler, les webinaires et les vidéoconférences ont acquis une...
- Premier salarié : nos conseils pour réussir son premier recrutement ! Recruter un premier salarié est une étape importante dans la vie d’une entreprise. Une décision et des démarches à ne pas entamer à la légère car elles ont des conséquences importantes sur...