RGPD : Comment les entreprises doivent traiter les données relatives à leurs salariés ?
Le RGPD ou Règlement général sur la protection des données est la nouvelle disposition législative qui offre aux citoyens européens la possibilité d’avoir un meilleur contrôle de ses données qui ont été collectées, utilisées et stockées par n’importe quelle structure. Bien qu’elle s’applique aux consommateurs, elle reste également valable pour les salariés. Voici donc les points essentiels à connaître sur la gestion des données des employés suivant les dispositions du RGPD.
Informer les salariés
Afin de respecter les dispositions mises en place par le RGDP pour un meilleur traitement des données, l’entreprise doit avant tout prendre le temps d’informer ses salariés. Certes, le RGPD l’oblige à revoir les modalités de la rubrique « Informatique et libertés » mentionnée dans le contrat de travail, mais n’offre pas de détails plus précis sur la manière d’informer les salariés. Pour réussir cette première étape, il serait donc préférable d’insérer une information générale de sensibilisation dans les contrats de travail. Il serait également plus pratique de prévoir un document annexe au contrat qui indique les modalités de traitement des données. Celui-ci doit ensuite être signé par les salariés et conservé par l’entreprise.
Identifier les fondements juridiques du traitement des données
Depuis l’application du RGPD, les entreprises se voient désormais dans l’obligation d’identifier les réels fondements juridiques qui justifient le traitement des données de leurs salariés. En d’autres termes, celle-ci doit être en mesure de se baser sur une clause juridique mentionnée par le RGPD, pour ne citer que le respect d’une obligation légale qui peut être sociale ou fiscale, l’exécution du contrat de travail ou tout simplement les intérêts légitimes comme la sécurisation de la gestion des ressources humaines, du réseau informatique ou de la paie. Ces motivations ne doivent cependant pas contrevenir aux intérêts, aux droits fondamentaux et aux libertés du salarié. À noter toutefois que le consentement ne peut pas être considéré comme un fondement juridique du traitement des données personnelles des salariés, à cause de la relation de subordination entre les deux parties.
La durée de conservation des données
L’employeur est aussi tenu de communiquer à salariés un certain nombre d’informations relatives au traitement de leurs données personnelles, dont la durée de conservation de ces dernières. En effet, d’après le RGPD, il est impératif de limiter cette durée de conservation au minimum nécessaire à la finalité du traitement des données. Pour le salarié, cette durée peut être le temps de présence dans l’entreprise puis s’établir sur les 5 ans qui suivent le terme du contrat de travail en ce qui concerne l’archivage légal. Il s’agit dans ce cas précis de la période qui couvre les durées de prescriptions des contentieux potentiels qui peuvent s’établir entre le salarié et son employeur.
Les droits des salariés
Pour que le traitement des données des salariés soit bien encadré par le RGPD, il est essentiel pour l’entreprise de leur prévoir des droits d’accès, de rectification ou « d’oubli ». À l’instar des citoyens européens, les salariés bénéficient de tous ces droits sur leurs données personnelles. En revanche, pour le cas du « droit à l’oubli », l’employeur a la possibilité d’y déroger lorsque la durée des prescriptions portant sur les contentieux avec le salarié n’est pas encore écoulée.
Enfin, pour certains traitements jugés ‘à risques’, une étude d’impact sur la vie privée (EIVP ou PIA) est nécessaire. C’est le cas notamment de la vidéosurveillance, de la géolocalisation, de la ‘cybersurveillance’ ou encore des traitements sur la gestion des contentieux ou des infractions routières.