Comment protéger les données personnelles des salariés face au RGDP?

Toute entreprise implantée sur le continent européen est tenue de respecter le « Règlement Général sur la Protection des Données » ou RGPD (GDPR en anglais). Ces informations strictement confidentielles concernent les salariés de la société. En effet, il est du droit de ce dernier de connaître les tenants et les aboutissants des données personnelles le concernant ainsi que d’exercer un certain contrôle dessus. Découvrez les différentes obligations à respecter.

Qu’entend-on par donnée personnelle ?

Notons que tous les organismes employeurs, qu’ils soient de petite ou de grande taille, sont concernés par la RGPD. Cette loi s’applique dès lors que la structure se trouve sur le territoire européen ou s’adresse directement aux salariés résidents européens. Qui sont les premiers responsables dans la gestion des données personnelles et que classe-t-on comme étant des données personnelles ?

Les outils utilisés par le RH

Il incombe au responsable des ressources humaines de collecter et de prendre en charge toutes les informations personnelles des salariés au sein de l’entreprise. Comme stipulé dans la RGPD, la société se doit de protéger et sécuriser ces informations afin d’éviter au maximum le risque de perte ou de piratage de données.

Le responsable RH a aussi la lourde responsabilité de gérer tout ce qui concerne le personnel au sein de la société. Il est libre d’utiliser tous les méthodes et outils qu’il juge nécessaires pour mener à bien cette tâche, en vue d’une sécurisation optimale des données. Ainsi, l’utilisation d’un logiciel RH peut s’avérer indispensable dans la gestion du dossier des salariés, des congés et des absences, du suivi des temps et des activités, de la gestion documentaire, etc., aussi bien pour faire gagner du temps aux ressources humaines que pour assurer la confidentialité des données des employés.

rgpd-salarie

Les types de données personnelles

La définition de donnée personnelle est assez large lorsqu’on parle du salarié. Cependant, on peut se référer à la définition fournie par la CNIL (Commission nationale de l’informatique et des libertés). Selon elle, ce concept englobe toutes les informations qui concernent une personne « identifiée » ou « identifiable ». Toutes les informations personnelles et professionnelles sur le salarié doivent être stockées au niveau de la partie RH de la société.

Le nom, les prénoms, l’adresse postale ou encore l’adresse IP, le numéro de téléphone, l’identifiant… Ces éléments font partie des données personnelles d’identification indirecte ou directe. Les autres informations professionnelles telles que les congés et les absences, le contrat et le suivi des activités peuvent aussi être considérées comme étant des données personnelles.

Quels types d’informations sont réellement nécessaires pour l’employeur ?

Sachez que toutes les informations concernant les employés ne sont pas forcément nécessaires. Voici un aperçu des données nécessaires sur l’employé et de celles qui ne le sont pas.

Les types d’information indispensables pour l’entreprise

Le dossier professionnel du salarié est composé de différentes informations. On note :

  • le nom et le(s) prénom(s), la date et le lieu de naissance,
  • l’adresse et le numéro de téléphone,
  • le(s) diplôme(s) ou certificat(s) obtenu(s),
  • l’autorisation de travail (facultatif dans certains cas),
  • le type de permis de conduire en possession (facultatif dans certains cas),
  • le dossier de candidature,
  • les résultats des tests et des évaluations,
  • les entretiens annuels,
  • la date et les conditions d’embauche,
  • le contrat de travail,
  • la rémunération,
  • la gestion des arrêts de travail,
  • le dossier « disciplinaire ».

Les informations personnelles collectées auprès du salarié ne doivent être utilisées qu’à des fins professionnelles. Ce sont :

  • la rémunération,
  • la déclaration sociale,
  • la tenue du registre unique du personnel,
  • les différentes actions sociales,
  • la gestion administrative du personnel,
  • l’organisation du travail en interne.

Les informations à ne pas mentionner dans le dossier professionnel

Évitez de demander des informations dites « sensibles » à vos employés. Notez que toutes informations qui sortent de la liste notée ci-dessus nécessitent des obligations particulières. Ces types d’informations ne doivent pas être mentionnés dans le dossier professionnel du salarié. Y figurent :

  • les origines raciales ou ethniques,
  • la date de naturalisation et la date d’entrée en France,
  • les modalités d’acquisition de la nationalité française,
  • toutes informations sur l’entourage familial,
  • l’adresse précédente,
  • les conditions de logement,
  • les opinions politiques et l’appartenance syndicale,
  • l’orientation et la vie sexuelle,
  • les condamnations pénales.

Notons que l’employeur est tenu d’informer ses employés sur l’utilisation de leurs données personnelles. La CNIL est habilitée à sanctionner les entreprises mentionnant des propos injurieux ou déplacés à propos du salarié, et ce, dans son dossier professionnel.

L’entreprise est lourdement punie dans le cas où des mentions inappropriées seraient communiquées auprès des clients. Même chose lorsque des informations personnelles sont divulguées involontairement à des hackers. D’où l’intérêt de disposer d’un service RH compétent et d’utiliser un logiciel de ressources humaines capable d’assurer la bonne gestion de ces données sensibles.

Le salarié a-t-il accès à son dossier professionnel ?

Le « Règlement Général sur la Protection des Données » ou RGPD donne le droit à un salarié de demander ses données personnelles auprès de l’entreprise. Il s’agit du droit d’accès direct.

Comment avoir accès à ses données ?

Le salarié, qu’il soit encore en activité au sein de l’entreprise ou après son départ, peut demander accès aux informations le concernant auprès du responsable des ressources humaines ou au délégué à la protection des données (DPO).

La demande peut se faire de façon manuscrite sur place ou par voie électronique. Elle doit être plus ou moins conforme au modèle de courrier fourni par la CNIL afin de faciliter l’obtention des dossiers. Les copies sont délivrées au salarié sans aucun coût, sauf en cas de demande non fondée.

Notons qu’une demande écrite sur place amène à une réponse immédiate. Dans le cas contraire, le responsable doit remettre un avis de réception daté et signé à l’intéressé. Le délai de réponse, quant à lui, ne doit pas excéder deux mois après la demande.

rgpd-cnil

Que doit contenir le dossier professionnel ?

La demande de l’intéressé concerne uniquement le dossier personnel utilisé au sein de l’entreprise employeur. Voici donc les documents qui composent le dossier :

  • son recrutement,
  • sa rémunération,
  • son historique de carrière,
  • ses entretiens annuels d’évaluation et sa notation,
  • son dossier disciplinaire,
  • les évolutions et les décisions à son égard (promotions, augmentations, affectations…).

Le salarié ne peut en aucun cas avoir accès à d’autres informations, comme le dossier professionnel d’un tiers ou aux valeurs de classement le concernant.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *