En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. En savoir plusFermer
Emploi-Environnement

RGPD : les salariés ont de nouveaux droits pour protéger leurs données personnelles

À partir du 25 mai, les salariés auront davantage de droits dans la maîtrise de leurs données personnelles. Le nouveau règlement européen introduit un nouvel interlocuteur dans les entreprises : le Data Protection Officer.

Article  |    
RGPD : les salariés ont de nouveaux droits pour protéger leurs données personnelles

Avec le Règlement général sur la protection des données (RGPD), qui s'applique à compter du 25 mai, les entreprises ont de nouvelles obligations à l'égard de leurs clients, mais aussi de leurs personnels. Les salariés européens disposent de droits nouveaux, qu'ils pourront faire valoir auprès de leur entreprise.

Face à la prolifération des données collectées et au risque de détournement, les employés peuvent désormais s'informer sur le traitement de leurs données personnelles. Cette possibilité devra être communiquée sur des supports faciles à identifier, tels que le règlement intérieur de l'entreprise ou le contrat de travail.

De fait, dès les 1ers contacts avec son entreprise et tout au long de sa carrière, le salarié délivre à son employeur de nombreuses informations : coordonnées, situation matrimoniale, numéro de sécurité sociale, état de santé, arrêts maladie, RIB, bulletins de paie, CV, tests d'évaluations, déclarations sociales ou fiscales…

Le salarié gagne en maîtrise de ses données personnelles

Point crucial du RGPD : chaque entreprise devra assurer la protection et la confidentialité des données personnelles de ses employés. Concrètement, l'employeur devra mettre en place toutes les mesures pour éviter la divulgation des données. Il s'agit de veiller à la sécurité des serveurs informatiques qui stockent les données, mais aussi de cloisonner leur accès au sein de l'entreprise, relève Ronan Kervadec, avocat associé au cabinet Avoxa. Par exemple, les personnels en charge de la paie et du recrutement doivent limiter les accès aux data qui relèvent de leur seul champ d'action. Cela vaut pour les prestataires externalisés également.

Le RGPD consacre également les droits que peut exercer un employé sur ses data personnelles. Si la donnée collectée ne relève pas d'un intérêt légitime ou d'obligations légales, l'employé pourra réclamer sa suppression. Le service RH aura un délai d'un mois pour répondre à la requête.

Par ailleurs, le RGPD rappelle que les entreprises doivent limiter la durée de conservation des données personnelles. L'employeur ne pourra les conserver que le temps nécessaire à l'exécution du contrat de travail, au respect d'obligations sociales et fiscales, et dans le cadre de la finalité visée lors de la collecte. Par exemple, un candidat non retenu à l'embauche doit avoir ses données effacées 2 ans après le dernier contact. Il est également obligatoire d'effacer les données personnelles d'un salarié liées à la rémunération au bout de 5 ans, poursuit Ronan Kervadec.

Le Data Protection Officer fait son entrée dans l'entreprise

Nouvel acteur, le Data Protection Officer (DPO) sera en charge de la gestion conforme du traitement des données personnelles. Sa mission sera notamment de conseiller et de contrôler l'entreprise sur sa conformité au regard du RGPD. Le DPO sera l'interlocuteur privilégié des salariés et de la Cnil pour répondre à toutes les questions relatives aux données personnelles. Il sera l'acteur clé pour prévenir les contentieux avec l'employeur.

Le DPO sera obligatoire dans tous les organismes publics, mais aussi dans le secteur privé, lorsque celui-ci exerce dans le suivi systématique et à large spectre des personnes, ou sur des données sensibles. Sa présence sera recommandée dans tous les autres cas. Le DPO pourra intervenir pour le compte d'une ou plusieurs entreprises, en tant qu'interne ou externe à la structure. Dans ce dernier cas, il peut s'agir d'un avocat, d'un conseil ou d'un prestataire spécialisé.

Dans les entreprises de plus de 250 salariés, il sera obligatoire de tenir un registre de traitement des données personnelles, qui devra être mis à disposition de la Cnil. Pour les entreprises de moins de 250 salariés, la tenue du registre est obligatoire pour les traitements : non occasionnels (gestion de la paie par exemple) • susceptibles de comporter un risque pour les droits et libertés des employés (vidéosurveillance par exemple) • portant sur des données sensibles (données de santé, infractions …).

Pour établir ce registre, les services RH devront recenser toutes les données personnelles collectées auprès des employés, cartographier leurs traitements, en déterminer la finalité, les durées de conservation et prévoir les mesures de sécurité adéquates. Pour les employés, ce registre devrait faciliter l'exercice de leurs droits à modifier, rectifier ou supprimer tout ou partie de leurs données personnelles. Pour se mettre en conformité, les entreprises pourront s'appuyer sur des démarches de certification, des audits ou la mise en place de codes de bonne conduite.

Partagez sur…