Dans le cadre de la gestion du personnel, l’employeur est fréquemment amené à collecter et à traiter des informations personnelles concernant les candidats lors du processus du recrutement et les salariés qu’il emploie (fichier de gestion RH, gestion administrative et comptable, etc).

 

Collecte des données des candidats et des salariés

 

Conformément au principe de minimisation figurant à l’article 5. c) du Règlement général sur la protection des données (ci-après « RGPD ») à l’article L.121-6 du Code du travail, l’employeur doit uniquement collecter des données personnelles du candidat ou du salarié, ayant comme finalité l’appréciation de la capacité de la personne concernée à occuper l’emploi proposé ou ses aptitudes professionnelles.

 

Des informations dites « utiles » au regard du poste à pourvoir peuvent également être collectées, dès lors qu’elles profitent :

            - à la gestion administrative du personnel (par exemple, le permis de conduire)

            - à l’organisation du travail (par exemple, la photographie)

            - à l’action social

 

Concernant les données personnelles dites « sensibles » (ou « particulières »), l’employeur ne peut collecter les informations personnelles sensibles des candidats, sauf cas particuliers justifiés par la nature très spécifique du poste à pourvoir ou par une obligation légale.

 

Il peut néanmoins être amené dans le cadre de la gestion du personnel et de la paie, à collecter les données personnelles sensibles des salariés dès lors qu’elles sont nécessaires afin d’exécuter correctement le contrat de travail du salarié, ou bien répondre à une obligation légale et/ou réglementaire.

 

Les données personnelles sensibles représentent par exemple les opinions politiques, philosophiques ou religieuses ou appartenances syndicales du candidat ou salarié.

 

Dans l’hypothèse où le candidat donne son consentement exprès pour collecter ou traiter ses données personnelles sensibles, il faudra toutefois justifier la finalité de la collecte de telles données, de manière à ce qu’il y ai un lien direct et nécessaire avec l’emploi proposé.

 

Enfin, les « zones commentaires » (résumés d’entretien), doivent comme toute donnée personnelle enregistrée dans un traitement, être objective, nécessaire, pertinentes, et non excessives au regard de la finalité du traitement. 

 

A titre d’exemple, la Commission nationale de l'informatique et des libertés (ci-après la « Cnil ») dans la délibération n°2007-374 du 11 décembre 2007, a prononcé une sanction pécuniaire d’un montant de 40 000 euros à l’encontre d’une entreprise pour des commentaires particulièrement subjectifs sur des personnes ayant déjà été employées par une société mais qui n’ont pas données satisfaction.

 

S’agissant du consentement des salariés sur la collecte de leurs données personnelles, elle n’est pas nécessaire lorsque les données personnelles sont utilisées pour la gestion de paie et l’exécution du contrat de travail et autres utilisations ayant une finalité légitime. 

 

En tout état de cause, l’employeur est tenu d’une obligation d’information à l’égard des salariés en toute circonstance concernant le traitement de leurs données à caractère personnel.

 

L’obligation d’information de l’employeur

 

L’article L1222-4 du code de travail dispose que

 

            « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance »

 

Également, l’article 13 du RGPD pose une liste exhaustive des informations à fournir lorsque les données à caractère personnel sont collectées auprès de la personne concernée.

 

Au titre de ces articles, l’employeur qui souhaite collecter et traiter des données à caractère personnel sur des candidats ou employés doit informer préalablement la personne concernée.

 

- de l’identité du responsable du fichier (service des ressources humaines, par exemple) ;

- de l’objectif poursuivi (gestion des candidatures ou gestion du personnel, par exemple) ;

- de la base légale du dispositif (contrat ou intérêt légitime de l’employeur, par exemple) ;

- des destinataires des informations (si la société a recours à des sous-traitants comme un cabinet de recrutements, par exemple) ;

- de la durée de conservation des données ;

- des conditions d’exercice de leurs droits d’opposition (pour motifs légitimes), d’accès, de rectification et de suppression des informations collectées de la possibilité de définir des directives post-mortem (loi informatique et libertés) ;

- de la possibilité d’introduire une réclamation auprès de la Cnil

 

En pratique, les informations précitées se trouvent obligatoirement dans le contrat de travail, dans un article dédié aux traitements des données personnelles des salariés ou une annexe. Pour les contrats de travail en cours, qui ne disposent pas de cette article ou annexe, il faut impérativement faire signer un avenant aux salariés.  

 

Par la suite, ces informations peuvent également être contenues dans une notice d’information, que l’employeur communique aux salariés.

 

Conformément à l’article 83 5. b) du RGPD, l’employeur qui manque à son obligation d’information, prévue à l’article 13 du RGPD, encourt une amende administrative pouvant s’élever jusqu’à 20 000 000 d’euros, ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

​

L’article 226-16 du code pénal dispose par ailleurs que :

 

« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende »

 

Également, l’article R. 625-10 du code pénal précise qu’en cas de manquement à son obligation d’information, l’employeur encourt une amende de 1 500 euros par infraction et de 3 000 euros en cas de récidive.

 

L’obligation de sécurité de l’employeur

 

L’article 32 du RGPD dispose que

            

« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

 

Au titre de cet article, l’employeur, qui est le responsable du traitement, doit mettre en œuvre toutes les mesures de sécurité des locaux et systèmes d’information afin d’empêcher que les fichiers comportant des données personnelles soient déformés, endommagés, volés ou perdus.

 

L’obligation de sécurité s’entend aussi par un accès contrôlé aux données personnelles, c’est-à-dire que l’employeur doit garantir que seules les personnes habilitées (service de gestion des ressources humaines, par exemple) peuvent y accéder. Dans le cas d’actions sur les données personnelles par les personnes habilitées, ces actions doivent être enregistrée, journalisée, de manière claire et précise.

 

La durée de conservation des données personnelles des candidats et des salariés

 

L’article 5. e) du RGPD dispose que

 

«  Les données à caractère personnel doivent être : [.] conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public [.] »

 

Au sens de cet article, les données personnelles peuvent être conservées pendant une durée définit par le responsable du traitement, dès lors que cette durée n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont collectées.

 

La Cnil recommande que la durée de conservation des données personnelles relatives à un candidat ou un ancien salarié n’excède pas 2 ans après le dernier contact avec la personne.

 

Toutefois, certaines données personnelles relative à un salarié peuvent être conservées plus longtemps, conformément à l’article L3243-4 du Code du travail, lequel impose à l’employeur de conserver un double du bulletin de paie du salarié pendant 5 ans après le dernier contact, par exemple.

 

L’exercice de droits des candidats et salariés 

 

Concernant les droits des personnes concernées par la collecte de donnée à caractère personnel, le RGPD prévoit : 

 

• le droit de s’opposer au traitement de leurs données, sous réserve qu’il soit prévu en application des dispositions de l’article 21 du RGPD ; 

• le droit d’accès, de rectification et, dans des conditions particulières, d’effacement des données qui les concernent, prévu à l’article 16, 17 du RGPD ;

• le droit à la limitation du traitement, prévu à l’article 18 du RGPD ;

• le droit à la portabilité, prévu à l’article 20 du RGPD.

 

L'article 39 de la loi du 6 janvier 1978  relative à l’informatique, aux fichiers et libertés dispose que :

 

« toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci »

 

Le droit d’accès de la personne concernée est également consacré à l’article 15 du RGPD qui dispose que :

 

« La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivante :

a) les finalités du traitement ;

b) les catégories de données à caractère personnel concernées ;

c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationale ;

d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement

f) e droit d'introduire une réclamation auprès d'une autorité de contrôle;  [...} »

 

Les candidats ou les salariés qui souhaitent savoir quelles sont leurs informations personnelles collectées, peuvent en faire la demande au titre des articles précités.

 

Les modalités de ces demandes doivent être expliquées et détaillées dans l’article (ou l’annexe) relatif au traitement des données des salariés contenu dans le contrat de travail. 

 

Le registre de traitement des données

 

L’arrivée du RGPD facilite la procédure du droit d’accès, car par son article 30, le règlement impose au responsable du traitement de tenir "un registre des activités de traitement effectuées sous leur responsabilités" , regroupant l’ensemble des données personnelles collectées des salariés et des candidats, et précise quelles personnes sont autorisées à y accéder.

 

Conformément au 5ème alinéa de cet article, les entreprises de moins de 250 salariés bénéficie d’une dérogation en ce qui concerne la tenue des registres, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur des données particulières ou sur des condamnations pénales et à des infractions visées à l'article 10 du RGPD. 

 

Recours et droits des candidats et salariés

 

Les candidats et salariés peuvent prétendre à trois recours prévus par le RGPD : 

                                   

            - le droit d’introduire une réclamation auprès d’une autorité de contrôle (article 77) ;

            - le droit à un recours juridictionnel effectif contre une autorité de contrôle (article 78) ;

            - le droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant (article 79).

 

Également, les candidats et salariés peuvent prétendre au droit à la réparation et responsabilité prévu à l’article 82 du RGPD, dès lors qu’une personne a subi un dommage matériel ou moral du fait d’une violation du règlement. 

 

Les questions relatives à la vidéosurveillance et la géolocalisation des salariés

 

L’activité de l’entreprise ou celle du salarié peut nécessiter le recours à des moyens de contrôle spécifiques, en raison notamment d’impératif de sécurité ou de confidentialité. 

 

La Cnil exige alors un encadrement strict du recours par l’employé des systèmes de géolocalisation des véhicules. 

 

La commission précise, dans une recommandation que ces systèmes sont licites dès lors qu’ils servent : 

 

« - pour la contribution à la sécurité des personnes ou des marchandises transportées ;

- à une meilleure gestion des moyens, en personnel et véhicules (prestations à accomplir en des lieux dispersés) ;

- au suivi et la facturation d’une prestation ;

- au suivi du temps de travail des employés, lorsque ce suivi ne peut être réalisé par d’autres moyens. »

 

Quant à la mise en place d’un dispositif de vidéosurveillance, l’article L.1121-1 du Code du travail énonce que ce n’est pas, en soi, illicite, à condition toutefois d’être proportionné à l’objectif de l’employeur. 

 

Les questions relatives au télétravail

 

Bien que le télétravail existait auparavant, ce mode d’organisation de l’entreprise a su participer activement à la démarche de prévention du risque d’infection au COVID-19

 

Conformément au protocole national pour assurer la santé et la sécurité des salariés en entreprise face à l'épidémie du COVID-19, le télétravail est un mode d'organisation de l'entreprise qui participe activement à la démarche de prévention du risque d'infection au COVID-19.

 

Aujourd’hui, l’employeur doit s’assurer que la mise en place du télétravail respecte les principes du protocole national pour assurer la santé et la sécurité des salariés en entreprise face à l'épidémie du COVID-19, mais aussi les principes du RGPD.

 

Ainsi, si l’employeur souhaite contrôler l’activité des salariés en télétravail, il doit justifier que les dispositifs sont strictement proportionnés à l’objectif poursuivi et ne portent pas atteinte au respect des droits et libertés des salariés, particulièrement le droit au respect de leur vie privée.

 

S’il est licite pour l’employeur de contrôler l’activité de ses salariés, il ne peut les placer sous surveillance permanente, sauf dans des cas exceptionnels dûment justifiés au regard de la nature de la tâche.

 

La Cnil énonce des recommandations sur les conditions de mise en place du télétravail et sur les bonnes pratiques via des questions-réponses.

 

Les manquements à la réglementation sur les données personnelles dans le secteur des ressources humaines

 

• Les différentes dispositions applicables au secteur des ressources humaines :

 

• les articles 83-2 d 83-5 b du RGPD relatifs à la violation des droits bénéficient les personnes concernées en vertu des articles 12 à 22 du RGPD, soit la violation, du principe de minimisation des données (article 5-1 c), de l’obligation de limitation de la durée de conservation des données (article 5-1 e), de l’obligation d’information des personnes (article 13, de l’obligation d’assurer la sécurité des données (article 32) ;

 

• la section III du Titre I, chapitre II de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, intitulé « La Commission nationale de l'informatique et des libertés » (article 20) ; les articles 40 et 41 de la loi renvoient aux dispositions pénales applicables ;

 

• la section V du Livre II, Titre II, chapitre VI du Code pénal (articles 226-16 à 226-24) intitulé « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » énumère les sanctions applicables,   ainsi que les articles R625-10 à R625-13 ;

 

Les sanctions prononcées par la Cnil et ses homologues européens 

 

La Cnil et ses homologues européens ont eu à se prononcer sur des manquements aux obligations prévues par la réglementation sur les données personnelles dans le domaine professionnel.

​

En voici plusieurs exemples :

 

- dans une délibération du 8 mars 2021, l’autorité norvégienne de protection des données a prononcé une amende de 14 900 euros à l’encontre de Dragefossen AS pour surveillance illégale, par caméra, des employés dans l’espace public, sans les informer préalablement de cette surveillance ; 

 

 - dans une délibération du 10 février 2021, l’autorité roumaine de protection des données (ANSPDCP), a prononcé une amende de 1 000 euros à ING Bank N.V. Amsterdam - Bucharest Branch, pour violation de l'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement des données. L’insuffisance des mesures de sécurité a entrainé une violation de la confidentialité des données à caractère personnel des employés ;

 

 - dans une délibération du 14 janvier 2021, l’autorité italienne de protection des données a prononcé une amende de 8 000 euros à l’Agence régionale de protection de l’environnement de Campanie (ARPAC), pour violation de l'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement des données ; 

 

 - dans une délibération du 14 janvier 2021, l’autorité italienne de protection des données, a prononcé une amende de 30 000 euros à l’autorité sanitaire provincale d’Enna, pour violation des droits des personnes concernées. Le traitement de données biométriques des employés dont le but est d’enregistrer leur présence était en l’espèce disproportionné ;

 

 - dans une délibération du 8 janvier 2021, l'autorité de protection des consommateurs de Basse-Saxe (LfD Niedersachsen) a prononcé une amende de 10,4 millions d'euros au détaillant en électronique notebooksbilliger.de. pour surveillance illégale des employés sans disposer d’une base légale pour le faire ;

 

- dans une délibération du 15 décembre 2020, l'autorité lettone de protection des données (DSI) a prononcé une amende de 6 250 euros à un employeur, pour traitement de données personnelles illégal des employés, sans disposer d’une base appropriée pour le faire ; 

 

- dans une délibération du 26 novembre 2020, l'autorité italienne de protection des données a prononcé une amende de 3 000 euros à Charly Mike S.R.L, pour surveillance illégale, par caméra, des employés et des clients, sans les informer préalablement de cette surveillance ;

 

- dans une délibération du 22 septembre 2020, l’autorité espagnole de protection des données a prononcé une amende de 60 000 euros à la société GLP Instalaciones 86, SL, pour violation de données personnelles sensibles d’employés d’une autre société par le traitement de celles-ci alors que la société n’avait pas l’autorisation. 

 

- dans un communiqué du 27 août 2020, la Présidente de la Cnil a mis en demeure plusieurs organismes utilisant des badgeuses photo, de mettre leurs dispositifs de contrôle des horaires en conformité avec le RGPD ;

 

- dans une délibération du 28 juillet 2020, la formation restreinte de la Cnil a prononcé une amende de 250 000 euros et une injonction sous astreinte de se conformer au RGPD, à la société SPARTOO SAS, pour manquement au principe de minimisation des données, manquement à l’obligation de limitation de la durée de conservation des données, manquement à l’obligation d’information des personnes et manquement à l’obligation d’assurer la sécurité des données ;

​

 - dans une délibération du 30 juin 2020, l’autorité danoise de protection des données a prononcé une amende de 6 700 euros à la Municipalité de Lejre pour non-respect de l’obligation d’informer les personnes concernées d’une violation de données personnelles, et pour la mise en place de mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations ;

 

- dans une délibération du 8 juin 2020, l’autorité belge de protection des données a prononcé une amende de 5 000 euros à un employé municipal pour violation de la base de données personnelles, après avoir utilisé cette base pour envoyer des publicités électorales à un groupe d'employés de la même administration municipale, alors qu’il ne disposait pas des habilitations nécessaires pour y accéder ; 

 

- dans une délibération du 22 mai 2020, le médiateur adjoint pour la protection des données de Finlande a prononcé une amende de 16 000 euros à l’encontre de Kymen Vesi Oy pour défaut d’analyse d'impact sur les données personnelles ("DPIA"), analyse qui aurait dû être menée avant le traitement des données de localisation des employés par un système de géolocalisation sur les véhicules ;

 

- dans une délibération du 30 avril 2020, l’autorité de contrôle néerlandaise pour la protection des données a prononcé une amende de 775 000 euros à l’encontre d’une organisation, pour violations des droits des personnes concernées. En l’espèce l’entreprise ne pouvait se prévaloir de l’exception au traitement des données biométriques dans le cadre des enregistrements de présence des employés ;

 

- dans une délibération du 20 février 2020, la commission de protection des données de Bulgarie (CPDB) a prononcé une amende d’environ 2 557 euros à l’encontre de L.E. EOOD pour le traitement illégal des données personnelles de la personne concernée, sans la connaissance et le consentement de la personne concernée. Également, pour l’insuffisance de mesures techniques et organisationnelles mises en place pour assurer la sécurité des informations. La CPDB a ordonné à L.E. EOOD d'effectuer des inspections régulières de ses activités de traitement des données, de faire une analyse des risques concernant les clients et les employés et d'organiser des formations périodiques pour les employés, et a ordonné à L.E EOOD d'archiver et de conserver les documents contenant les données personnelles uniquement à des fins limitées et dans les délais requis par la loi ;

 

- dans une délibération de 2020, le Commissaire fédéral allemand à la protection des données et à la liberté d'information, a prononcé une amende de 35 millions d’euros à la société Hennes & Mauritz (H & M) pour avoir illégalement surveillé des salariés en traitant des données personnelles sensibles sans justification légale, et pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données personnelles ;

 

- dans une délibération du 13 décembre 2019, l’autorité nationale roumaine de contrôle du traitement des données à caractère personnel a prononcé une amende de 5 000 euros à Entirely Shipping & Trading S.R.L. pour avoir traité les données biométriques des employés alors que d’autres moyens moins intrusifs sur la vie privée des personnes concernées pourraient être utilisés pour atteindre la même finalité. L’autorité constate une violation du principe de minimisation des données ;

 

- dans une délibération du 17 octobre 2019, l’autorité nationale de contrôle du traitement des données personnelles de Roumanie a prononcé une amende de 2 500 euros au responsable du traitement de la société UTTIS INDUSTRIES SRL pour manquement au devoir d’information concernant le traitement des données personnelles issues des images par le système de vidéosurveillance ;

 

-  dans une délibération du 30 juillet 2019, l’autorité hellénique de protection des données (l’HDPA), a prononcé une amende de 150 000 euros à l’encontre de PWC Business Solutions, pour violation du principe de transparence et du principe de responsabilité, la société n'ayant pas fourni à l'HDPA la preuve qu'elle avait procédé à une évaluation préalable des bases juridiques appropriées pour le traitement des données personnelles des employés ;

 

 - dans une délibération du 13 juin 2019, la formation restreinte de la Cnil a prononcé une amende de 20 000 euros à l’entreprise UNIONTRAD COMPANY pour l’illégalité de la surveillance constante des employés par vidéosurveillance et a prononcé une injonction afin que la société prenne des mesures pour tracer les accès à la messagerie professionnelle partagée. La Cnil retient le manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, à l’obligation d’informer les personnes, et le manquement à l’obligation d’assurer la sécurité et la confidentialité des données ;

 

- dans une délibération de 2019, l’autorité espagnole de protection des données a prononcé une amende de 20 000 euros à un employeur pour violation du principe de minimisation des données, dès lors que ce dernier utilisait les caméras de vidéosurveillance pour protéger les biens mais aussi pour surveiller les employés ;

 

- dans une délibération du 22 juin 2012 la Cnil a infligé une amende de 10 000 euros à l’encontre la société Équipements Nord Picardie pour avoir refusé à un salarié l’accès aux données de géolocalisation de son véhicule de fonction, malgré les demandes réitérées de la commission. 

 

Référentiels de la Cnil

 

Afin d’accompagner au mieux les professionnels dans le milieu des ressources humaines, la Cnil a :

 

            - publié en 2020 le Guide pratique : Les durées de conservation ;

            - adopté le 21 novembre 2019 le référentiel relatif aux traitements de données à caractère personnel mis en    

            œuvre aux fins de gestion du personnel ;

            - publié en 2019 le Guide pratique sur la sécurité des données personnelles ;

            - publié en 2019 une fiche sur le recrutement et la gestion du personnel.