Les limites de la protection des données personnelles du salarié

par
5
Je rédige ma charte de confidentialité
Je rédige ma charte de confidentialité

Sommaire

  1. Le contrôle justifié des outils informatiques
  2. Les pratiques formellement interdites aux employeurs
  3. Limite de la protection des données personnelles du salarié
  4. Les droits du salarié
Je rédige ma charte de confidentialité

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour la gestion des équipes et le fonctionnement de la société. Ces données sont principalement pratiques pour les besoins RH et comptables. Mais depuis la généralisation de l’outil informatique surtout dans le secteur tertiaire, il est possible de recueillir d’autres types de données et surtout les archiver. À partir de quel moment cette pratique devient-elle de la surveillance, et quelles sont les limites tant pour le salarié que pour l’employeur ?

La protection des données personnelles, la problématique du siècle 

L’établissement de règles claires au sein des entreprises tout en permettant aux individus de contrôler les données conservées à leurs sujets est une des priorités de l’Union européenne. Collecter des données à caractère personnel n’est légal que si l’objectif de cet archivage est estimé comme étant légitime. Elle doit correspondre à une fonction précise et justifiée par l’acteur qui procède à la collecte. Il est par exemple compréhensible qu’un centre hospitalier conserve les dates de naissance et les groupes sanguins de ses patients durant un certain laps de temps. Le transfert de ces données ne peut par ailleurs se faire qu’avec l’autorisation de l’individu concerné. Il convient donc pour l'employeur d'établir une charte des données personnelles qui a pour objet d’informer l’utilisateur sur les moyens mis en œuvre pour collecter ses données à caractère personnel.

En France, l’organisme de référence en terme de protection des données personnelles est la CNIL (Commission Nationale de l’Information et des Libertés). Il s’agit d’une autorité administrative indépendante qui demeure autonome tant dans son organisation que dans son fonctionnement. La CNIL accompagne les professionnels dans leur mise en conformité à la législation sur les données personnelles et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Elle analyse l’impact des nouvelles technologies sur la vie privée des salariés lorsqu’ils sont sur leur lieu de travail, afin de veiller à ce que des règles de fonctionnement interne à l’entreprise ne soient pas en violation directe avec le droit à la vie privée de ces derniers. La CNIL dispose pour ce faire de pouvoirs étendus, notamment l’accès aux locaux ainsi qu’aux documents désirés.

Les contrôles de la CNIL s’opère autour de cinq grands principes :

  • Le principe de finalité, ici la CNIL vérifié si le but recherché dans la collecte est légitime,
  • La proportionnalité et pertinence des données récoltées, la CNIL contrôle que les données sont utiles au but recherché,
  • Une durée de conservation limitée, généralement six mois,
  • La sécurité et la confidentialité des fichiers contenant les données, la CNIL contrôle que le responsable du traitement ne fait courir aucun risque aux données récoltées
  • Le respect des droits des personnes, la CNIL vérifie que le responsable du traitement informe chaque particulier sur ses droits à opposition, rectification et consultation des données.

 

Les données recueillies dans le cadre de l'entreprise

 

De multiples types de données peuvent vous être utiles pour le management de vos équipes. Cependant, la conservation des données personnelles du salarié est soumise à une réglementation stricte.

Parmi les informations qui peuvent être soumises à controverse, il y a la géolocalisation du salarié par son équipement numérique et son véhicule, les horaires d’accès aux locaux notamment par l’usage d’un badge, la vidéosurveillance, l’écoute et conservation des appels téléphoniques, ou tout simplement les informations nécessaires au processus de recrutement du salarié. La CNIL a mis en place des consignes claires à ces sujets, qui permettent aux entreprises comme aux salariés de prendre connaissance des bonnes pratiques en terme de protection des données personnelles.

À noter, durant l’année 2012, 10 % des plaintes reçues par la CNIL concernaient directement le monde de l’entreprise.

Quelles garanties pour les salariés ?

Tout dirigeant doit informer ses salariés sur l’existence d’un traitement de leurs données personnelles. Peu importe qu’il s’agisse d’un mécanisme de vidéo surveillance, d’enregistrement des appels, de géolocalisation d’un véhicule le salarié doit être au courant qu’il fait l’objet d’une attention toute particulière de son employeur, quant à ce qu’il dit ou ce qu’il fait.

La finalité du traitement des données personnelles est strictement contrôlé par la CNIL, de ce fait un dispositif de géolocalisation d’un véhicule est admis dès lors qu’il a pour but d’assurer la sécurité des personnes et marchandises, une meilleure gestion des moyens en personnels et véhicules, du suivi du temps de travail.

A noter que la finalité du traitement est examiné strictement dès lors qu’il s’agit d’un salarié protégé afin de limiter au maximum toute tentative de surveillance de ses faits et gestes.

Le contrôle justifié des outils informatiques

 

Il est d’usage de considérer un contrôle centralisé des outils informatiques par l’entreprise comme demeurant tout à fait légitime. L’objectif est d’assurer la santé des réseaux de l’entreprise et protéger les serveurs contre les attaques malveillantes. Selon McAfee, l’année 2015 a vu la perte de 400 milliards de dollars causée par la cybercriminalité.

Quant à la limitation de l’usage personnel de l’Internet et des postes de travail qui appartiennent à l’entreprise, ce choix doit être fait par les managers. Par défaut, la messagerie professionnelle et les fichiers contenus par les supports informatiques de la société peuvent être consultés par l’employeur. Le salarié peut cependant poser une mention « Privé » ou « Personnel » sur des fichiers ou des répertoires de messagerie. Seuls ces termes permettent de limiter l’accès à l’employeur. Cependant, il peut y accéder lorsque la nécessité se présente soit en présence du salarié, soit en l’ayant appelé auparavant. Il peut également les ouvrir s’il est jugé que ces données portent un risque pour l’activité de l’entreprise.

En ce qui concerne les identifiants de connexion aux postes de travail, ils sont jugés comme étant absolument personnels. En cas d’absence du salarié, et si leur utilisation est urgente, l’employeur est en droit de demander les mots de passe.

 

Les pratiques formellement interdites aux employeurs

 

Le rôle de la CNIL est entre autres de protéger les salariés contre les usages abusifs des outils informatiques au travail.

Parmi les méthodes interdites, la mise en copie automatique de tous les messages reçus et rédigés par les employés est considérée comme étant exagérée.

De plus, la conservation des informations de connexion d’un salarié ne peut pas se faire au-delà de 6 mois. Cependant l’utilisation des keyloggers, technique d’enregistrement à distance des actions d’un poste informatique, est illégale.

 

Limite de la protection des données personnelles du salarié

 

La protection de l’individu ne doit pas devenir un frein pour la sécurité de tous. Lorsqu’une enquête est en cours au sujet d’un des salariés, les protections concernant l’usage et l’archive de ses données ne sont plus valables. De la même manière, les autorités peuvent demander à accéder à ces informations dans le cadre d’une enquête. Dans cette situation, l’employeur a pour obligation d’obtempérer et de fournir tous les éléments demandés pour ne pas contraindre une investigation en cours.

 

Les droits du salarié

 

Tandis que le périmètre d’usage des outils d’informatique au sein de l’entreprise est défini par l’employeur, ce dernier a des obligations envers son salarié.

Il n’est pas interdit à l’employeur de limiter les utilisations personnelles telles que la consultation du courrier électronique personnel et des réseaux sociaux. Il est laissé au jugement des équipes de management de l’entreprise si ces usages contraignent ou non la productivité du salarié, ou s’ils sont un risque pour l’activité de la société.

En revanche, dès lors que l’employeur stocke des données personnelles qui concernent le salarié, alors il a pour obligation de l’en informer. La justification et la légitimité de cette pratique doit être explicitées au salarié. Le salarié a en conséquence le droit de s’opposer à la collecte de données personnelles qui le concernent, s’ils disposent d’un motif valable. Il peut également demander la rectification d’une information erronée.

Les nouvelles technologies permettent dorénavant de nouveaux usages dans le monde du travail. Elles permettent entre autres la mesure des activités des salariés et leur productivité. C’est un outil précieux pour permettre d’optimiser des méthodes de travail en opérant des changements d’organisation qui n’auraient pu se faire sans ces informations. Afin de limiter les dérives et les plaintes qui en résulteraient auprès de la CNIL, les bonnes pratiques en terme d’usage des données personnelles des salariés doivent être scrupuleusement suivies. Un usage abusif de ces technologies est par ailleurs un argument négatif pour l’employeur, s’il survient une mésentente avec le salarié entre autres dans un contexte de rupture conventionnelle ou de licenciement.

Maxime

Écrit par

Maxime

Après avoir travaillé en finance à l'international puis dans la grande distribution en France, Maxime est devenu dirigeant d'entreprise. En contact avec de nombreux entrepreneurs, sa mission est de simplifier l'accès au droit grâce au numérique et favoriser le développement de l'entrepreneuriat en France.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles relatives à ses utilisateurs, il est ...

Amélie Gautier

Amélie Gautier

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier