1. Gestion
  2. Politique de confidentialité - RGPD
  3. Les limites de la protection des données personnelles du salarié

Les limites de la protection des données personnelles du salarié

Je rédige ma charte de confidentialité
Je rédige ma charte de confidentialité
Maxime Wagner
Écrit par Maxime Wagner

Cofondateur de Captain Contrat, Maxime a débuté en analyse de risque financier et a évolué sur des enjeux d'innovation dans la distribution. Il est diplômé de Centrale Lille et l'ESSEC.


Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour la gestion des équipes et le fonctionnement de la société. Ces données sont principalement pratiques pour les besoins RH et comptables. Mais depuis la généralisation de l’outil informatique surtout dans le secteur tertiaire, il est possible de recueillir d’autres types de données et surtout les archiver. À partir de quel moment cette pratique devient-elle de la surveillance, et quelles sont les limites tant pour le salarié que pour l’employeur ?

La protection des données personnelles, la problématique du siècle 

L’établissement de règles claires au sein des entreprises tout en permettant aux individus de contrôler les données conservées à leurs sujets est une des priorités de l’Union européenne. Collecter des données à caractère personnel n’est légal que si l’objectif de cet archivage est estimé comme étant légitime. Elle doit correspondre à une fonction précise et justifiée par l’acteur qui procède à la collecte. Il est par exemple compréhensible qu’un centre hospitalier conserve les dates de naissance et les groupes sanguins de ses patients durant un certain laps de temps. Le transfert de ces données ne peut par ailleurs se faire qu’avec l’autorisation de l’individu concerné. Il convient donc pour l'employeur d'établir une charte des données personnelles qui a pour objet d’informer l’utilisateur sur les moyens mis en œuvre pour collecter ses données à caractère personnel.

En France, l’organisme de référence en terme de protection des données personnelles est la CNIL (Commission Nationale de l’Information et des Libertés). Il s’agit d’une autorité administrative indépendante qui demeure autonome tant dans son organisation que dans son fonctionnement. La CNIL accompagne les professionnels dans leur mise en conformité à la législation sur les données personnelles et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Elle analyse l’impact des nouvelles technologies sur la vie privée des salariés lorsqu’ils sont sur leur lieu de travail, afin de veiller à ce que des règles de fonctionnement interne à l’entreprise ne soient pas en violation directe avec le droit à la vie privée de ces derniers. La CNIL dispose pour ce faire de pouvoirs étendus, notamment l’accès aux locaux ainsi qu’aux documents désirés.

Les contrôles de la CNIL s’opère autour de cinq grands principes :

  • Le principe de finalité, ici la CNIL vérifié si le but recherché dans la collecte est légitime,
  • La proportionnalité et pertinence des données récoltées, la CNIL contrôle que les données sont utiles au but recherché,
  • Une durée de conservation limitée, généralement six mois,
  • La sécurité et la confidentialité des fichiers contenant les données, la CNIL contrôle que le responsable du traitement ne fait courir aucun risque aux données récoltées
  • Le respect des droits des personnes, la CNIL vérifie que le responsable du traitement informe chaque particulier sur ses droits à opposition, rectification et consultation des données.

 

Les données recueillies dans le cadre de l'entreprise

 

De multiples types de données peuvent vous être utiles pour le management de vos équipes. Cependant, la conservation des données personnelles du salarié est soumise à une réglementation stricte.

Parmi les informations qui peuvent être soumises à controverse, il y a la géolocalisation du salarié par son équipement numérique et son véhicule, les horaires d’accès aux locaux notamment par l’usage d’un badge, la vidéosurveillance, l’écoute et conservation des appels téléphoniques, ou tout simplement les informations nécessaires au processus de recrutement du salarié. La CNIL a mis en place des consignes claires à ces sujets, qui permettent aux entreprises comme aux salariés de prendre connaissance des bonnes pratiques en terme de protection des données personnelles.

À noter, durant l’année 2012, 10 % des plaintes reçues par la CNIL concernaient directement le monde de l’entreprise.

Quelles garanties pour les salariés ?

Tout dirigeant doit informer ses salariés sur l’existence d’un traitement de leurs données personnelles. Peu importe qu’il s’agisse d’un mécanisme de vidéo surveillance, d’enregistrement des appels, de géolocalisation d’un véhicule le salarié doit être au courant qu’il fait l’objet d’une attention toute particulière de son employeur, quant à ce qu’il dit ou ce qu’il fait.

La finalité du traitement des données personnelles est strictement contrôlé par la CNIL, de ce fait un dispositif de géolocalisation d’un véhicule est admis dès lors qu’il a pour but d’assurer la sécurité des personnes et marchandises, une meilleure gestion des moyens en personnels et véhicules, du suivi du temps de travail.

A noter que la finalité du traitement est examiné strictement dès lors qu’il s’agit d’un salarié protégé afin de limiter au maximum toute tentative de surveillance de ses faits et gestes.

 

 

Le contrôle justifié des outils informatiques

 

Il est d’usage de considérer un contrôle centralisé des outils informatiques par l’entreprise comme demeurant tout à fait légitime. L’objectif est d’assurer la santé des réseaux de l’entreprise et protéger les serveurs contre les attaques malveillantes. Selon McAfee, l’année 2015 a vu la perte de 400 milliards de dollars causée par la cybercriminalité.

Quant à la limitation de l’usage personnel de l’Internet et des postes de travail qui appartiennent à l’entreprise, ce choix doit être fait par les managers. Par défaut, la messagerie professionnelle et les fichiers contenus par les supports informatiques de la société peuvent être consultés par l’employeur. Le salarié peut cependant poser une mention « Privé » ou « Personnel » sur des fichiers ou des répertoires de messagerie. Seuls ces termes permettent de limiter l’accès à l’employeur. Cependant, il peut y accéder lorsque la nécessité se présente soit en présence du salarié, soit en l’ayant appelé auparavant. Il peut également les ouvrir s’il est jugé que ces données portent un risque pour l’activité de l’entreprise.

En ce qui concerne les identifiants de connexion aux postes de travail, ils sont jugés comme étant absolument personnels. En cas d’absence du salarié, et si leur utilisation est urgente, l’employeur est en droit de demander les mots de passe.

 

Les pratiques formellement interdites aux employeurs

 

Le rôle de la CNIL est entre autres de protéger les salariés contre les usages abusifs des outils informatiques au travail.

Parmi les méthodes interdites, la mise en copie automatique de tous les messages reçus et rédigés par les employés est considérée comme étant exagérée.

De plus, la conservation des informations de connexion d’un salarié ne peut pas se faire au-delà de 6 mois. Cependant l’utilisation des keyloggers, technique d’enregistrement à distance des actions d’un poste informatique, est illégale.

 

Limite de la protection des données personnelles du salarié

 

La protection de l’individu ne doit pas devenir un frein pour la sécurité de tous. Lorsqu’une enquête est en cours au sujet d’un des salariés, les protections concernant l’usage et l’archive de ses données ne sont plus valables. De la même manière, les autorités peuvent demander à accéder à ces informations dans le cadre d’une enquête. Dans cette situation, l’employeur a pour obligation d’obtempérer et de fournir tous les éléments demandés pour ne pas contraindre une investigation en cours.

 

Les droits du salarié

 

Tandis que le périmètre d’usage des outils d’informatique au sein de l’entreprise est défini par l’employeur, ce dernier a des obligations envers son salarié.

Il n’est pas interdit à l’employeur de limiter les utilisations personnelles telles que la consultation du courrier électronique personnel et des réseaux sociaux. Il est laissé au jugement des équipes de management de l’entreprise si ces usages contraignent ou non la productivité du salarié, ou s’ils sont un risque pour l’activité de la société.

En revanche, dès lors que l’employeur stocke des données personnelles qui concernent le salarié, alors il a pour obligation de l’en informer. La justification et la légitimité de cette pratique doit être explicitées au salarié. Le salarié a en conséquence le droit de s’opposer à la collecte de données personnelles qui le concernent, s’ils disposent d’un motif valable. Il peut également demander la rectification d’une information erronée.

Les nouvelles technologies permettent dorénavant de nouveaux usages dans le monde du travail. Elles permettent entre autres la mesure des activités des salariés et leur productivité. C’est un outil précieux pour permettre d’optimiser des méthodes de travail en opérant des changements d’organisation qui n’auraient pu se faire sans ces informations. Afin de limiter les dérives et les plaintes qui en résulteraient auprès de la CNIL, les bonnes pratiques en terme d’usage des données personnelles des salariés doivent être scrupuleusement suivies. Un usage abusif de ces technologies est par ailleurs un argument négatif pour l’employeur, s’il survient une mésentente avec le salarié entre autres dans un contexte de rupture conventionnelle ou de licenciement.

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Julien Smadja décrypte pour vous le contenu et l'importance de ce document.

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier