1. Je veille à la protection des données personnelles de mes salariés
Je fournis à mes salariés l’information à laquelle ils ont droit
En tant qu’employeur, vous disposez nécessairement d’informations de base sur vos salariés : leur identité, leur adresse, leurs coordonnées bancaires etc.
Vous n’êtes pas obligé de recueillir le consentement de vos salariés pour le traitement de leurs données personnelles courantes. Par exemple, celles qui permettent :
la gestion de la paie ;
l’exécution du contrat de travail ;
le contrôle de l’activité ;
le respect des diverses obligations légales de l’entreprise.
En revanche, le consentement de vos salariés est indispensable si l’utilisation de leurs données est sans rapport avec ces catégories. Par exemple, l’utilisation de la photo d’un salarié à des fins publicitaires ou promotionnelles.
Et dans tous les cas, vous devez :
fournir une information claire sur ces traitements :
- informer vos salariés de leur existence ;
- indiquer l’identité des personnes en charge des fichiers et celle des destinataires des données ;
- préciser la durée de conservation des données.
garantir l’accès à ces données.
Le Règlement Général sur la Protection des Données (RGPD : règlement européen) vous impose de tenir un « registre des traitements de données ». Il regroupe l’ensemble des informations personnelles recueillies sur les salariés.
J’assure la sécurité et la confidentialité des données
Vous devez prendre les mesures techniques et organisationnelles pour garantir la protection des données personnelles traitées. Par exemple, en assurant :
la sécurité physique des serveurs, des lieux et des dispositifs informatiques ;
le contrôle de l’accès aux données (procédures d’habilitation permettant de cloisonner les données, chiffrement des données…).
En cas de violation des données personnelles, vous devez en avertir :
la CNIL (dans les 72 heures si l’incident peut porter atteinte aux droits et libertés du salarié) ;
les salariés concernés (dans les meilleurs délais si l’incident peut engendrer un risque élevé pour leurs droits et libertés).
Je fais respecter les droits de mes salariés sur leurs données
En plus de leur droit à l’information, vous devez assurer à vos salariés le respect de nombreux autres droits :
droit d’accès (le responsable du traitement devra fournir au salarié une copie de ses données à caractère personnel faisant l’objet du traitement) ;
droit de rectification (si les données du salarié sont inexactes) ;
droit à l’effacement (sous certaines conditions) ;
droit à la limitation du traitement ;
droit à la portabilité de ses données ;
droit d’opposition au traitement des données.
Tout employé peut saisir son employeur pour exercer les droits qu’il détient sur ses données personnelles, et sa demande doit être suivie d’une réponse dans un délai d’un mois. Lorsque les demandes sont complexes et nombreuses, ce délai peut être prolongé de deux mois, auquel cas le responsable de traitement en informe la personne concernée.
Lorsque l’employeur agit en violation d’une des dispositions du règlement ou ne répond pas à la demande d’exercice d’un droit d’un salarié, il s’expose à un recours de sa part et à des sanctions prononcées par la CNIL.