Actualité Wolters Kluwer

Assurer le respect des droits des salariés

© Chainarong Prasertthai - Getty images

Le salarié dispose des mêmes droits que n’importe quelle autre personne concernée, droits au nombre desquels figurent notamment celui d’accéder aux données le concernant. C’est sur la base de ce droit que le RGPD peut parfois être instrumentalisé dans le cadre de contentieux prud’homaux.


Le RGPD dédie un article spécifique aux traitements des données des salariés, l’article 88 prévoyant à ce titre que « Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de l'égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l'employeur ou au client, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. »
 
Cette possibilité n’a pas été saisie par l’Etat français, et aucune disposition spécifique aux traitements des données des salariés n’a été intégrée dans la loi Informatique et libertés.
Les salariés bénéficient ainsi strictement des mêmes droits que toute autre personne concernée. 
Les droits des personnes concernées sont détaillés au Chapitre III -  Droits de la personne concernée du RGPD.
Au nombre de ces droits figure en premier celui d’information , lequel sera assuré par le responsable de traitement, en d’autres termes l’employeur, au moment de la collecte de la donnée.

Les autres droits de la personne concernée sont les suivants : 
- droit d'accès de la personne concernée  ;
- droit de rectification et à l’effacement  ;
- droit à la limitation du traitement  ;
- droit à la portabilité des données  ;
- droit d’opposition au traitement .
- droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission .

La loi Informatique et libertés y ajoute le droit suivant :
- droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort  .
L’ensemble de ces droits sera passé en revue avec une attention particulière au droit d’accès, qui, en matière de traitement de données personnelles « RH », constitue l’un des principaux enjeux tant pour l’entreprise que pour le salarié. 

Droit d’information

L’employeur se doit d’informer les salariés sur les données personnelles qu’il collecte ainsi que sur les traitements qu’il met en œuvre dans l’entreprise et ce, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples . 
Les informations devant être fournies par le responsable de traitement au moment de la collecte figurent dans le schéma qui suit.
 
 
Notons que cette information se fait par principe par écrit, ou lorsque cela est approprié, par voie électronique. 
Parmi ces informations, figure notamment « l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données  »

Droit d’accès

Le RGPD donne le droit à toute personne de demander directement à un organisme d’accéder aux données personnelles qui la concernent. 
Ainsi, tout salarié ou ancien salarié aura le droit d’accéder aux données de son dossier professionnel en s’adressant au service concerné : il peut s’agir du service chargé de la gestion des ressources humaines ou du délégué à la protection des données (DPD).
Compte tenu qu’il s’agit d’un droit discrétionnaire, le demandeur n’a donc pas à justifier de motif à l’appui de sa demande.

Contenu

Le droit d’accès comprend :
- un droit d’interrogation : tout salarié a le droit d’interroger le responsable du traitement en vue d’obtenir la confirmation que des données à caractère personnel le concernant font ou ne font pas l’objet d’un traitement ;
- un droit de communication : tout salarié a le droit d’obtenir du responsable du traitement la communication des données à caractère personnel qui le concernent. 
Il faut noter que le salarié peut obtenir l’accès et la communication de toutes ses données, qu’elles soient conservées sur support informatique ou sur support papier. 

Remarque
Attention : le droit d’accès ne doit pas être confondu avec le droit à la portabilité, qui consiste à redonner au salarié les seules données à caractère personnel qui ont été volontairement transmises par la personne concernée, afin qu'il en fasse usage lui-même ou qu'il les transmette à un autre service en ligne.

Données concernées

Le salarié peut accéder aux données relatives à : 
- son recrutement : données qui ont permis d’évaluer la capacité du salarié pour le poste proposé (CV etc.) ;
- son historique de carrière : date d’arrivée, d’embauche, postes précédents, diplômes etc. 
- l’évaluation de ses compétences professionnelles (entretiens annuels d’évaluation, notation etc) ; 
- sa rémunération : indemnités, bonus etc.;
- ses demandes de formation et les éventuelles évaluations de celles-ci ;
- son dossier disciplinaire ;
- l’utilisation de son badge de contrôle d’accès aux locaux ;
- les données issues d’un dispositif de géolocalisation ;
- tout élément ayant servi à prendre une décision à son égard, telle qu’une promotion, une augmentation ou un changement d’affectation par exemple. 

Remarque
Cette liste n’est pas limitative. 
 
Il dispose également d’un droit d’accès aux informations suivantes : 
- les finalités du traitement;
- les catégories de données à caractère personnel concernées;
- les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier ceux qui sont établis dans des pays tiers ou au sein d’organisations internationales;
- lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
- l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;
- le droit d'introduire une réclamation auprès d'une autorité de contrôle;
- lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
- l'existence d'une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée ;
- si les données sont transférées dans un pays tiers, les garanties appropriées mises en place.

Remarque
Lorsque des codes, sigles et abréviations se trouvent dans les documents qui lui sont communiqués, ils doivent, si besoin, être explicités à l’aide d’un lexique ou d’icônes normalisés par exemple . 

Modalités

Forme de la demande

Ce droit peut s’exercer sur place ou par écrit, y compris par voie électronique. En revanche, lorsque la demande est présentée sur place et ne peut être satisfaite immédiatement, un avis de réception daté et signé est délivré à son auteur.

Vérifications à effectuer

Afin de répondre à une demande d’exercice du droit d’accès, il convient de vérifier :
- l’identité du demandeur et son adresse pour l’envoi des données (s’agissant du salarié, cela ne soulève en principe pas de difficulté) ;
- que la demande n’est pas abusive ;
- que les données dont l’accès est sollicité sont bien conservées.
Ceci effectué, Il convient de répondre à la demande.

Délai de réponse

Principe
Il convient de répondre à la demande dans les meilleurs délais sans dépasser un mois à compter de la réception de la demande.
Cas particuliers
Le délai de communication des données peut être prolongé de deux mois supplémentaires dans deux hypothèses : 
- en raison de la complexité de la communication : grand nombre de données concernées, temps de consultation de tous les registres, effacement des données des tiers devant être faite etc. ;
- en raison du nombre important de demande de droit d’accès.
Dans ces situations, le salarié ou l’ancien salarié doit être informé de cette prolongation et de ses motifs dans le délai d’un mois à compter de la réception de la demande.

Réponse à apporter

Il est impossible de refuser de donner suite à la demande d’accès, sauf :
- si les données ne sont plus conservées ou ont été effacées ;
- ou si la demande est manifestement infondée ou excessive, notamment du fait de son caractère répétitif. Pour cela, il faudra notamment apprécier le délai entre les deux demandes, et la possibilité que des nouvelles données aient été collectées ou non. De ce point de vue, Il est conseillé d’établir un historique des demandes d’accès pour en évaluer la fréquence.

Remarque
Une entreprise qui prend le risque de priver le plaignant de la possibilité d’accéder aux données pourra être condamnée .
Accéder à sa demande reviendra à délivrer au salarié une copie des données réclamées.

Gratuité

Par principe, le droit d’accès est gratuit  . Il ne pourrait en aller autrement que si les demandes sont manifestement infondées ou excessives (exemple : demandes répétitives).

Limites

Un salarié ou un ancien salarié peut uniquement accéder aux données qui le concernent. 
En effet, le droit d’accès est un droit personnel. Par conséquent, il ne doit pas porter atteinte aux droits des tiers (autre salarié, visiteur, etc.). Pour une illustration, voir schéma ci-après.
 
 
 
 
 
 
En outre, dans certaines situations, le droit d’accès peut également faire l’objet de certaines restrictions. Il en va ainsi par exemple si les données sont protégées par le secret des affaires, la propriété intellectuelle ou encore par le secret des correspondances. 
Jurisprudence CNIL
Droit des salariés Un salarié a exercé son droit d’accès auprès de l’entreprise qui l’emploie, afin de pouvoir accéder à ses données de géolocalisation concernant le véhicule de service qu’il a utilisé le jour de son accident, et de prouver le caractère professionnel de ce dernier. L’entreprise a d’abord refusé de communiquer ces données, puis a indiqué la possibilité de venir les consulter sur place mais en refusant de lui en communiquer une copie. Etant donné le manque de coopération avec la CNIL et le fait qu’elle a pris le risque de priver le plaignant de la possibilité d’accéder aux données (durée de conservation de 6 mois après l’enregistrement), l’entreprise a été condamnée à une sanction pécuniaire de 10 000 €. Délib. CNIL, 22 juin 2012, n° 2012-213
Une charte informatique, annexée au règlement intérieur de l'entreprise est opposable aux salariés, dès lors qu'il a été satisfait aux obligations d'information et de consultation du comité d'entreprise, et alors que l'information des salariés a été assurée (par voie d'affichage, mais également par un « agrafage » du document aux bulletins de paie). CA Besancon, ch. soc., 21 sept. 2004, n° 03/1807 Il me semble que cet arrêt a davantage vocation à être isolé puis réinséré dans l’étude « Traitements spécifiques » de la partie 2 à la fin du T2/ Procédure d’adoption de la charte informatique sous le T1/ Surveillance des communications électroniques des salariés
 

Droit de rectification

Objet

Il vise à corriger des données qui peuvent être inexactes (âge ou adresse erroné) ou incomplètes (adresse sans le numéro de l’appartement par exemple) compte tenu des finalités du traitement . 
Ce droit de rectification revêt un caractère déterminant dans certaines situations pour un salarié. 

A titre d’exemple :  
- faire rectifier son âge ou sa situation de famille au moment où est lancée une procédure de licenciement pour motif économique peut s’avérer capital (dès lors que ces informations peuvent conduire à la désignation du salarié par l’application des critères d’ordre de licenciement) ;
- faire rectifier son âge sur les listes électorales peut modifier sa capacité à voter ou être élu.

Remarque
En cas de rectification de données incorrectes, l’employeur doit communiquer aux autres destinataires des données (la sécurité sociale par exemple) les amendements qu’il a effectués, à moins que cela n’exige de lui des efforts disproportionnés.

Modalités

Elles sont assez similaires à celles prévues en cas d’exercice du droit d’accès : 
- le salarié peut demander la rectification par voie électronique (formulaire, adresse mail, etc.) ou par courrier, en justifiant de son identité ; 
- il doit lui être répondu dans les meilleurs délais et au plus tard dans le mois qui suit la demande, sauf si cette dernière est particulièrement complexe ou qu’elle s’ajoute à un nombre élevé de demandes concomitantes, auxquels cas le délai peut être prolongé jusqu’à deux mois (sous réserve d’en informer dans le mois l’intéressé en motivant le report) ;
- la demande est gratuite.

Droit à l’effacement

Définition

Il consiste, pour le salarié à demander, dans certaines situations particulières (voir ci-après) que des données personnelles le concernant soient effacées. 

Conditions d’exercice

Le droit à l’effacement peut notamment être exercé par le salarié lorsque : 
- ses données sont utilisées à des fins de prospection ;
- ses données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
- il décide de retirer son consentement à l’utilisation de ses données ;
- ses données font l’objet d’un traitement illicite (par exemple, publication de données  piratées) ;
- ses données doivent être effacées pour respecter une obligation légale ;
- il s’oppose au traitement dans l’hypothèse où le ce dernier est justifié par des motifs légitimes et impérieux.

Limites du droit

Le droit à l’effacement des données ne doit pas aller à l’encontre : 
- de l’exercice du droit à la liberté d’expression et d’information ;
- du respect d’une obligation légale (délai de conservation du double d’un bulletin de paie = 5 ans ) ;
- de l’utilisation de ses données si elles concernent un intérêt public dans le domaine de la santé ;
- de leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
- de la constatation, de l’exercice ou de la défense de droits en justice.
En pareilles hypothèses, le responsable de traitement peut ne pas faire droit à la demande d’effacement. 

Modalités

La demande est gratuite et s’effectue par tout moyen. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, la personne concernée peut saisir la CNIL ou former un recours juridictionnel contre son employeur. 

Droit d’opposition

Définition

Un salarié peut à tout moment s’opposer à ce que certaines de ses données fassent l’objet d’un traitement. Il lui reviendra alors d’identifier les données qu’il souhaite voir supprimer, en justifiant « des raisons tenant à sa situation particulière ». 

Faculté de refus

Le droit d’opposition n’est pas un droit à la suppression simple et définitive de toutes les données du salarié.
Ainsi, la demande d’opposition ne sera pas satisfaite si : 
- il existe des motifs légitimes et impérieux qui imposent de continuer à traiter ses données ;
- ces données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice ;
- une obligation légale impose de conserver ces données ;
- le traitement est nécessaire à la sauvegarde de ses intérêts vitaux ou d'une autre personne physique.  

Droit à la portabilité des données

Définition

Il offre aux personnes concernées la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. 

Objet

Son but est leur réutilisation à des fins personnelles. 
Les données personnelles peuvent ainsi être transmises à un nouvel organisme :
- soit par la personne elle-même ;
- soit directement par l’organisme qui détient les données, si ce transfert direct est « techniquement possible ».

Conditions d’application

Elles sont les suivantes :
- il est limité aux données personnelles fournies par le salarié. Cette expression comprend :
les données déclarées activement et consciemment par le salarié et,
les données générées par l’activité du salarié, lorsqu’il utilise un service ou un appareil (par exemple, les courriels envoyés ou reçus). A l’inverse, les données personnelles qui sont dérivées, calculées ou inférées à partir des données fournies par le salarié, sont exclues du droit à la portabilité, dans la mesure où elles ne sont pas fournies par ce dernier, mais créées par l’employeur ;
- il ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable du salarié ou de l’exécution d’un contrat conclu avec lui ;
- il ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient parmi celles transmises suite à une demande de portabilité.

Remarque
Toutes les données fournies par le salarié ne font pas l’objet du droit à la portabilité. 
En effet, ce droit ne s’applique pas aux données personnelles traitées sur une autre base légale que le consentement ou l’exécution d’un contrat.
Ainsi, les données des employés traitées par les employeurs, sur la base d’un intérêt légitime ou d’obligations légales, ne sont pas concernées par le droit à la portabilité.

Modalités

Le CEPD demande aux organismes :
- d’offrir aux personnes la possibilité de télécharger directement leurs données personnelles ;
- de ne pas faire obstacle à la transmission de ces données à un autre responsable du traitement, soit par l’intermédiaire de la personne concernée, soit directement lorsque c’est techniquement possible.

Il est ainsi possible de répondre à une demande de portabilité par le biais de la mise à disposition d’un fichier contenant l’ensemble des données portables. 
Ce dernier doit être facile à utiliser, accessible, permettre la réception des données de manière sécurisée et minimiser les risques de violation des données traitées par l’organisme. L’employeur doit ainsi rechercher et analyser chacune de ces méthodes pour lever tout obstacle et faciliter l’accès du droit à la portabilité vers le salarié. 

Elise DUFOUR, Avocate associée, Bignon Lebray Avocats et Marie-Charlotte Diriart, Avocate associée, Bignon Lebray Avocats

Les cahiers du DRH
Social
Choisir votre version :

1120,00 € HT   1030,40 € HT

1243,00 € HT   1143,56 € HT
image