Réglementaire

Données personnelles des salariés et candidats : quelles obligations RGPD pour les RH en 2022 ?

5 minutes
Les données personnelles des salariés d’une entreprise et des candidats à un poste sont couvertes par le Règlement Général de Protection des Données (RGPD) entré en vigueur en 2018. Il n’est pas toujours simple pour les services RH de savoir quelles sont exactement les obligations légales. Cet article en 8 idées reçues vous permettra d’y voir plus clair.

Le RGPD a aujourd’hui plus de 4 ans et les délais de tolérance de la CNIL sont dépassés ! Toutes les entreprises qui traitent des données personnelles de citoyens européens doivent être en règle.
Tout comme un client ou un consommateur, salariés et candidats bénéficient d’un droit d’accès à leurs données personnelles. Ils ont la possibilité de demander quelles données les concernant sont conservées par l’entreprise, leur modification, voire leur effacement dans la base RH.

Gestion des données personnelles des salariés : le vrai du faux

1 – Je prends des photographies des salariés et je les publie sans consentement

Par exemple lors de la soirée de fin d’année de l’entreprise, je prends des photos des collaborateurs et je les publie sur la page de l’entreprise d’un grand réseau social (Facebook, Linkedin, Instagram…). Je peux le faire librement et je n’ai pas besoin de recueillir leur accord pour le faire.

FAUX : Dès lors qu’elle se rapporte à une personne identifiée ou identifiable, l’image est une donnée à caractère personnel et son utilisation doit être en accord avec le RGPD. Avec l’Intelligence artificielle et les algorithmes des gros opérateurs de BIG DATA (réseau sociaux, moteurs de recherche, sites marchands), retrouver les identités est chose aisée. Une personne sur une photographie est donc facilement identifiable, même si son nom n’est pas mentionné.

2 – Si je passe par un prestataire (de paie par exemple) qui va utiliser certaines données personnelles des salariés, je dois signer un contrat spécifique pour le respect des données avec lui.

Dans le cas où je confie à un prestataire extérieur le traitement des données à caractère personnel dont je dispose (de mes salariés…), je dois formaliser ma relation avec le sous-traitant/prestataire par un contrat.

VRAI : le RGPD exige que le traitement de données personnelles par un sous-traitant soit régi par un contrat. Le sous-traitant doit notamment s’engager à traiter les données qui lui sont confiées conformément aux instructions de l’entreprise, à avertir l’entreprise en cas de faille de sécurité, à mettre en place des mesures de sécurité appropriées ou encore à supprimer les données personnelles à la fin de sa mission. Le contrat permet à l’entreprise d’engager la responsabilité contractuelle de son sous-traitant en cas de manquement au RGPD.

3 – Je dois demander le consentement du salarié pour traiter ses données personnelles.

FAUX … Ouf ! Le traitement des données personnelles d’un salarié est indispensable à l’exécution du contrat de travail. Le consentement du salarié n’est donc pas nécessaire. Toutefois, pour les données qui ne sont pas directement liées au contrat de travail, il n’est pas possible de les collecter sans le consentement du salarié.
Le fait d’avoir le droit de conserver et traiter certaines données personnelles ne dispense pas de l’obligation d’informer les collaborateurs s’il y a sous-traitance par un gestionnaire de paie par exemple.

4 – Le numéro de sécurité sociale est une donnée personnelle.

VRAI : le numéro de sécurité sociale est unique et permet d’identifier un individu de manière certaine. Il s’agit donc d’une donnée personnelle sensible nécessitant des garanties supplémentaires et qui ne peut pas être traitée ou collectée arbitrairement.

5 – Afin de sécuriser les données personnelles, seuls les salariés de l’entreprise peuvent y avoir accès.

FAUX : l’accès aux données personnelles doit être restreint en fonction des objectifs poursuivis. Tous les salariés ne peuvent donc pas avoir accès à l’ensemble des données personnelles traitées ou stockées dans l’entreprise. Cela qui implique qu’il y ait un cloisonnement en interne afin de donner des habilitations nécessaires à certains salariés en fonction des tâches qu’il a à exécuter. En interne, seuls les RH et éventuellement la direction financière peuvent avoir accès aux données de leurs salariés.

Gestion des données des candidats/postulants en accord avec le RGPD

6 – Je garde les CV des candidats que je n’ai pas retenus et je me réserve le droit de les solliciter au cas où j’aurais plus tard un emploi plus en adéquation. Je peux le faire sans contrainte.

VRAI et… FAUX : conserver un CV est possible à condition que les candidats en soient informés et qu’ils aient donné leur accord. Enfin, la CNIL estime que cette durée de conservation de peut excéder 2 ans. Seul l’accord formel du candidat permet une conservation plus longue.
En revanche, si je dois « effacer » la donnée et ne plus l’utiliser, je me dois de l’archiver pour pouvoir la ressortir en cas de litige comme une poursuite pour discrimination à l’embauche qui n’est prescrite qu’au bout de 5 ans. Autrement dit, je peux accéder au CV et dossier de candidature pendant 2 ans mais je devrais archiver ce dossier pour des fins de respect du droit du travail pendant 3 années supplémentaires.

7 – Je n’ai pas besoin d’informer les candidats qui postulent à une offre d’emploi sur la gestion de leurs données et leur transfert à un tiers (pour une analyse graphologique par exemple). S’ils sont candidats, cela me donne le droit de gérer leurs données comme je le souhaite.

FAUX : il faut que chaque candidat sache ce que vous comptez faire de ce qu’il vous confie … et qu’il puisse éventuellement faire valoir ses droits (accès et rectification, etc.).

8- Je dois conserver les traces d’une candidature pendant 5 ans en cas de mise en cause pour discrimination à l’embauche. Or, un candidat non retenu me contacte quelques mois après et exige l’effacement de ces données ! Comment concilier les deux ?

« Effacement » ne veut pas dire destruction mais simplement que vous ne pouvez utiliser les données de cette personne. Vous devez donc les stocker en lieu sûr et vous assurer que personne n’y a accès en dehors du motif légitime de désarchivage à des fins contentieuses. Au-delà de 5 ans, vous pourrez détruire ces données.

Et les données des clients alors ?

Conserver les données des clients et prospects requiert également une mise en conformité avec le RGPD. Il faut les informer des conditions dans lesquelles sont traitées leurs données et quels sont leurs droits, collecter les données strictement nécessaires, sécuriser ces données et les conservées dans les délais impartis.

Pour mener un chantier RGPD efficace, il est fortement conseillé d’avoir un.e Délégué.e à la protection des données (DPO) et un fichier registre rassemblant toutes les activités de traitement de l’entreprise.