Information des salariés sur la protection des données personnelles : quelles sont les bonnes pratiques?

30 mai 2024
L’information des personnes sur la manière dont leurs données sont traitées est un des droits essentiels de la protection des données personnelles, raison pour laquelle la CNIL se montre souvent peu clémente à l’égard des responsables de traitement qui manquent de transparence.
Si ce principe de l’information des personnes est désormais bien connu des entreprises, il parait opportun de revenir sur les bonnes pratiques à adopter en la matière.
Quel support privilégier pour procéder à l’information?
Certaines sociétés font parfois le choix d’insérer une clause relative à la protection des données personnelles dans les contrats de travail.
Bien qu’une telle clause puisse être à visée uniquement informative, il nous semble préférable de ne pas «contractualiser» les dispositions relatives à la manière dont la société collecte et traite les données personnelles des salariés et de remettre par exemple une note d’information, distincte du contrat de travail.
Cette option a l’avantage de la flexibilité, une note pouvant plus facilement être mise à jour.
En pratique, elle pourra être remise avec le livret d’accueil de la société et tenue à la disposition des salariés sur l’intranet de la société, ce qui permet de satisfaire à l’exigence d’accessibilité posée par l’article 12 §1 du RGPD (1).
Si la société souhaite toutefois conserver une clause relative à la protection des données personnelles dans les contrats de travail, cette clause pourrait alors consister en un simple renvoi vers la note relative à la protection des données personnelles des salariés. En tout état de cause, il conviendra de préciser que cette mention dans le contrat de travail est purement informative.
Qui sont les destinataires de l’information?
Si l’on pense de manière quasiment systématique à informer les salariés de la manière dont la société collecte et traite leurs données personnelles, on oublie trop souvent d’en informer les candidats à l’embauche, en particulier lorsque leur candidature n’est pas retenue.
Là encore, il est recommandé de leur remettre une note relative à la protection des données personnelles lors de la phase de recrutement (ce d’autant plus que les candidats n’auront pas accès à l’intranet de la société).
Pour des raisons pratiques, il peut être décidé d’établir une note d’information commune qui sera remise aux candidats et aux salariés, sous réserve qu’il y soit bien distingué les traitements de données mis en œuvre dans le cadre du recrutement et de l’embauche.
Quel doit être le contenu de l’information?
Hormis les informations prévues aux articles 13 et 14 du RGPD(2), il résulte de notre expérience, qu’il est utile de préciser dans la note d’information destinée aux salariés (et/ou candidats à l’embauche le cas échéant) que :
-
- leurs données personnelles peuvent être transmises à un tiers dans le cadre d’un audit (notamment audit de conformité ou audit d’acquisition) et être traitées à cette fin ;
-
- leurs données personnelles peuvent être utilisées dans le cadre d’une enquête interne ou dans le cadre d’un contentieux (et être transmises à un tiers le cas échéant).
Enfin, il est opportun de rappeler (notamment pour les filiales françaises de groupes étrangers) que la note d’information doit être rédigée en français.
En effet, bien que le RGPD ne prévoit pas expressément la nécessité de traduire en français l’information remise aux personnes concernées, cela se déduit de l’exigence d’une information compréhensible posée par l’article 12§1 du RGPD ainsi que de la loi relative à l’emploi de la langue française, dite «loi Toubon (3)».
La nécessité de procéder à une information des salariés (et des candidats à l’embauche) sur la manière dont l’entreprise traite leurs données ne doit pas être négligée. En effet, le non-respect de cette obligation expose le responsable de traitement à des sanctions administratives et pénales qui peuvent être très lourdes mais aussi au versement de dommages-intérêts aux personnes lésées (sans oublier le préjudice réputationnel pour la société).
La plus grande vigilance s’impose donc.
(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016
(2) Chapitre III – Droits de la personne concernée – CNIL
(3) Loi n°94-665 du 4 aout 1994 relative à l’emploi de la langue française
AUTEURS
Ludovique Clavreul, Avocate associée, CMS Francis Lefebvre Avocats
Sophie Montagne, Avocate, CMS Francis Lefebvre Avocats
A LIRE ÉGALEMENT
Alertes professionnelles et protection des données personnelles : Mise à jour du référentiel CNIL relatif aux dispositifs d’alerte professionnelle (Ludovique Clavreul et Sophie Montagne – 22/09/23)
Traitement des données des candidats : La CNIL publie un guide sur le recrutement (Aurélie Parchet et Maxime Hanriot – 03/05/23)
Related Posts
Précisions sur les contours du droit à l’oubli : adoption d’une gr... 18 février 2015 | CMS FL
RGPD – Le G29 livre ses lignes directrices pour la mise en œuvre de l’analy... 19 février 2018 | CMS FL

Reconduction de la prime exceptionnelle de pouvoir d’achat en 2021 : quell... 2 août 2021 | Pascaline Neymond

Alertes professionnelles : la CNIL étend le champ d’application de l&rsqu... 1 avril 2014 | CMS FL
Droit d’accès des salariés à leurs données et aux courriels professionnels... 7 janvier 2022 | Pascaline Neymond

CSE : parité des listes aux élections professionnelles – la Cour de cass... 8 septembre 2020 | CMS FL Social

Elections professionnelles : les 7 erreurs à éviter... 6 mars 2014 | CMS FL
La publication par la Commission européenne de nouvelles lignes directrices rel... 16 mai 2018 | CMS FL

Articles récents
- Maladie et congés payés : nouvelles perspectives
- Les personnes engagées dans un projet parental sont protégées des discriminations au travail
- Le licenciement d’un salarié victime de harcèlement est-il toujours nul ?
- Entretien préalable : faut-il informer le salarié de son droit de se taire ?
- Courriels professionnels : un droit d’accès extralarge
- La loi élargit l’action de groupe à tous les domaines en droit du travail
- Exploitation du fichier de journalisation informatique à des fins probatoires : les conditions posées par le juge
- Enquêtes de mesure de la diversité au travail : les recommandations de la CNIL
- Violation de la clause de non-concurrence et remboursement de la contrepartie financière : une règle qui s’applique si la clause n’est pas valable
- Transposition de la directive : la transparence des rémunérations dès l’embauche
Comments