Information des salariés sur la protection des données personnelles : quelles sont les bonnes pratiques?
30 mai 2024
L’information des personnes sur la manière dont leurs données sont traitées est un des droits essentiels de la protection des données personnelles, raison pour laquelle la CNIL se montre souvent peu clémente à l’égard des responsables de traitement qui manquent de transparence.
Si ce principe de l’information des personnes est désormais bien connu des entreprises, il parait opportun de revenir sur les bonnes pratiques à adopter en la matière.
Quel support privilégier pour procéder à l’information?
Certaines sociétés font parfois le choix d’insérer une clause relative à la protection des données personnelles dans les contrats de travail.
Bien qu’une telle clause puisse être à visée uniquement informative, il nous semble préférable de ne pas «contractualiser» les dispositions relatives à la manière dont la société collecte et traite les données personnelles des salariés et de remettre par exemple une note d’information, distincte du contrat de travail.
Cette option a l’avantage de la flexibilité, une note pouvant plus facilement être mise à jour.
En pratique, elle pourra être remise avec le livret d’accueil de la société et tenue à la disposition des salariés sur l’intranet de la société, ce qui permet de satisfaire à l’exigence d’accessibilité posée par l’article 12 §1 du RGPD (1).
Si la société souhaite toutefois conserver une clause relative à la protection des données personnelles dans les contrats de travail, cette clause pourrait alors consister en un simple renvoi vers la note relative à la protection des données personnelles des salariés. En tout état de cause, il conviendra de préciser que cette mention dans le contrat de travail est purement informative.
Qui sont les destinataires de l’information?
Si l’on pense de manière quasiment systématique à informer les salariés de la manière dont la société collecte et traite leurs données personnelles, on oublie trop souvent d’en informer les candidats à l’embauche, en particulier lorsque leur candidature n’est pas retenue.
Là encore, il est recommandé de leur remettre une note relative à la protection des données personnelles lors de la phase de recrutement (ce d’autant plus que les candidats n’auront pas accès à l’intranet de la société).
Pour des raisons pratiques, il peut être décidé d’établir une note d’information commune qui sera remise aux candidats et aux salariés, sous réserve qu’il y soit bien distingué les traitements de données mis en œuvre dans le cadre du recrutement et de l’embauche.
Quel doit être le contenu de l’information?
Hormis les informations prévues aux articles 13 et 14 du RGPD(2), il résulte de notre expérience, qu’il est utile de préciser dans la note d’information destinée aux salariés (et/ou candidats à l’embauche le cas échéant) que :
-
- leurs données personnelles peuvent être transmises à un tiers dans le cadre d’un audit (notamment audit de conformité ou audit d’acquisition) et être traitées à cette fin ;
-
- leurs données personnelles peuvent être utilisées dans le cadre d’une enquête interne ou dans le cadre d’un contentieux (et être transmises à un tiers le cas échéant).
Enfin, il est opportun de rappeler (notamment pour les filiales françaises de groupes étrangers) que la note d’information doit être rédigée en français.
En effet, bien que le RGPD ne prévoit pas expressément la nécessité de traduire en français l’information remise aux personnes concernées, cela se déduit de l’exigence d’une information compréhensible posée par l’article 12§1 du RGPD ainsi que de la loi relative à l’emploi de la langue française, dite «loi Toubon (3)».
La nécessité de procéder à une information des salariés (et des candidats à l’embauche) sur la manière dont l’entreprise traite leurs données ne doit pas être négligée. En effet, le non-respect de cette obligation expose le responsable de traitement à des sanctions administratives et pénales qui peuvent être très lourdes mais aussi au versement de dommages-intérêts aux personnes lésées (sans oublier le préjudice réputationnel pour la société).
La plus grande vigilance s’impose donc.
(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016
(2) Chapitre III – Droits de la personne concernée – CNIL
(3) Loi n°94-665 du 4 aout 1994 relative à l’emploi de la langue française
AUTEURS
Ludovique Clavreul, Avocate associée, CMS Francis Lefebvre Avocats
Sophie Montagne, Avocate, CMS Francis Lefebvre Avocats
A LIRE ÉGALEMENT
Alertes professionnelles et protection des données personnelles : Mise à jour du référentiel CNIL relatif aux dispositifs d’alerte professionnelle (Ludovique Clavreul et Sophie Montagne – 22/09/23)
Traitement des données des candidats : La CNIL publie un guide sur le recrutement (Aurélie Parchet et Maxime Hanriot – 03/05/23)
A lire également
Quel risque encourt-on à vendre un fichier clients non déclaré à la Cnil ?... 3 décembre 2013 | CMS FL
L’inclusion, un nouveau défi pour les entreprises... 28 mai 2021 | Pascaline Neymond
Alertes professionnelles : la CNIL étend le champ d’application de l&rsqu... 1 avril 2014 | CMS FL
Alertes professionnelles : attention, tout n’est pas permis... 22 janvier 2015 | CMS FL
Protection liée à la naissance d’un enfant : extension au père des restrict... 19 décembre 2023 | Pascaline Neymond
Un décret du 3 mai 2017 précise les modalités de publicité des accords colle... 13 juin 2017 | CMS FL
Nouvelle convention collective de la métallurgie : une grille unique de classif... 25 avril 2022 | Pascaline Neymond
Droit du travail et règlementation sur la protection des données : des relatio... 29 avril 2021 | Pascaline Neymond
Articles récents
- Visites médicales : les nouveaux modèles de documents remis au travailleur à l’occasion des visites réalisées par la médecine du travail sont publiés
- Forfait jours : quel contenu pour la convention individuelle de forfait ?
- La Défenseure des droits publie son premier rapport sur la protection des lanceurs d’alerte en France
- Webinaire – La politique des rémunérations
- Attribution gratuite d’actions et calcul des indemnités de rupture
- Retraite anticipée pour inaptitude au travail : la CNAV apporte des précisions sur ce dispositif
- Condition d’ancienneté pour le bénéfice des ASC : une mise en conformité nécessaire pour éviter les redressements Urssaf
- Participation : la Cour de cassation entérine l’impossibilité de remettre en cause le bénéfice fiscal
- Virus mpox ou « variole du singe » : les préconisation du ministère du Travail et de la Santé
- Droit Social + marque une pause estivale
Commentaires