Information des salariés sur la protection des données personnelles : quelles sont les bonnes pratiques?
![Conformité RGPD Sécurité informatique](/wp-content/uploads/2018/05/IT-cables-700x325.jpg)
30 mai 2024
L’information des personnes sur la manière dont leurs données sont traitées est un des droits essentiels de la protection des données personnelles, raison pour laquelle la CNIL se montre souvent peu clémente à l’égard des responsables de traitement qui manquent de transparence.
Si ce principe de l’information des personnes est désormais bien connu des entreprises, il parait opportun de revenir sur les bonnes pratiques à adopter en la matière.
Quel support privilégier pour procéder à l’information?
Certaines sociétés font parfois le choix d’insérer une clause relative à la protection des données personnelles dans les contrats de travail.
Bien qu’une telle clause puisse être à visée uniquement informative, il nous semble préférable de ne pas «contractualiser» les dispositions relatives à la manière dont la société collecte et traite les données personnelles des salariés et de remettre par exemple une note d’information, distincte du contrat de travail.
Cette option a l’avantage de la flexibilité, une note pouvant plus facilement être mise à jour.
En pratique, elle pourra être remise avec le livret d’accueil de la société et tenue à la disposition des salariés sur l’intranet de la société, ce qui permet de satisfaire à l’exigence d’accessibilité posée par l’article 12 §1 du RGPD (1).
Si la société souhaite toutefois conserver une clause relative à la protection des données personnelles dans les contrats de travail, cette clause pourrait alors consister en un simple renvoi vers la note relative à la protection des données personnelles des salariés. En tout état de cause, il conviendra de préciser que cette mention dans le contrat de travail est purement informative.
Qui sont les destinataires de l’information?
Si l’on pense de manière quasiment systématique à informer les salariés de la manière dont la société collecte et traite leurs données personnelles, on oublie trop souvent d’en informer les candidats à l’embauche, en particulier lorsque leur candidature n’est pas retenue.
Là encore, il est recommandé de leur remettre une note relative à la protection des données personnelles lors de la phase de recrutement (ce d’autant plus que les candidats n’auront pas accès à l’intranet de la société).
Pour des raisons pratiques, il peut être décidé d’établir une note d’information commune qui sera remise aux candidats et aux salariés, sous réserve qu’il y soit bien distingué les traitements de données mis en œuvre dans le cadre du recrutement et de l’embauche.
Quel doit être le contenu de l’information?
Hormis les informations prévues aux articles 13 et 14 du RGPD(2), il résulte de notre expérience, qu’il est utile de préciser dans la note d’information destinée aux salariés (et/ou candidats à l’embauche le cas échéant) que :
-
- leurs données personnelles peuvent être transmises à un tiers dans le cadre d’un audit (notamment audit de conformité ou audit d’acquisition) et être traitées à cette fin ;
-
- leurs données personnelles peuvent être utilisées dans le cadre d’une enquête interne ou dans le cadre d’un contentieux (et être transmises à un tiers le cas échéant).
Enfin, il est opportun de rappeler (notamment pour les filiales françaises de groupes étrangers) que la note d’information doit être rédigée en français.
En effet, bien que le RGPD ne prévoit pas expressément la nécessité de traduire en français l’information remise aux personnes concernées, cela se déduit de l’exigence d’une information compréhensible posée par l’article 12§1 du RGPD ainsi que de la loi relative à l’emploi de la langue française, dite «loi Toubon (3)».
La nécessité de procéder à une information des salariés (et des candidats à l’embauche) sur la manière dont l’entreprise traite leurs données ne doit pas être négligée. En effet, le non-respect de cette obligation expose le responsable de traitement à des sanctions administratives et pénales qui peuvent être très lourdes mais aussi au versement de dommages-intérêts aux personnes lésées (sans oublier le préjudice réputationnel pour la société).
La plus grande vigilance s’impose donc.
(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016
(2) Chapitre III – Droits de la personne concernée – CNIL
(3) Loi n°94-665 du 4 aout 1994 relative à l’emploi de la langue française
AUTEURS
Ludovique Clavreul, Avocate associée, CMS Francis Lefebvre Avocats
Sophie Montagne, Avocate, CMS Francis Lefebvre Avocats
A LIRE ÉGALEMENT
Alertes professionnelles et protection des données personnelles : Mise à jour du référentiel CNIL relatif aux dispositifs d’alerte professionnelle (Ludovique Clavreul et Sophie Montagne – 22/09/23)
Traitement des données des candidats : La CNIL publie un guide sur le recrutement (Aurélie Parchet et Maxime Hanriot – 03/05/23)
A lire également
Que nous reste-t-il du G29 ? 13 septembre 2018 | CMS FL
![](/wp-content/uploads/2015/07/personal-data-420x215.jpg)
Surveillance des salariés dans les entreprises : mode de recours à la vidéo-s... 11 mai 2016 | CMS FL
![](/wp-content/uploads/2015/03/camera-surveillance-420x215.jpg)
Quel risque encourt-on à vendre un fichier clients non déclaré à la Cnil ?... 3 décembre 2013 | CMS FL
Les employeurs ont-ils le droit de contrôler la température de leurs salaries ... 25 mai 2020 | CMS FL Social
![](/wp-content/uploads/2021/05/GettyImages-1203389171-420x215.jpg)
Données personnelles : la défense du droit à la vie privée face à la volont... 31 mai 2017 | CMS FL
![](/wp-content/uploads/2015/03/camera-surveillance-420x215.jpg)
Nouvelle formalité obligatoire pour les employeurs concernant l’exposition au... 10 avril 2024 | Pascaline Neymond
![](/wp-content/uploads/2022/10/prevention-420x215.jpg)
Traitement des données personnelles : quels fichiers l’employeur doit-il déc... 7 décembre 2015 | CMS FL
![](/wp-content/uploads/2015/07/personal-data-420x215.jpg)
Mise en demeure de la CNIL : les nombreux manquements de Facebook à la loi « ... 8 juin 2016 | CMS FL
![](/wp-content/uploads/2016/02/facebook-420x215.jpg)
Articles récents
- L’action en nullité d’un accord collectif est ouverte au CSE
- Le droit du travail au défi des identités de genre
- Comment révoquer un représentant de proximité ?
- Expertise risque grave : l’audition des salariés par l’expert du CSE est possible sans l’accord de l’employeur
- Convention collective de branche applicable à un salarié plus d’un an après son transfert
- Dénonciation de faits de harcèlement moral : enquête ou pas enquête ?
- Contre-visite médicale : ses modalités de mise en œuvre précisées par décret
- Le détourage d’activités dans les opérations de M&A : enjeux juridiques, fiscaux et sociaux
- Rupture d’un commun accord du contrat de travail d’un salarié protégé via un PDV inclus dans un PSE : pas de contrôle du motif économique par l’inspection du travail
- Restructuration et harmonisation des régimes de protection sociale complémentaire
Commentaires