Information des salariés sur la protection des données personnelles : quelles sont les bonnes pratiques?

30 mai 2024
L’information des personnes sur la manière dont leurs données sont traitées est un des droits essentiels de la protection des données personnelles, raison pour laquelle la CNIL se montre souvent peu clémente à l’égard des responsables de traitement qui manquent de transparence.
Si ce principe de l’information des personnes est désormais bien connu des entreprises, il parait opportun de revenir sur les bonnes pratiques à adopter en la matière.
Quel support privilégier pour procéder à l’information?
Certaines sociétés font parfois le choix d’insérer une clause relative à la protection des données personnelles dans les contrats de travail.
Bien qu’une telle clause puisse être à visée uniquement informative, il nous semble préférable de ne pas «contractualiser» les dispositions relatives à la manière dont la société collecte et traite les données personnelles des salariés et de remettre par exemple une note d’information, distincte du contrat de travail.
Cette option a l’avantage de la flexibilité, une note pouvant plus facilement être mise à jour.
En pratique, elle pourra être remise avec le livret d’accueil de la société et tenue à la disposition des salariés sur l’intranet de la société, ce qui permet de satisfaire à l’exigence d’accessibilité posée par l’article 12 §1 du RGPD (1).
Si la société souhaite toutefois conserver une clause relative à la protection des données personnelles dans les contrats de travail, cette clause pourrait alors consister en un simple renvoi vers la note relative à la protection des données personnelles des salariés. En tout état de cause, il conviendra de préciser que cette mention dans le contrat de travail est purement informative.
Qui sont les destinataires de l’information?
Si l’on pense de manière quasiment systématique à informer les salariés de la manière dont la société collecte et traite leurs données personnelles, on oublie trop souvent d’en informer les candidats à l’embauche, en particulier lorsque leur candidature n’est pas retenue.
Là encore, il est recommandé de leur remettre une note relative à la protection des données personnelles lors de la phase de recrutement (ce d’autant plus que les candidats n’auront pas accès à l’intranet de la société).
Pour des raisons pratiques, il peut être décidé d’établir une note d’information commune qui sera remise aux candidats et aux salariés, sous réserve qu’il y soit bien distingué les traitements de données mis en œuvre dans le cadre du recrutement et de l’embauche.
Quel doit être le contenu de l’information?
Hormis les informations prévues aux articles 13 et 14 du RGPD(2), il résulte de notre expérience, qu’il est utile de préciser dans la note d’information destinée aux salariés (et/ou candidats à l’embauche le cas échéant) que :
-
- leurs données personnelles peuvent être transmises à un tiers dans le cadre d’un audit (notamment audit de conformité ou audit d’acquisition) et être traitées à cette fin ;
-
- leurs données personnelles peuvent être utilisées dans le cadre d’une enquête interne ou dans le cadre d’un contentieux (et être transmises à un tiers le cas échéant).
Enfin, il est opportun de rappeler (notamment pour les filiales françaises de groupes étrangers) que la note d’information doit être rédigée en français.
En effet, bien que le RGPD ne prévoit pas expressément la nécessité de traduire en français l’information remise aux personnes concernées, cela se déduit de l’exigence d’une information compréhensible posée par l’article 12§1 du RGPD ainsi que de la loi relative à l’emploi de la langue française, dite «loi Toubon (3)».
La nécessité de procéder à une information des salariés (et des candidats à l’embauche) sur la manière dont l’entreprise traite leurs données ne doit pas être négligée. En effet, le non-respect de cette obligation expose le responsable de traitement à des sanctions administratives et pénales qui peuvent être très lourdes mais aussi au versement de dommages-intérêts aux personnes lésées (sans oublier le préjudice réputationnel pour la société).
La plus grande vigilance s’impose donc.
(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016
(2) Chapitre III – Droits de la personne concernée – CNIL
(3) Loi n°94-665 du 4 aout 1994 relative à l’emploi de la langue française
AUTEURS
Ludovique Clavreul, Avocate associée, CMS Francis Lefebvre Avocats
Sophie Montagne, Avocate, CMS Francis Lefebvre Avocats
A LIRE ÉGALEMENT
Alertes professionnelles et protection des données personnelles : Mise à jour du référentiel CNIL relatif aux dispositifs d’alerte professionnelle (Ludovique Clavreul et Sophie Montagne – 22/09/23)
Traitement des données des candidats : La CNIL publie un guide sur le recrutement (Aurélie Parchet et Maxime Hanriot – 03/05/23)
A lire également
Transparence financière : aucun syndicat n’échappe à la règle... 4 juin 2020 | CMS FL Social

DRH : attention, le RGPD c’est maintenant !... 24 mai 2018 | CMS FL

Entretiens professionnels : les règles d’abondement du compte personnel de fo... 9 février 2022 | Pascaline Neymond

Lanceurs d’alerte : quels sont les impacts de la loi du 21 mars 2022 pour les ... 7 octobre 2022 | Pascaline Neymond

La CNIL sanctionne le défaut de coopération et impose la publication de décis... 14 février 2014 | CMS FL
RGPD : la nécessaire préparation des acteurs RH... 29 mars 2018 | CMS FL

Elections du conseil économique et social et parité : des précisions qui sèm... 8 janvier 2020 | CMS FL Social

RGPD et droit de la preuve en matière de discrimination : un équilibre diffici... 13 février 2025 | Pascaline Neymond

Articles récents
- Webinaire : LFSS pour 2025 et actualité du contentieux URSSAF
- RGPD et droit de la preuve en matière de discrimination : un équilibre difficile à trouver
- La garantie de rémunération des titulaires de mandat : les précisions jurisprudentielles
- La transaction rédigée en termes généraux fait obstacle à l’indemnisation du préjudice d’anxiété
- Les apports sociaux de la loi Immigration
- Contrôle URSSAF : pas de chiffrage possible des redressements en dehors des règles prévues par la loi
- Titres-Restaurant : prolongation de la dérogation jusqu’au 31 décembre 2026
- Présomption de démission : attention à la rédaction du courrier de mise en demeure !
- Obligation de loyauté de la négociation collective : bonnes pratiques et points de vigilance
- Hamon : stop ou encore ?
Commentaires