Comme nous l’évoquions dans notre premier article au sujet des données personnelles en entreprise, aux informations classiques, déjà nombreuses, que les organisations recueillent et génèrent régulièrement durant toute la carrière d’un employé en leur sein, de son recrutement jusqu’à son départ (candidature, fiches de paie, évaluations…) vient donc s’ajouter une quantité croissante de données personnelles collectées via de nouveaux dispositifs technologiques.

Mais évidemment, le RGPD a instauré des obligations et des limites à ces collectes, tout en conférant davantage de droits aux individus :

  • Limitation et légitimité des finalités : les données ne doivent être recueillies et traitées qu’en vue d’une finalité précise préalablement déterminée, qui doit bien entendu être justifiée, légitime, et non excessive.
  • Transparence et communication : l’entreprise doit évidemment tenir informés ses employés des données qu’elle collecte et traite. Ceux-ci doivent être au courant de la finalité des traitements, de leur justification juridique, de leur fondement et intérêt légitime, ainsi que de la durée de conservation des données collectées. Ils doivent également être avertis en cas de traitement automatisé des données, ou de transfert en dehors de l’Union européenne. Enfin, ils doivent connaître leurs droits RGPD et les manières de les exercer, ainsi que les coordonnées du responsable de traitement et du délégué à la protection des données (DPO).
  • Minimisation des données : seules les données nécessaires aux traitements et finalités prévus doivent être collectées.
  • Exactitude des données : les données collectées par l’entreprise doivent être justes et non altérées. Les employés ont d’ailleurs la possibilité de modifier celles qui les concernent afin de les corriger en cas d’inexactitude.
  • Limite de conservation : des périodes de conservation des données ont été bien définies en fonction de leurs natures et finalités, et l’employeur doit évidemment les respecter. Ainsi, les données relatives à la gestion du personnel sont conservables 5 ans après le départ du salarié concerné. Celles au sujet des paies le sont 5 ans après les dates de leurs versements, sauf les informations nécessaires à l’établissement des droits des salariés, comme le droit de retraite, qui peuvent être sauvegardées sans limitation. Les fichiers de recrutement, eux, doivent être détruits si le candidat n’est pas retenu, sauf si l’entreprise l’en informe et obtient son accord, auquel cas le CV pourra être conservé 2 ans.
  • Confidentialité et sécurité : l’employeur doit lui-même s’assurer de la bonne sécurisation des données qu’il collecte et traite. Il en a la responsabilité et doit pouvoir démontrer la mise en place de mesures de protection appropriées.

Évidemment, les données personnelles dans le cadre professionnel ne se cantonnent pas à celles collectées par l’employeur, ni à celles qui y demeurent : la société peut en effet faire appel à des sous-traitants pour certains traitements, et certaines données concernant un employé peuvent être régulièrement transmises à divers organismes ou administrations tout au long de son parcours professionnel. Mais dans ces deux cas, leur sécurisation est assurée par les exigences fixées par le RGPD :

  • Sous-traitants : si l’entreprise fait appel à un ou plusieurs sous-traitants afin de gérer les données personnelles qu’elle collecte, celle-ci doit s’assurer, selon l’article 28 du RGPD, qu’ils “présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée”.
  • Administrations : des données personnelles peuvent être envoyées à des administrations ou à des services publics. La plupart respectent le RGPD et le certifient sur leurs sites internet. C’est par exemple le cas de l’URSSAF, d’AMELI, ou encore de Pôle emploi.

Ainsi, en plus d’éviter tout abus, le RGPD permet une sécurisation des données personnelles dans le cadre professionnel, peu importe leur nature ou le nombre de transferts dont elles font l’objet. Au même titre que les citoyens, les employés peuvent exercer leurs droits RGPD concernant leurs données personnelles auprès des entreprises pour lesquelles ils travaillent ou auprès des administrations publiques. L’application gratuite Fair&Smart leur permet d’ailleurs d’exercer facilement ces droits.