L’entrée en vigueur du prélèvement à la source le 1er janvier 2019 a conféré de nouvelle obligations aux employeurs, qui deviennent collecteurs d’impôts et connaissent donc le taux d’imposition de chacun de leurs employés. Ce dispositif a ainsi généré questionnements et inquiétudes concernant le respect de la vie privée des salariés. L’occasion d’évoquer la collecte et les conditions de traitement des données personnelles dans le cadre professionnel.

Mais pour commencer, encore faut-il connaître la limite qui sépare données personnelles et données professionnelles. D’autant plus que celle-ci semble de moins en moins évidente au fil des innovations numériques et technologiques.
Ainsi, est considérée comme une donnée personnelle “toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres”. Donc les coordonnées, même professionnelles, d’une personne, au même titre que toute information professionnelle la concernant, sont considérées comme des données personnelles.
De la même manière, toute image de vidéosurveillance, donnée de géolocalisation d’un véhicule professionnel, conversation téléphonique, ou donnée biométrique, sont donc des données personnelles, et leur recueil et traitement sont soumis au Règlement général sur la protection des données (RGPD).

Pour ce qui est des adresses mail, une distinction existe : les “nominatives”, par exemple composées telles que prénom.nom@nomdelasociété.com, correspondent à une personne et sont donc considérées comme des données personnelles, ce qui n’est pas le cas des adresses dites “génériques”, prenant des formes telles que contact@nomdelasociété.com.

En outre, quelques spécificités s’appliquent aux messageries ainsi qu’aux outils informatiques utilisés dans un cadre professionnel lorsqu’ils sont fournis par l’entreprise : l’employeur ne peut pas y exercer un contrôle permettant de surveiller chaque action des employés, et les mots de passe n’ont pas à lui être transmis sans raison, mais cependant les contenus des mails et des ordinateurs (ou de tout autres appareils informatiques) sont par défaut considérés comme ayant un caractère professionnel. Ce qui implique que l’employeur peut en consulter la totalité, même sans la présence de l’employé. Seuls les mails comportant dans leurs objets la mention “Privé” ou “Personnel” ne peuvent être contrôlés en dehors de circonstances exceptionnelles. De la même manière, les fichiers comportant une de ces deux mentions dans leurs noms ne peuvent être examinés sans que l’employé ne soit présent ou prévenu, sauf lors de cas particuliers désignés par les autorités.

Mais un phénomène se répand de plus en plus fréquemment au sein des organisations. Nommé BYOD (Bring your own device), il s’agit d’employés utilisant leurs propres outils, tels que leurs smartphones ou ordinateurs, dans un cadre professionnel. L’employeur étant responsable de la sécurité des données personnelles de son entreprise, il dispose donc d’un droit de regard sur ses appareils, même s’ils appartiennent aux employés. Ces derniers doivent ainsi signaler à leur entreprise les outils personnels qu’ils souhaitent utiliser pour travailler. Évidemment, seules les données professionnelles, liées à la société, doivent être examinables et sécurisées par celle-ci, et les données personnelles privées stockées sur ses dispositifs doivent le rester, d’où l’importance d’un bon compartimentage. L’employeur peut tout à fait y installer des solutions de MDM (Mobile device management) ou MAM (Mobile application management), mais celles-ci ne doivent s’appliquer qu’aux données professionnelles et permettent de les sécuriser en y appliquant les règles de sécurisation de l’entreprise, qui pourra par exemple les effacer en cas de vol de l’appareil.

Des dispositifs de sécurité primordiaux : au-delà des données professionnelles des sociétés, ces dernières recueillent des quantités considérables de données personnelles concernant leurs employés au cours de leurs carrières. Ceux-ci se sont d’ailleurs vus accorder davantage de droits grâce aux nouvelles exigences du RGPD qui a imposé des limites à cette collecte : ce sera le sujet du second article de notre dossier sur les données personnelles en entreprise !