Protéger les données personnelles de vos collaborateurs sur leur lieu et pendant leur temps de travail c’est aussi un moyen de renforcer le lien de confiance nécessaire au bon fonctionnement de votre entreprise.
Le développement de l’utilisation des nouvelles technologies au travail peut faire craindre surveillance systématique. La transparence sera alors le meilleur moyen de s’en prémunir.
La gestion de vos collaborateurs
De très nombreuses données personnelles relatives aux employés sont nécessaires pour la gestion de leur carrière au sein de votre entreprise.
Par exemple, vous avez besoin de beaucoup d’informations pour assurer :
- la rémunération et les déclarations sociales obligatoires ;
- la tenue du registre unique du personnel ;
- la gestion administrative du personnel (exemple : type de permis de conduire détenu ou coordonnées de personnes à prévenir en cas d’urgence) ;
- l’organisation du travail (exemple : photographie facultative de l’employé(e) pour les annuaires internes et organigrammes) ;
- l’action sociale prise en charge par l’employeur (exemple : les informations concernant les ayants-droit de l’employé(e)).
que les informations utiles
pour accomplir leurs missions…
Et évitez de traiter des données dites « sensibles » (activité syndicale, opinions politiques, religion, origine ethnique, santé). Si vous devez en traiter, des obligations particulières sont applicables.
Vous disposez forcément d’informations particulières (et donc à risque) sur vos employés (coordonnées bancaires pour la paie, numéro de sécurité sociale pour les déclarations sociales, etc.). Assurez-vous d’en garantir la confidentialité et la sécurité. Ainsi, seules les personnes habilitées doivent en prendre connaissance. Les actions sur les données effectuées par les personnes habilitées doivent être enregistrées (savoir qui se connecte à quoi, quand et pour faire quoi).
Informez vos collaborateurs à chaque fois que vous leur demander des informations (exemple : mise à jour des données administratives, demande de formation, formulaire d’entretien d’évaluation, etc.).
Enfin, souvenez-vous toujours que vos salariés peuvent vous demander une copie de toutes les données les concernant que vous détenez : copie d’un bulletin de paie, état d’un compte épargne-temps, mais aussi les enregistrements téléphoniques, relevés des badgeuses, ou encore des messages envoyés via le mail professionnel – y compris lorsqu’un employé n’est plus en poste ou est en litige avec vous.
Exemple : des informations sur l’emploi occupé par les membres de sa famille n’ont pas de lien avec les compétences du candidat à occuper l’emploi proposé. Il est par ailleurs inutile, à ce stade, de demander aux candidats leur numéro de sécurité sociale.
Informez les candidats sur ce que vous allez faire des données qu’ils vous communiquent, qui va y avoir accès (service RH, un prestataire ?), combien de temps vous allez les conserver, comment ils peuvent exercer leurs droits sur leurs données. Les candidats doivent notamment pouvoir accéder à leurs données, les faire rectifier ou supprimer. Une fois le choix de votre nouvel employé effectué, supprimez les informations sur les candidats non retenus, sauf s’ils acceptent de rester dans votre « vivier » pour une durée limitée (2 ans).
Les limites au contrôle de l’activité de vos collaborateurs
Le code du travail vous permet de contrôler l’activité de vos employés. Les nouvelles technologies facilitent bien évidemment ce contrôle.
Mais tout n’est pas permis. Même sur son lieu de travail, un employé a droit au respect de sa vie privée et à la protection de ses données personnelles.
2 règles simples à retenir :
N’abusez pas de votre pouvoir !
- la surveillance doit reposer sur un intérêt légitime pour l’entreprise (exemple : limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie pendant son temps de travail) ;
- les employés ne doivent pas être mis sous une surveillance permanente (exemple : la sécurisation d’un local professionnel n’impose pas de filmer en permanence un employé sur son poste de travail) ;
- un outil mis en place dans un but ne doit pas poursuivre un autre objectif caché (exemple : un outil de géolocalisation des véhicules opérant une tournée chaque matin chez des clients afin d’optimiser votre organisation ne doit pas servir à contrôler la vitesse de circulation en temps réel de votre employé).
Soyez transparent !
- les instances représentatives du personnel doivent être consultées, lorsqu’elles existent ;
- les employés doivent être informés de la mise en œuvre d’un dispositif de surveillance, selon les modalités les plus appropriées en fonction de l’organisation et du fonctionnement de l’entreprise (par exemple, charte d’utilisation des outils informatiques, note de service, avenant au contrat de travail, mention d’information sur un intranet, courrier d’information joint au bulletin de paye, etc.).
En fonction des technologies que vous utilisez pour exercer votre contrôle (vidéosurveillance, géolocalisation, écoutes et enregistrements téléphoniques, etc.) des règles particulières peuvent s’appliquer.
La CNAMS a publié un guide-pratique de mise en conformité au RGPD à destination des TPE/PME.
Il s’accompagne de modèles de documents (charte de confidentialité, registre de traitement…) téléchargeables depuis ce lien : cliquez ici
POUR ALLER PLUS LOIN
RGPD : par où commencer ?
Les 4 actions principales à mener pour entamer votre mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces. Constituez un registre de vos traitements de données Ce document vous permet de recenser tous vos fichiers et d’avoir une vision d’ensemble. Identifiez les activités principales de …