[Questions à...] Données personnelles des salariés : assurer leur conformité avec le RGPD - Questions à Eric Delisle de la CNIL

Le présent article est issu d’un dossier spécial consacré au droit du travail et aux données personnelles, publié dans l’édition n° 1012 du 7 mai 2025 de la revue Lexbase Social. Le sommaire de ce dossier est à retrouver en intégralité ici N° Lexbase : N2231B3Z.

Mots clés : CNIL • droit du travail • données personnelles • RGPD • conformité • obligations • contrôles • sanctions

Toute entreprise qui réalise un traitement de données doit respecter le Règlement général sur la protection des données (RGPD). Eric Delisle, chef du service des affaires sociales, des collectivités territoriales, du sport et de l’environnement à la CNIL, fait le point, pour la revue Lexbase Social, sur les règles et les enjeux du traitement des données personnelles en droit du travail ainsi que sur le déroulement des contrôles de la CNIL.

Lexbase Social : L’employeur peut être amené à collecter des données lors du processus de recrutement. Quelles sont les limites ?

Dans le cadre de la recherche de profils de candidats pertinents, de l’analyse des candidatures, et de la mesure de leurs aptitudes professionnelles (qualifications, expériences, etc.), les recruteurs (qu’il s’agisse notamment de l’employeur direct, d’un cabinet de recrutement ou encore d’une société d’intérim) sont amenés à accéder, utiliser, conserver et, au bout d’un certain temps, à détruire, des informations personnelles concernant les candidats à un emploi. Ces actions constituent autant d’opérations de traitement de données à caractère personnel qui sont encadrées par le RGPD, mais également par le Code du travail.

Le principe est relativement simple : vous ne pouvez utiliser que les informations qui vous permettent d’évaluer la capacité des candidats à occuper le poste proposé ou à mesurer leurs aptitudes professionnelles.

Les informations demandées doivent ainsi vous permettre d’identifier le candidat le plus adapté au poste à pourvoir et de vérifier ses compétences (notamment ses connaissances, son savoir-faire et son savoir-être) ainsi que les qualifications requises (par exemple : ses diplômes et certifications).

Bien qu’il puisse être tentant d’obtenir un maximum d’informations sur les candidats, vous devez veiller au respect de leur vie privée. Les questions posées doivent donc toujours être en lien avec le contexte professionnel. La collecte d’informations qui n’auraient pas de lien direct et nécessaire avec l'emploi proposé ou avec l’évaluation des aptitudes professionnelles des candidats est par conséquent interdite.

Il est notamment interdit de demander à un candidat :

• son numéro de Sécurité sociale et ses coordonnées bancaires (sauf dans le cas spécifique des entreprises de travail temporaire en leur qualité d’employeur). Ces données seront en revanche utiles au stade de l’embauche, si le candidat choisi est recruté dans la structure ;
• des informations relatives aux membres de sa famille ;
• s’il souhaite avoir des enfants ;
• ses mensurations, poids, couleur des cheveux, etc., sauf pour certains types de postes particuliers (mannequins, pilotes de course, jockeys, etc.) : l’annonce publiée devra alors spécifier les caractéristiques recherchées.

Le recruteur ne doit également procéder à aucune forme de discrimination liée à la collecte des informations, telle que des discriminations liées à l’âge ou à l’apparence physique.

Lexbase Social : Quelles informations personnelles, concernant ses employés, l’employeur peut-il collecter ?

Dans le cadre de la gestion du personnel, les employeurs utilisent régulièrement les données personnelles de leurs salariés/agents pour différents objectifs. Les informations personnelles pouvant être traitées par l’employeur vont dépendre des traitements mis en œuvre et des objectifs qu’ils poursuivent. Ces données seront donc différentes selon qu’il s’agit de la gestion de la paie, de la déclaration sociale nominative (DSN), de la mise en œuvre d’un dispositif d’alertes professionnelles, ou encore de mesures relatives à l’action sociale prise en charge par l’employeur.

Afin de savoir quelles données peuvent être traitées, l’employeur doit veiller à respecter certains les 5 principes de bon sens posés par le RGPD :

• les informations personnelles doivent être traitées de manière licite, loyale et transparente. Par exemple, dans le cadre d’un recrutement, demander le lieu de résidence d’un candidat n’est pas licite, excepté dans les cas où le candidat doit participer à un dispositif de garde et d’astreinte. Ou encore, le fait de mettre en œuvre un dispositif de vidéosurveillance à des fins d’assurer la sécurité des biens et des personnes sans en informer le personnel ne constitue pas une collecte loyale et transparente des données ;
• les informations concernant les employés doivent être collectées et conservées pour des finalités déterminées, explicites et légitimes. L’employeur doit donc savoir ce pourquoi il collecte des données sur ses employés : on peut penser ainsi à certains formulaires remplis à l’embauche qui doivent être remplis, sans que personne ne soit en mesure d’expliquer ce pourquoi ils le sont ;
• seules les informations adéquates, pertinentes et limitées à ce qui est nécessaire peuvent être collectées. Par exemple, il est a priori interdit de demander à un employé des informations sur ses parents, ou ses opinions politiques ;
• les données du candidat doivent être conservées pour une durée strictement nécessaire à l’objectif poursuivi par le traitement. Par exemple, la conservation des données d’un employé qui quitte l’entreprise, n’ont a priori plus à être conservées dans les bases de données « actives » du service RH : elles pourront en revanche être conservées un certain nombre d’années (souvent 5 ans) à des fins de répondre à des obligations règlementaires puis devront être supprimées ;
• enfin, des mesures de sécurité et de confidentialité appropriées doivent être mises en œuvre. Par exemple, tous les salariés d’une entreprise n’ont a priori pas vocation à accéder aux fiches de paie des salariés : seules les personnes en charge de les établir devront pouvoir y accéder.

Lexbase Social : Dans quel cadre l’employeur peut-il mettre en place un outil de calcul du temps de travail effectif de ses salariés ?

La question du contrôle du temps de travail des salariés est une prérogative et parfois une obligation de l’employeur issue de la législation du travail. Les employeurs, comme les employés, ont ainsi parfois besoin de connaître les horaires effectués : pour ce faire, ils peuvent mettre en place des outils de calcul du temps de travail.

Ces outils traitent de la donnée à caractère personnel et doivent par conséquent respecter les règles relatives à la protection des données.

Si le développement des technologies offre aux employeurs de nouveaux outils pour effectuer cette mesure, certains permettent parfois de collecter bien plus d’informations sur les personnes concernées que de besoin. Des limites à leur utilisation sont donc indispensables pour préserver les droits et libertés de chacun.

Ainsi, si les règles classiques (notamment de transparence, de durée de conservation limitée et de finalité déterminée, explicite, et légitime) doivent être respectées, un point d’attention tout particulier doit être apporté aux données pouvant être collectées, notamment l’usage de la biométrie.

Les données biométriques permettent d’identifier un individu, de manière unique, à partir de caractéristiques physiques ou biologiques qui lui sont propres (reconnaissance du visage, de l’empreinte du doigt, etc.). Eu égard aux risques pour les droits et libertés des individus, le traitement est par principe interdit, sauf à justifier d’une exception juridique fondée sur l’article 9. 2 du RGPD.

Comme tout traitement de données sensibles, il appelle une appréciation particulièrement exigeante de la pertinence, de l’adéquation et de la proportionnalité de la collecte d’une telle donnée. Or, la CNIL a considéré à plusieurs reprises, en l’absence de circonstances exceptionnelles pouvant être démontrées, que la mise en œuvre d’un dispositif biométrique est un moyen disproportionné de contrôle des horaires des employés qui peut être atteinte par d’autres moyens moins intrusifs.

Lexbase Social : Quelles actions les entreprises peuvent-elles mettre en œuvre afin d'anticiper un contrôle de la CNIL ?

Le RGPD a, pour l’essentiel, mis fin à une logique de formalités préalables auprès de la CNIL, en consacrant la logique d’« accountability », ou de responsabilisation des acteurs : chaque organisme est donc comptable de sa propre conformité au texte. Il doit ainsi :

• veiller à la conformité des traitements de données mis en œuvre ;
• et être en mesure de la démontrer, à tout moment, à l’autorité de contrôle.

Afin d’anticiper au mieux un contrôle, la meilleure réponse est d’avoir une bonne gestion de sa conformité. Pour ce faire, tout organisme dispose d’outils qu’il peut ou parfois doit mettre en œuvre.

Parmi ces outils, le registre des activités de traitement qui permet de recenser les traitements de données et disposer d’une vue d’ensemble des traitements de données mis en œuvre dans l’organisme. Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles et permet d’identifier précisément les principales caractéristiques des traitements.

Véritable outil de pilotage, sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Il est donc essentiel que l’organisme dispose de ce registre et sache le trouver rapidement afin de la présenter dans le cas d’une demande de l’autorité de contrôle.

Pour se préparer au mieux, il est également essentiel d’établir une petite procédure et d’avoir particulièrement bien défini les rôles de chacun. On oublie souvent, par exemple, de prévenir et de sensibiliser les personnels à l’accueil de l’organisme sur la manière de réagir à l’arrivée de contrôleurs : il est essentiel qu’ils sachent qui contacter dans cette éventualité.

De la même manière, dans le cadre d’un contrôle, les agents de la CNIL vont demander à être mis en en relation avec différentes personnes en capacité de présenter les traitements visés par le contrôle d’un point de vue juridique, mais aussi technique. Il est donc important d’anticiper en identifiant et en sensibilisant les acteurs clés qui pourraient être sollicités par les services de la CNIL. Lorsqu’il est désigné, ils vont également demander à échanger avec le délégué à la protection des données (DPD/DPO).  

Le DPO est, à ce titre, un acteur central de la mise en conformité d’un organisme, chargé de piloter la conformité au RGPD au sein de l’organisme qui l’a désigné, mais également de sensibiliser et de conseiller l’ensemble des collaborateurs à ce texte.

Lexbase Social : Comment se déroule un contrôle de la CNIL et quels sont ses pouvoirs d’investigations ?

La CNIL dispose de pouvoirs de contrôle auprès de tout organisme public ou privé mettant en œuvre des traitements de données personnelles. Afin de faire comprendre ces missions au public, une charte des contrôles a été diffusée sur son site web.

Les missions de contrôle, en plus d’être un moyen d’action indispensable pour vérifier l'application concrète de la législation sur la protection des données personnelles, permettent d'apprécier concrètement les enjeux émergents en matière de protection des données personnelles.

Ces missions sont déclenchées sur décision de la présidente de la CNIL, à la suite d’une réclamation ou d’un signalement, d’une alerte parue dans la presse, ou de sa propre initiative (notamment sur la base de thématiques prioritaires annuelles).

Lors de ces missions, les contrôleurs peuvent demander communication de tous documents ou renseignements utiles et nécessaires à l’accomplissement de sa mission, à l’exception des informations protégées par l’un des secrets cités à l’article 19(III) de la loi "Informatique et Libertés".

Ces contrôles peuvent être réalisés sur place, sur pièces, sur convocation ou en ligne.

• Le contrôle sur place : une délégation de la CNIL se rend directement au sein des locaux d’un organisme (entre 6 heures et 21 heures) afin de mener des investigations portant sur des traitements de données personnelles.
• L’audition sur convocation : un courrier est adressé à l’organisme afin qu’il se représente se présente, à une date donnée, dans les locaux de la Commission. Ces représentants devront répondre à des questions portant sur le(s) traitement(s) objet des vérifications et, le cas échéant, rendre possible un accès aux ressources informatiques de l’organisme.
• Le contrôle en ligne : les contrôleurs effectuent des vérifications, depuis les locaux de la Commission, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne. Ces vérifications sont effectuées à partir d’un service de communication au public en ligne (par exemple, sur un site internet, une application mobile ou un produit connecté) et peuvent, le cas échéant, être réalisées sous une identité d’emprunt.
• Le contrôle sur pièces : les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un organisme. Ce dernier doit communiquer à la Commission ses réponses en y joignant tout document utile permettant de les justifier.

Chacune de ces modalités de contrôle peut être utilisée de manière complémentaire. Ainsi, la CNIL pourra, par exemple, initier ses vérifications en ligne et les poursuivre sur place. Un contrôle sur pièces pourra également être opéré préalablement à un contrôle sur place.

Tout contrôle, à l’exception du contrôle sur pièces, nécessite la rédaction d’un procès-verbal au sein duquel les agents de la CNIL consignent, de manière factuelle, l’ensemble des informations qui ont été portées à leur connaissance pendant le contrôle ainsi que les constatations qu’ils ont effectuées.

Lexbase Social : Quelles sanctions encourent les entreprises en cas de non-respect des dispositions légales ?

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL (sa formation de sanction) peut prononcer, après une procédure contradictoire, une ou plusieurs mesures parmi lesquelles : 

• un rappel à l'ordre ;
• une injonction de se mettre en conformité. Cette injonction peut être assortie d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard ;
• une amende administrative ne pouvant excéder 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ;
• la formation restreinte peut décider de rendre publique la décision qu'elle adopte. Elle peut également ordonner l'insertion, aux frais des organismes sanctionnés, de la décision dans des publications, journaux et supports qu'elle désigne.

Il faut également noter qu’il existe désormais une procédure de sanction simplifiée pour les dossiers peu complexes ou de faible gravité. Cette procédure, qui permet d’augmenter très sensiblement le nombre de sanctions prononcées, est :

• Instruite par un rapporteur désigné par la présidente parmi les agents de la CNIL (et non parmi le collège de la Commission).
• Les sanctions ne peuvent pas être rendues publiques et sont limitées (rappel à l'ordre, amende d'un montant maximum de 20 000 euros, injonction avec astreinte plafonnée à 100 euros par jour de retard).
• Le président de la formation restreinte (ou un membre qu'il désigne) statue seul.
• Aucune séance publique n'est organisée, sauf si l'organisme demande à être entendu.

Lexbase Social : Les salariés et anciens salariés peuvent demander l’accès aux courriels dont ils sont expéditeurs, destinataires, en copie ou dans lesquels ils sont cités ou visés. Quels conseils apportez-vous aux employeurs pour qu’ils traitent au mieux ce type de demande ?  

Toute personne peut demander à un organisme la communication des données qu’il détient sur elle et en obtenir une copie : c’est le principe du droit d’accès prévu par l’article 15 du RGPD.

Un salarié peut ainsi demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession. Les courriels comportant des données à caractère personnel, ce droit s’applique donc aux données qui y sont contenues.

Lorsqu’il répond à une demande de droit d’accès d’un salarié à des courriels professionnels, l’employeur peut tout d’abord rappeler que le droit d’accès ne porte que sur les données à caractère personnel contenues dans les courriels : il peut parfois y avoir de la part du demandeur une confusion sur la portée exacte de ce droit qui peut être confondu avec le droit d’accès aux documents administratifs qui porte, lui, sur des documents et non des données.

Il doit ensuite apprécier l’atteinte au droit des tiers que représenterait cette communication : il va ainsi devoir faire un tri entre ce qui est communicable et ce qui n’est pas. En effet, si le droit d’accès est un droit important accordé par le RGPD à l’ensemble des individus, l’exercice de ce droit ne peut pas se faire au détriment des autres personnes dont les données sont traitées.

Ainsi, l’organisme doit permettre un accès aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui, sans toutefois refuser de satisfaire à la demande de manière générale. Les droits des tiers (secret des affaires et à la propriété intellectuelle, droit à la vie privée, secret des correspondances, etc.) peuvent donc venir restreindre l’éventail des données accessibles ou communicables.

Cette analyse peut être effectuée au cas par cas, message par message. Cependant, pour faciliter cette analyse et accélérer la réponse à la demande, la CNIL propose à l’employeur de distinguer deux situations, selon que le salarié demandeur est :

• l’expéditeur ou le destinataire des courriels ;
• ou seulement mentionné dans le contenu des courriels.

La CNIL propose sur son site web une fiche pratique et une méthodologie qui devrait aider les organismes à faire face à ces demandes.

Enfin, un dernier point d’attention porte sur le cas particulier des courriels identifiés comme étant personnels ou dont le contenu s’avère être privé malgré l’absence de la mention du caractère personnel : ces derniers font l’objet d’une protection particulière liée au secret des correspondances, l’employeur n’étant pas autorisé à y accéder.

Pour ces courriels, l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire. En cas de doute, les tribunaux ont rappelé que l’employeur peut saisir le juge afin qu’il ordonne l’ouverture de messages « personnels » suspectés, par exemple, de récupérer des documents confidentiels. 

© Reproduction interdite, sauf autorisation écrite préalable