Quelques sages précautions en matière de protection des données personnelles de ses salariés

20/01/2014

Par Dorothée Platt et Sophie Uettwiller

Une mauvaise gestion des données à caractère personnel collectées par l’employeur a pu conduire à la mise en examen pour espionnage des dirigeants d’une célèbre enseigne d’ameublement. Pour ne pas en arriver là, UGGC Avocats vous propose un rappel succinct des réflexes à avoir en la matière.

Qu’est-ce que la récolte de données à caractère personnel ?

La loi « Informatique et Libertés » du 6 janvier 1978 modifiée par la loi du 6 août 2004 définit les principes à respecter lors de la collecte, du traitement et de la conservation des données qu’un employeur peut être amené à recevoir ou à demander à son salarié. Elle s’applique dès lors qu’il existe un traitement automatisé ou un fichier manuel contenant des informations relatives à des personnes physiques.

Quelles informations personnelles l’employeur peut-il légitiment collecter ?

Cinq principes clés sont à respecter par l’employeur[1] :

  • le principe de finalité qui suppose que les données soient collectées et conservées pour un usage déterminé et légitime ;
  • le principe de proportionnalité et de pertinence des données imposant que seules soient traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis ;
  • le principe d’une durée limitée de conservation des données; 
  • le principe de sécurité et de confidentialité des données afin d’éviter que des tiers non autorisés puissent y avoir accès ;
  • le principe du respect des droits des personnes, qui prévoit un droit d’accès, de rectification et d’opposition pour les salariés.

Quelles sont les formalités à accomplir ?

Le code du travail impose de consulter les représentants du personnel préalablement à la mise en œuvre ou la modification dans l’entreprise de certains traitements automatisés.

De plus, les salariés concernés doivent être clairement informés de la finalité et des modalités de mise en œuvre pour la récolte de données à caractère personnel.

En fonction du traitement et des données collectées, une déclaration ou une demande d’autorisation peuvent devoir être effectuées auprès de la Cnil.

L’entreprise a aussi la faculté de désigner un correspondant à la protection des données à caractère personnel, pour bénéficier d’un allègement des formalités et d’un conseil en matière de gestion des données à caractère personnel.

A quels risques l’employeur peut-il être exposé ?

La Cnil dispose de pouvoirs propres de sanctions. Elle peut notamment prononcer :

  •  un avertissement qui peut être rendu public ;
  • une mise en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe, des injonctions de cessation du traitement automatisé ;
  • des sanctions pécuniaires et des sanctions pénales.

Avec l’arrivée de la nouvelle année, une bonne résolution peut être de faire un point dans l’entreprise sur ce sujet !

 


[1] Guide de la Cnil pour les employeurs et les salariés

Macron Ordinances: the ultimate step of a social reform

Droit du travail
Par Eva Chekroun et Jennifer Carrel The French Constitutional Council has been seized in order to verify the compliance with the French Constitution of the Ratification Act of the “Macron”…

L’indemnité légale de licenciement est (partiellement) revalorisée de 25%

Droit du travail et de la sécurité sociale
 par François Marteau et Jennifer Carrel   Annoncé fin août 2016 par la ministre du Travail Madame Muriel Pénicaud[1], le décret n° 2017-1398 du 25 septembre 2017 portant revalorisation de…

Du nouveau dans la (bonne) gestion des réunions de comité d'entreprise

Droit du travail et de la sécurité sociale
Le décret n°2016-453 du 12 avril 2016 relatif à certaines modalités de déroulement des réunions des institutions représentatives du personnel crée un nouvel article D.2325-3-1 du code du travail, aux…