RGPD
Mise à jour : 04 mai 2022Les données personnelles contenues dans les traitements doivent être :
- traitées de manière licite, loyale et transparente pour les salariés concernés
- collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités définies
- exactes et tenues à jour
- conservées sous une forme permettant l'identification des salariés concernés pendant une durée qui n'excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
- traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle.
Quelles sont les conditions pour créer un traitement de données ?
Un traitement de données peut être créée si :
- il s'appuie sur une base légale
- il poursuit des finalités déterminées, explicites et légitimes.
Attention
Lorsqu'une donnée est recueillie au titre d'une finalité, elle ne doit pas être réutilisée pour un autre objectif qui serait incompatible avec celui envisagé initialement.
La base légale du traitement de données doit être l'une des suivantes (RGPD, Règl. UE, no 2016-679, 27 avr. 2016, art. 6 :
- le salarié a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques
- le traitement est nécessaire à l'exécution du contrat de travail
- le traitement est nécessaire au respect d'une obligation légale à laquelle l'employeur est soumis
- le traitement est nécessaire à la sauvegarde des intérêts vitaux du salarié ou d'une autre personne physique
- le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
- le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l'employeur, à moins que ne prévalent les intérêts, libertés et droits fondamentaux du salarié.
Remarque
En règle générale, les traitements de données liés à la gestion des ressources humaines sont nécessaires à l'exécution du contrat de travail ou répondent à une obligation légale.
Attention
La Cnil Commission nationale de l'informatique et des libertés estime qu'en raison du lien du subordination qui lie le salarié à l'employeur, le salarié est rarement en mesure de donner un consentement pleinement libre. Le consentement du salarié comme base légale pour tenir un traitement de données doit donc être limité aux situations où l'acceptation ou le refus du salarié n'entraine aucune conséquence pour lui (Cnil, Délib. nº 2019-160, 21 nov. 2019).
Exemple
Voir le tableau Finalités et bases légales les plus courantes en matière de gestion des ressources humaines (Cnil Délib. nº 2019-160, 21 nov. 2019).
Dans quels cas l'entreprise est-elle autorisée à utiliser le numéro de sécurité sociale des salariés ?
Le numéro de sécurité social (dit aussi NIR : numéro d'inscription au répertoire) ne peut être utilisé que dans les cas ci-dessous :
- pour remplir les obligations déclaratives nécessitant le numéro de sécurité sociale, notamment la déclaration préalable à l'embauche (DPAE)
- pour le traitement automatisé de la paie et de la gestion du personnel résultant de dispositions légales ou réglementaires et de conventions collectives concernant les déclarations, les calculs de cotisations
- lorsqu'il s'agit d'une entreprise de travail temporaire : pour la tenue et la transmission des relevés mensuels des contrats de mission
- pour l'instruction, le suivi et la gestion des dossiers des accidents de service, des accidents du travail et des maladies professionnelles dont sont victimes les agents en activité ou retraités, et la gestion des demandes de surveillance médicale post-professionnelle des agents ayant été exposés à un risque professionnel pendant l'exercice de leurs fonctions : les agents habilités des employeurs publics ainsi que ceux de leurs tiers mandatés, les agents habilités des employeurs privés et les médecins du travail et de prévention.
Est-il interdit de collecter certaines données ?
Les traitements révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, biométriques, concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits (RGPD, Règl. UE, no 2016-679, 27 avr. 2016, art. 8.
Le RGPD interdit de recueillir ou d'utiliser ces données, sauf dans les cas suivants :
- si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée)
- si les informations sont manifestement rendues publiques par la personne concernée
- si elles sont nécessaires à la sauvegarde de la vie humaine
- si leur utilisation est justifiée par l'intérêt public et autorisé par la Cnil
- si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique ou syndicale.
Attention
Un logiciel ne doit pas avoir pour finalité de rechercher et de constater l'existence d'infractions pénales (par exemple en matière de pédopornographie). La recherche d'infractions pénales est en effet interdite pour les employeurs de droit privé CE, 11 mai 2015, no 375669.
Quelles données peuvent être collectées ?
Il s'agit des données pertinentes et strictement nécessaires aux finalités poursuivies. Elles doivent être exactes et tenues régulièrement à jour.
Exemple
Voir le tableau sur les données pouvant être collectées et traitées selon les finalités du traitement en gestion des ressources humaines (Cnil Délib. nº 2019-160, 21 nov. 2019).
Sur les données qu'il est interdit de collecter : voir question dédiée.
Combien de temps les données peuvent-elles être conservées ?
Les données doivent être conservées pendant le temps strictement nécessaire mais pas au-delà. Tout dépend de la réalisation des finalités poursuivies.
Exemple
Voir le tableau sur la durée de conservation des données en gestion des ressources humaines (Cnil Délib. nº 2019-160, 21 nov. 2019).
La durée de conservation des données doit être déterminée en amont de leur traitement et le salarié doit en être informé.
Comment les données doivent-elles être sécurisées ?
L'employeur doit mettre en place des dispositifs de protection permettant de sécuriser ces données contre des risques de perte ou de piratage.
Il doit donc veiller à utiliser des logiciels sécurisés, des antivirus sûrs et régulièrement mis à jour, procéder à des changements réguliers de mots de passe, effectuer des sauvegardes régulières, sécuriser les accès Wi-fi, ou encore mettre en place une charte informatique définissant des bonnes pratiques, afin de limiter les risques d'intrusion malveillante. Il doit limiter le nombre de personnes ayant accès aux données.
Astuce
En ce qui concerne les traitements en gestion du personnel, la Cnil encourage l'employeur à adopter des mesures de sécurité aux formes diverses (Cnil Délib. nº 2019-160, 21 nov. 2019) :
- sensibilisation, authentification des utilisateurs et gestion des habilitations
- traçage des accès et incidents
- sécurisation des postes de travail, des dispositifs mobiles, du réseau informatique, des serveurs, des sites web, des sauvegardes, de l'archivage et des échanges avec l'extérieur
- fixation des modalités de maintenance et destruction des données
- gestion de la sous-traitance éventuelle
- protection des locaux
- encadrement des développements informatiques
- usage de fonctions cryptographiques.
créez votre compte gratuitement !
Données pouvant être collectées et traitées selon les finalités du traitement en gestion des ressources humaines
Catégorie de données | Exemples de données |
Identification du salarié | Données relatives à l'identité : nom, prénom, photographie (facultatif), sexe, date et lieu de naissance, nationalité, coordonnées professionnelles, coordonnées personnelles (facultatif), références du passeport (uniquement pour les personnels amenés à se déplacer à l'étranger), situation familiale, situation matrimoniale, enfants à charge, type de permis de conduire |
Données relatives à la situation professionnelle : lieu de travail, date d'entrée dans l'entreprise, numéro d'identification interne, ancienneté, emploi occupé et coefficient hiérarchique, section comptable, nature du contrat de travail, taux d'invalidité, reconnaissance de la qualité de travailleur handicapé, invalide pensionné, mutilé de guerre ou assimilé | |
Données relatives au titre valant autorisation de travail : type, numéro d'ordre et copie du titre pour les salariés étrangers | |
Coordonnées des personnes à prévenir en cas d'urgence | |
Distinctions honorifiques | |
Suivi de la carrièreet de la formationdu salarié | Gestion de la carrière : date et conditions de recrutement, date, objet et motif des modifications apportées à la situation professionnelle, simulation de carrière, desiderata en termes d'emploi, sanctions disciplinaires à l'exclusion de celles consécutives à des faits amnistiés |
Évaluation professionnelle : dates des entretiens d'évaluation, identité de l'évaluateur, compétences professionnelles, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l'emploi occupé, observations et souhaits formulés par le salarié, prévisions d'évolution de carrière | |
Formation : diplômes, certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations | |
Suivi administratif des visites médicales : dates des visites, aptitude au poste de travail (apte ou inapte, propositions d'adaptation du poste de travail ou d'affectation à un autre poste de travail formulées par le médecin du travail) | |
Établissement des fiches de paie et obligations légales connexes | Numéro de sécurité sociale, numéros attribués par les organismes d'assurances sociales, de retraite et de prévoyance, situation familiale, situation matrimoniale, enfants à charge, régime et base de calcul de la rémunération, éléments déterminant l'attribution d'un complément de rémunération, congés et absences donnant lieu à retenues déductibles ou indemnisables, ainsi que toute retenue légalement opérée par l'employeur, frais professionnels, taux de prélèvement à la source, données transmises via la DSN |
Validation des acquisde l'expérience | Date de la demande, diplôme, titre ou certificat de qualification concerné, expériences professionnelles soumises à validation, validation (oui/non), date de la décision |
Gestion des déclarations d'accident du travail et de maladie, autres absences | Coordonnées du médecin du travail, date de l'accident ou de la première constatation médicale de la maladie, date du dernier jour de travail, date de reprise, motif de l'arrêt (accident du travail ou maladie professionnelle), travail non repris à ce jour et autres éléments nécessaires auxdites déclarations |
Sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d'heures de délégation | Données relatives à l'exercice d'un mandat électif ou représentatif syndical, la participation à la réserve opérationnelle ou aux missions de sapeur-pompier volontaire |
Outils et matériel misà la dispositionde l'employé dansle cadre de ses missions professionnelles | Annuaires internes et organigrammes : nom, prénom, photographie (facultatif), fonction, coordonnées professionnelles, formation et réalisations professionnelles |
Agendas professionnels : dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes | |
Tâches des personnels : identification des personnels concernés, répartition des tâches | |
Outils et matériel misà la dispositionde l'employé dansle cadre de ses missions professionnelles | Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement : gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires |
Annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux | |
Données de connexion enregistrées pour assurer la sécurité et le bon fonctionnement des applications et des réseaux informatiques, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des salariés | |
Messagerie électronique : carnet d'adresses, comptes individuels, à l'exclusion de toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les salariés | |
Réseaux privés virtuels de diffusion ou de collecte de données de gestion administrative des personnels (intranet) : formulaires administratifs internes, organigrammes, espaces de discussion, espaces d'information | |
Activités socialeset mises en œuvrepar l'employeur | Identité de l'employé et de ses ayants droit ou ouvrants droit, revenus, avantages et prestations demandés et servis |
Relations avec le CSE | Convocations, documents préparatoires, comptes rendus, procès-verbaux divers |
Durée de conservation des données en gestion des ressources humaines
Activités detraitement | Détails dutraitement | Base active | Archivageintermédiaire | Textesde référence |
Gestion de la paie | Bulletin de salaire | 1 mois | 5 ans | |
50 ans en version dématérialisée | ||||
Éléments nécessaires au calcul de l'assiette | 1 mois | 6 ans | ||
Saisie des données calculées (DSN) | Durée nécessaire à l'accomplissement de la déclaration | 6 ans | ||
Ordre de virement pour paiement | Durée nécessaire à l'émission du bulletin de paie | 10 ans à compter de la clôture de l'exercice comptable | C. com., art. L. 123-22 | |
Registre uniquedu personnel |
| Durée de présence du salarié dans les effectifs | 5 ans à compter du départ du salarié | C. trav., art. R. 1221-26 |
Gestiondes mandatsdes représentants du personnel | Nature du mandat et syndicat d'appartenance | 6 mois après la fin du mandat | 6 ans | |
Les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à crédit d'heures de délégation | Durée de la période de sujétion de l'employé concerné | 6 ans | C. trav., art. L. 2142-1-3 |
Finalités et bases légales les plus courantes des traitements de données de gestion du personnel, selon la Cnil
Activité de traitement | Finalités | Base légaleenvisageable |
Recrutement | Traitement des candidatures (CV et lettre de motivation) et gestion des entretiens | Mesures précontractuelles |
Constitution d'une CV-thèque | Intérêt légitime | |
Gestion administrative du personnel | Gestion du dossier professionnel des employés (tenu conformément aux dispositions législatives, réglementaires, statutaires, conventionnelles et contractuelles) | Exécution du contrat |
Réalisation d'états statistiques ou de listes d'employés pour répondre à des besoins de gestion administrative | Intérêt légitime | |
Gestion des annuaires internes et des organigrammes | Intérêt légitime | |
Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement | Intérêt légitime | |
Gestion des élections professionnelles | Obligation légale | |
Organisation des réunions du CSE et des instances représentatives du personnel | Obligation légale | |
Gestion des rémunérations et accomplissement des formalités administratives | Établissement des rémunérations et mise à disposition des bulletins de salaire | Exécution du contrat |
Déclaration sociale nominative (DSN) | Obligation légale | |
Mise à disposition des personnels d'outilsinformatiques | Suivi et maintenance du parc informatique | Intérêt légitime |
Gestion des annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux | Intérêt légitime | |
Mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux | Intérêt légitime | |
Gestion de la messagerie électronique professionnelle | Intérêt légitime | |
Réseaux privés virtuels internes à l'organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet) | Intérêt légitime | |
Organisation du travail | Gestion des agendas et projets professionnels | Intérêt légitime |
Suivi des carrières et de la mobilité | Évaluation professionnelle des personnels (dans le respect des dispositions législatives, réglementaires et conventionnelles) | Intérêt légitime |
Gestion des compétences professionnelles internes | Intérêt légitime | |
Gestion prévisionnelle de l'emploi et des compétences (GPEC) | Intérêt légitime | |
Gestion de la mobilité professionnelle | Exécution du contrat | |
Formation | Gestion des demandes de formation et des périodes de formation effectuées | Exécution du contrat |
Organisation des sessions de formation et évaluation des connaissances et des formations | Intérêt légitime | |
Gestion des aides sociales | Gestion de l'action sociale et culturelle directement mise en œuvre par l'employeur (hors activités de médecine du travail, de service social ou de soutien psychologique) | Intérêt légitime |
créez votre compte gratuitement !
Lorsqu'une donnée est recueillie au titre d'une finalité, elle ne doit pas être réutilisée pour un autre objectif qui serait incompatible avec celui envisagé initialement.
La Cnil Commission nationale de l'informatique et des libertés estime qu'en raison du lien du subordination qui lie le salarié à l'employeur, le salarié est rarement en mesure de donner un consentement pleinement libre. Le consentement du salarié comme base légale pour tenir un traitement de données doit donc être limité aux situations où l'acceptation ou le refus du salarié n'entraine aucune conséquence pour lui (Cnil, Délib. nº 2019-160, 21 nov. 2019).
Un logiciel ne doit pas avoir pour finalité de rechercher et de constater l'existence d'infractions pénales (par exemple en matière de pédopornographie). La recherche d'infractions pénales est en effet interdite pour les employeurs de droit privé CE, 11 mai 2015, no 375669.
En ce qui concerne les traitements en gestion du personnel, la Cnil encourage l'employeur à adopter des mesures de sécurité aux formes diverses (Cnil Délib. nº 2019-160, 21 nov. 2019) :
- sensibilisation, authentification des utilisateurs et gestion des habilitations
- traçage des accès et incidents
- sécurisation des postes de travail, des dispositifs mobiles, du réseau informatique, des serveurs, des sites web, des sauvegardes, de l'archivage et des échanges avec l'extérieur
- fixation des modalités de maintenance et destruction des données
- gestion de la sous-traitance éventuelle
- protection des locaux
- encadrement des développements informatiques
- usage de fonctions cryptographiques.