Protection des données des employés : exigences RGPD pour les RH
Les données des employés représentent l'un des domaines les plus courants, et souvent négligés, de la conformité RGPD. Les organisations traitent des quantités significatives de données personnelles d'employés tout au long du cycle de vie de l'emploi, du recrutement jusqu'à la fin de contrat et au-delà. Comprendre les exigences spécifiques pour les données RH aide les organisations à gérer ce domaine de manière appropriée.
Points clés
| Point | Résumé |
|---|---|
| Les employés sont des personnes concernées | Le personnel a tous les droits RGPD sur ses données personnelles |
| Consentement rarement approprié | Le déséquilibre de pouvoir signifie que le consentement est souvent non libre |
| Intérêts légitimes/nécessité | La plupart des traitements RH reposent sur le contrat de travail ou les intérêts légitimes |
| Catégories de données étendues | Le traitement RH inclut souvent des données sensibles (santé, diversité) |
| Cycle de vie complet de l'emploi | Le RGPD s'applique du recrutement jusqu'à la conservation post-emploi |
Réponse rapide : Les données des employés sont pleinement protégées par le RGPD. En raison du déséquilibre de pouvoir employeur-employé, le consentement est rarement approprié ; la plupart des traitements reposent sur la nécessité contractuelle ou les intérêts légitimes. Les organisations doivent être transparentes, minimiser les données collectées et respecter les droits des employés.
Bases légales pour le traitement des données des employés
Pourquoi le consentement est problématique
Le déséquilibre de pouvoir dans les relations de travail signifie que le consentement est rarement "librement donné" :
| Problème | Pourquoi c'est problématique |
|---|---|
| Déséquilibre de pouvoir | Les employés peuvent se sentir sous pression pour consentir |
| Dépendance à l'emploi | Le refus pourrait affecter l'emploi |
| Difficulté de retrait | Difficile de retirer le consentement de l'employeur |
| Vue du RGPD | Le consentement "ne devrait pas être invoqué" selon le CEPD |
Quand le consentement peut encore être approprié :
- Avantages véritablement optionnels non liés à l'emploi
- Photo/vidéo pour le marketing (avec choix réel de refuser)
- Participation à des programmes volontaires
Bases légales appropriées
| Base légale | Cas d'usage RH |
|---|---|
| Nécessité contractuelle | Paie, administration des avantages, planification du travail |
| Obligation légale | Déclarations fiscales, vérifications du droit au travail, santé et sécurité |
| Intérêts légitimes | Gestion de la performance, sécurité, communications internes |
| Intérêts vitaux | Situations médicales d'urgence |
| Consentement explicite | Programmes de santé volontaires, utilisation marketing de photos |
Base légale par activité de traitement
| Activité | Base légale typique |
|---|---|
| Traitement du recrutement | Intérêts légitimes / Étapes précontractuelles |
| Administration du contrat de travail | Nécessité contractuelle |
| Paie et impôts | Nécessité contractuelle / Obligation légale |
| Administration des avantages | Nécessité contractuelle |
| Gestion de la performance | Intérêts légitimes |
| Procédures disciplinaires | Intérêts légitimes / Obligation légale |
| Santé et sécurité | Obligation légale |
| Gestion des absences | Nécessité contractuelle / Obligation légale |
| Registres de formation | Nécessité contractuelle / Intérêts légitimes |
| Références | Intérêts légitimes |
| Surveillance au travail | Intérêts légitimes (avec AIPD) |
Données des employés tout au long du cycle de vie de l'emploi
Recrutement
| Données | Considérations |
|---|---|
| CV/candidatures | Limites de conservation pour les candidats non retenus |
| Notes d'entretien | Factuelles, non discriminatoires, conservation appropriée |
| Vérifications d'antécédents | Proportionnées au poste, candidat informé |
| Références | Traitées licitement, conservation appropriée |
Guidance de conservation :
- Candidats non retenus : 6-12 mois typiquement suffisants
- Documenter la base pour une conservation plus longue (vivier de talents avec consentement)
Onboarding
| Données | Considérations |
|---|---|
| Documents d'identité | Vérification du droit au travail, stockage sécurisé |
| Coordonnées bancaires | Nécessité paie, gestion sécurisée |
| Contacts d'urgence | Base intérêts vitaux, maintenir à jour |
| Informations de santé | Uniquement si nécessaire pour le poste, consentement explicite souvent requis |
Pendant l'emploi
| Données | Considérations |
|---|---|
| Données de performance | Équitables, transparentes, accès employé |
| Registres d'absence | Besoin business légitime, conservation appropriée |
| Registres de formation | Contractuel/intérêts légitimes, accès employé |
| Communications | Surveillance uniquement avec transparence et proportionnalité |
| Données de sécurité | Vidéosurveillance, logs d'accès (intérêts légitimes avec garanties) |
Fin de contrat et au-delà
| Données | Considérations |
|---|---|
| Documentation de départ | Conserver selon les exigences légales |
| Demandes de références | Intérêts légitimes, exactitude, équité |
| Registres de retraite | Exigences légales de conservation |
| Dossier du personnel | Planning de conservation, suppression finale |
Données de catégories particulières des employés
Les RH impliquent souvent des données de catégories particulières :
Données de santé
| Traitement | Base légale |
|---|---|
| Gestion des congés maladie | Obligation du droit du travail |
| Évaluations de médecine du travail | Obligation légale / Intérêts légitimes |
| Aménagements de handicap | Obligation du droit du travail |
| Assurance santé | Consentement explicite / Contrat |
| Programmes de bien-être | Consentement explicite (véritablement volontaire) |
Données de diversité
| Traitement | Base légale |
|---|---|
| Monitoring d'égalité des chances | Droit du travail (varie selon le pays) |
| Reporting de diversité | Intérêts légitimes avec garanties |
| Mesures d'action positive | Base légale varie selon la juridiction |
Bonnes pratiques pour les données de diversité :
- Collecte volontaire
- Anonymiser/agréger quand possible
- Séparer des décisions de personnel
- Explication claire de la finalité
Droits des employés
Les employés ont tous les droits RGPD :
Droit d'accès
Les employés peuvent demander des copies de leurs données personnelles :
| Inclus | Potentiellement exclu |
|---|---|
| Dossier du personnel | Privilège professionnel juridique |
| Registres de performance | Prévisions/planification de gestion |
| Emails les concernant | Données personnelles de tiers |
| Registres disciplinaires | Secrets commerciaux |
| Registres de paie | Enquêtes en cours |
Considérations pratiques :
- Se préparer à des demandes prenant du temps significatif
- Masquer les informations de tiers
- Inclure les informations de traitement (sources, destinataires, finalités)
Droit de rectification
Les employés peuvent demander la correction de données inexactes :
| Approche | Mise en œuvre |
|---|---|
| Erreurs factuelles | Corriger rapidement |
| Opinion vs fait | Noter que les opinions sont subjectives |
| Faits contestés | Noter le litige, enquêter |
| Registres historiques | Considérer si la correction est appropriée |
Droit à l'effacement
Limité dans le contexte de l'emploi :
| Généralement supprimé | Généralement conservé |
|---|---|
| Données de consentement retiré | Registres d'obligation légale |
| Données au-delà de la période de conservation | Besoins d'emploi en cours |
| Candidats non retenus (après période) | Registres fiscaux et de retraite |
Droit d'opposition
Les employés peuvent s'opposer au traitement basé sur les intérêts légitimes :
| Réponse | Quand approprié |
|---|---|
| Arrêter le traitement | Si pas de motifs impérieux |
| Continuer le traitement | Si motifs légitimes impérieux existent |
| Toujours arrêter | Oppositions au marketing direct |
Surveillance au travail
Surveiller les employés nécessite une considération RGPD attentive :
Principes généraux
| Principe | Application |
|---|---|
| Transparence | Les employés doivent savoir que la surveillance a lieu |
| Proportionnalité | La surveillance ne doit pas être excessive |
| Limitation des finalités | Utiliser les données uniquement pour les finalités déclarées |
| Minimisation des données | Collecter le minimum nécessaire |
| Sécurité | Protéger les données de surveillance de manière appropriée |
Types de surveillance
| Type de surveillance | Considérations |
|---|---|
| Email/internet | Politique claire, pas d'attente de confidentialité si communiqué |
| Vidéosurveillance | Couverture proportionnée, signalétique claire, limites de conservation |
| Contrôle d'accès | Finalité de sécurité légitime, accès limité aux données |
| GPS/localisation | Proportionné au besoin business, politique claire |
| Surveillance d'écran | Impact privacy élevé, justification forte nécessaire |
| Réseaux sociaux | Limité aux informations publiques, politique claire |
AIPD pour la surveillance
La surveillance systématique des employés nécessite typiquement une AIPD :
| Facteur | Considération |
|---|---|
| Nature | Ce qui est surveillé |
| Portée | Combien d'employés, quelle étendue |
| Contexte | Relation d'emploi, attentes |
| Finalité | Justification business |
| Risques | Intrusion dans la vie privée, effet inhibiteur |
| Garanties | Transparence, limites d'accès, conservation |
Données internationales des employés
Pour les organisations avec des opérations internationales :
Considérations de transfert
| Scénario | Exigence |
|---|---|
| Système RH centralisé | Mécanisme de transfert pour l'accès hors EEE |
| Reporting mondial | Agrégation/anonymisation quand possible |
| Services partagés | DPA et mécanismes de transfert |
Exigences locales
De nombreux pays ont des règles spécifiques sur les données d'emploi :
- Allemagne : Forte implication du comité d'entreprise
- France : Guidance de la CNIL sur la surveillance des employés
- Pays-Bas : Régulateur actif sur la vie privée au travail
Plannings de conservation
Les données des employés nécessitent des périodes de conservation claires :
| Type de registre | Conservation typique |
|---|---|
| Registres de recrutement (non retenus) | 6-12 mois |
| Dossier du personnel | 6-7 ans post-emploi |
| Registres de paie | 6-7 ans (varie selon le pays) |
| Registres fiscaux | Selon les exigences de l'administration fiscale |
| Registres de retraite | Jusqu'à complétion de l'administration de la retraite |
| Santé et sécurité | Selon les exigences légales (souvent 40 ans pour certains registres) |
| Registres de formation | Pendant l'emploi + 6 ans |
| Registres disciplinaires | Selon la politique, souvent 1-3 ans |
Note : Les exigences de conservation varient significativement selon le pays. Consultez les exigences locales.
Notice de confidentialité employés
Des informations de confidentialité séparées pour les employés devraient inclure :
| Élément | Contenu |
|---|---|
| Identité | Qui traite (sociétés du groupe) |
| Contact DPO | Si applicable |
| Catégories de données | Quelles données employé sont traitées |
| Finalités | Pourquoi chaque catégorie est traitée |
| Bases légales | Base pour chaque activité de traitement |
| Destinataires | Avec qui les données sont partagées |
| Transferts | Détails des transferts internationaux |
| Conservation | Combien de temps les données sont conservées |
| Droits | Comment les employés peuvent exercer leurs droits |
| Plaintes | Droit de se plaindre à la DPA |
Comment Bastion peut vous aider
La protection des données des employés implique de naviguer dans des exigences complexes tout en maintenant des opérations RH pratiques. Travailler avec des partenaires expérimentés aide à s'assurer que votre approche est à la fois conforme et praticable.
| Défi | Comment nous aidons |
|---|---|
| Analyse des bases légales | Guidance sur les bases appropriées pour les activités de traitement RH |
| Développement de politiques | Politiques de confidentialité employés et politiques de surveillance |
| Support AIPD | Évaluation de la surveillance et des traitements RH à haut risque |
| Gestion des droits | Processus pour gérer les demandes de données des employés |
| RH international | Navigation dans les exigences multi-pays |
| Formation | Formation des managers et équipes RH sur la vie privée des employés |
Bien gérer la protection des données des employés compte à la fois pour la conformité et pour la relation de confiance avec votre personnel. Un support expert aide à s'assurer que votre approche respecte la vie privée des employés tout en répondant aux besoins business légitimes.
Des questions sur la protection des données des employés ? Parlons-en →
Sources
- Avis CEPD sur le traitement dans le contexte de l'emploi - Guidance sur le consentement et l'emploi
- ICO Employment Practices Code - Guidance britannique sur les données des employés