Quelques sages précautions en matière de protection des données personnelles de ses salariés
Par Dorothée Platt et Sophie Uettwiller
Une mauvaise gestion des données à caractère personnel collectées par l’employeur a pu conduire à la mise en examen pour espionnage des dirigeants d’une célèbre enseigne d’ameublement. Pour ne pas en arriver là, UGGC Avocats vous propose un rappel succinct des réflexes à avoir en la matière.
Qu’est-ce que la récolte de données à caractère personnel ?
La loi « Informatique et Libertés » du 6 janvier 1978 modifiée par la loi du 6 août 2004 définit les principes à respecter lors de la collecte, du traitement et de la conservation des données qu’un employeur peut être amené à recevoir ou à demander à son salarié. Elle s’applique dès lors qu’il existe un traitement automatisé ou un fichier manuel contenant des informations relatives à des personnes physiques.
Quelles informations personnelles l’employeur peut-il légitiment collecter ?
Cinq principes clés sont à respecter par l’employeur[1] :
- le principe de finalité qui suppose que les données soient collectées et conservées pour un usage déterminé et légitime ;
- le principe de proportionnalité et de pertinence des données imposant que seules soient traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis ;
- le principe d’une durée limitée de conservation des données;
- le principe de sécurité et de confidentialité des données afin d’éviter que des tiers non autorisés puissent y avoir accès ;
- le principe du respect des droits des personnes, qui prévoit un droit d’accès, de rectification et d’opposition pour les salariés.
Quelles sont les formalités à accomplir ?
Le code du travail impose de consulter les représentants du personnel préalablement à la mise en œuvre ou la modification dans l’entreprise de certains traitements automatisés.
De plus, les salariés concernés doivent être clairement informés de la finalité et des modalités de mise en œuvre pour la récolte de données à caractère personnel.
En fonction du traitement et des données collectées, une déclaration ou une demande d’autorisation peuvent devoir être effectuées auprès de la Cnil.
L’entreprise a aussi la faculté de désigner un correspondant à la protection des données à caractère personnel, pour bénéficier d’un allègement des formalités et d’un conseil en matière de gestion des données à caractère personnel.
A quels risques l’employeur peut-il être exposé ?
La Cnil dispose de pouvoirs propres de sanctions. Elle peut notamment prononcer :
- un avertissement qui peut être rendu public ;
- une mise en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe, des injonctions de cessation du traitement automatisé ;
- des sanctions pécuniaires et des sanctions pénales.
Avec l’arrivée de la nouvelle année, une bonne résolution peut être de faire un point dans l’entreprise sur ce sujet !