Ressources humaines : les choses à savoir et à faire

Ressources Humaines

A savoir

Les employés de votre entreprise ont, bien entendu, les mêmes droits fondamentaux que tous les résidents européens : information, rectification, objection, etc. Il y a cependant une nuance de taille dans la façon de traiter leurs données personnelles.

La légitimité de traitement des données personnelles des employés ne se base pas sur le consentement des employés car la relation employeur/ employé ne constitue pas un socle légal valide puisqu’elle fausse la liberté de consentir en raison du lien de subordination entre les parties.

Cela signifie-t-il que votre entreprise ne peut rien faire? Bien sûr que non, fort heureusement.

Il y a 3 bases légales principales de traitement :

  1. Le contrat d’emploi est l’élément fondamental qui vous permet de traiter les données personnelles de vos employés.
  2. Les obligations légales de l’entreprise vous autorisent/contraignent à conserver des données de santé (sécurité sociale), des données financières (retenue d’impôt, saisie sur salaire), ou encore des données judicaires (extrait de casier judiciaire ou certificat de bonne vie et mœurs).
  3. Les intérêts de l’entreprise, comme la sécurité, la performance, la qualité, assurent également la légitimité du traitement de données personnelles de vos employés.

En pratique, ce qu’il faut faire

  • Le traitement des données à caractère personnel ‘habituelles’ d’un employé rentre dans le cadre du contrat et des obligations légales de l’entreprise. Il s’agit, par exemple, des données nécessaires à l’établissement des salaires et aux administrations (fiscale, caisse de santé, etc.), de mesures de performance, heures supplémentaires, d’extrait de casier judiciaire. Le contrat d’emploi doit être clair sur ces points, sans pour autant être exhaustif et tout décrire dans le détail : mentionner le cadre constitutif du contrat (droit du travail applicable et obligations légales de traitement et de transfert de données personnelles) peut souvent être suffisant pour le respect GDPR.

 

  • Le traitement de données à caractère personnel ‘particulières’ d’un employé doit obligatoirement lui être notifié. Il s’agit, par exemple, d’informations liées à la sécurité ou à la qualité telles qu’utilisation de badges d’accès, dispositifs informatiques de contrôle, protection contre le vol, mesure de consommation de carburant, géolocalisation de transports de marchandise, enregistrement de communications, caméra vidéo. L’entreprise doit, dans ces cas précis, veiller à informer clairement ses salariés : un règlement de travail ou règlement intérieur et une charte d’utilisation informatique sont des moyens d’information très utiles qui vous permettent de justifier la base légitime du traitement de telles données.

 

  • Recrutement de personnel (offres d’emploi et gestion des CV) Vos offres d’emploi doivent clairement mentionner les conditions d’utilisation, de rétention et de transfert des données personnelles des candidats qui postulent chez vous. Les CV reçus directement ou par vos sous-traitants (société de recrutement) doivent être traités avec beaucoup de prudence, car ils ne peuvent être conservés que dans des conditions très précises et pendant des périodes très limitées. Bien entendu, les CV de candidats non retenus doivent être effacés immédiatement sauf si les candidats ont préalablement donné leur consentement explicite pour une durée de conservation claire et justifiable. En effet, il n’existe pas (encore) de relation contractuelle (contrat d’emploi) qui pourrait vous autoriser à garder un CV.

 

Cela ne dispense pas votre entreprise de

  • Protéger les données en fonction de leur sensibilité GDPR
  • Respecter les durées légales minimum et maximum de rétention
Questions à poser
Outils IT
Ressources humaines
Sous-traitants – Marketing