RGPD et RH : données des salariés que l'entreprise peut traiter

·

La relation de travail génère, depuis le premier processus de recrutement jusqu'au dernier jour de travail, un volume considérable de données à caractère personnel. Curriculum vitæ, contrats, bulletins de salaire, certificats d'arrêt maladie, relevés de temps de travail, images de vidéosurveillance, journaux de géolocalisation… Toutes ces données appartiennent à des personnes physiques et sont donc protégées par le Règlement (UE) 2016/679 (RGPD) et par la Loi organique 3/2018 du 5 décembre sur la protection des données à caractère personnel et la garantie des droits numériques (LOPDGDD).

Comprendre quelles données l'entreprise peut traiter, sur quelle base juridique et dans quelles conditions n'est pas seulement une obligation légale : c'est aussi un moyen d'instaurer la confiance avec les salariés et d'éviter les sanctions prévues à l'article 83 du RGPD. Chez Summum Consultoría, nous accompagnons les entreprises dans leur mise en conformité au RGPD, avec une attention particulière au domaine du travail, depuis nos bureaux en Castille-et-León et aux Îles Canaries.

Le RGPD et le domaine du travail : un cadre spécifique

L'article 88 du RGPD est la clé qui ouvre l'espace du droit du travail au sein du règlement européen. Cette disposition autorise les États membres à prévoir, par voie législative ou par convention collective, des règles plus spécifiques afin d'assurer la protection des droits et libertés des employés dans le contexte professionnel. L'Espagne l'a fait par le biais du Titre X de la LOPDGDD, qui réglemente les droits et garanties des travailleurs face à l'utilisation des dispositifs numériques (articles 87 à 91), ainsi que par le Statut des travailleurs (Estatuto de los Trabajadores), dont l'article 20 reconnaît à l'employeur la faculté d'adopter des mesures de surveillance et de contrôle.

Ce régime spécial ne supprime pas les garanties générales du RGPD ; il les complète. L'entreprise reste tenue d'identifier une base juridique pour chaque traitement, d'informer les travailleurs, de respecter leurs droits et d'adopter des mesures techniques et organisationnelles appropriées.

Bases juridiques pour le traitement des données des salariés

L'article 6 du RGPD énumère les conditions de licéité du traitement. Dans le contexte du travail, les plus pertinentes sont :

Quelles données l'entreprise peut-elle traiter : aperçu par catégorie

Toutes les données ne sont pas soumises au même régime. Le RGPD distingue entre les données ordinaires et les catégories particulières de données (article 9), qui comprennent les données de santé, l'appartenance syndicale, l'origine raciale ou ethnique, les convictions religieuses et les données biométriques. Les catégories particulières requièrent une base spécifique au titre de l'article 9.2, en plus de la base générale de l'article 6.

Type de donnée Base juridique habituelle Finalité
Données d'identification (nom, numéro national d'identité, adresse) Contrat (art. 6.1.b) / Obligation légale (art. 6.1.c) Inscription à la Sécurité sociale, contrat de travail, impôt sur le revenu
Coordonnées bancaires Contrat (art. 6.1.b) Versement du salaire
Relevés de temps de travail Obligation légale (art. 6.1.c) Respect de l'art. 34.9 du Statut des travailleurs
Images de vidéosurveillance Intérêt légitime (art. 6.1.f) / Contrat (art. 6.1.b) Sécurité, contrôle du respect des obligations contractuelles
Géolocalisation Intérêt légitime (art. 6.1.f) / Contrat (art. 6.1.b) Contrôle de l'activité, gestion de flotte
Données de santé (arrêts maladie, surveillance médicale) Art. 9.2.b RGPD (obligations en matière d'emploi) Prévention des risques professionnels, gestion des incapacités temporaires
Appartenance syndicale Art. 9.2.b RGPD Déduction des cotisations syndicales sur la paie (le cas échéant)
CV et données de recrutement Consentement (art. 6.1.a) / Contrat (art. 6.1.b) Processus de recrutement, embauche future

L'article 88 de la LOPDGDD : droits numériques au travail

Le Titre X de la LOPDGDD développe les droits numériques des travailleurs. Bien qu'il soit courant d'y faire référence de manière collective, chaque article réglemente une situation différente :

Paie, Sécurité sociale et obligations fiscales

La gestion de la paie concentre certains des traitements de données les plus sensibles du cycle de travail : numéro de compte bancaire, adresse fiscale, montant du salaire, catégorie professionnelle, retenues à la source et cotisations à la Sécurité sociale. La base juridique est double : l'exécution du contrat de travail (art. 6.1.b RGPD) et le respect des obligations légales fiscales et de Sécurité sociale (art. 6.1.c RGPD).

Lorsque l'entreprise externalise la gestion de la paie auprès d'un cabinet ou d'une plateforme de payroll, ce prestataire agit en tant que sous-traitant au sens de l'article 28 du RGPD. Il est obligatoire de conclure un contrat de sous-traitance prévoyant notamment les instructions de traitement, les mesures de sécurité requises et la procédure de notification des violations de données. L'absence de ce contrat est l'une des défaillances les plus fréquentes que nous constatons lors des audits de mise en conformité au RGPD.

Données de santé et prévention des risques professionnels

Les données de santé constituent des catégories particulières de données au sens de l'article 9 du RGPD. Dans le domaine du travail, l'entreprise a accès à ce type d'information principalement par deux voies :

Recrutement : le cycle de vie des données du candidat

Le processus de recrutement est la première étape à laquelle l'entreprise collecte des données auprès de personnes qui ne sont pas encore salariées. Le candidat fournit son curriculum vitæ — contenant des données d'identification, de formation, d'expérience et parfois une photographie — sur la base de son consentement (art. 6.1.a RGPD) ou dans le cadre de négociations précontractuelles (art. 6.1.b RGPD).

Deux points critiques à cette étape :

L'obligation d'information envers les salariés

Les articles 13 et 14 du RGPD imposent au responsable du traitement d'informer les personnes concernées au moment de la collecte de leurs données. Dans le contexte du travail, cela se traduit par l'obligation de remettre au travailleur, au plus tard lors de la signature du contrat de travail, une notice d'information indiquant :

Cette information ne peut se réduire à un renvoi générique à la politique de confidentialité du site web de l'entreprise. Elle doit être spécifique au domaine du travail et rédigée dans un langage clair, sans jargon. Vous pouvez trouver davantage d'informations sur les droits des personnes concernées au titre du RGPD et sur la manière de les exercer dans le contexte professionnel.

Obligations formelles de l'employeur

Au-delà de l'obligation d'information, l'entreprise doit remplir un ensemble d'obligations documentaires et organisationnelles :

Régime des sanctions : le cadre de l'article 83 du RGPD

Le non-respect des obligations en matière de protection des données dans le contexte du travail peut donner lieu à des sanctions en vertu de l'article 83 du RGPD. Le régime prévoit deux niveaux :

La LOPDGDD (LO 3/2018) qualifie en outre des infractions spécifiques de mineures, graves ou très graves (articles 72 à 74 de la LOPDGDD), en cohérence avec le cadre du RGPD. Chez Summum Consultoría, nous accompagnons les entreprises dans leur mise en conformité à la réglementation sur la protection des données, en identifiant les traitements de données des salariés qui nécessitent une attention prioritaire et en aidant à mettre en place les mesures techniques et organisationnelles appropriées.

Questions fréquemment posées

L'entreprise peut-elle consulter la messagerie professionnelle d'un salarié ?

Oui, sous certaines conditions. L'article 87 de la LOPDGDD autorise l'employeur à accéder aux contenus générés par l'utilisation des dispositifs numériques mis à la disposition des salariés, à condition d'avoir préalablement établi des règles d'utilisation et de les avoir communiquées aux travailleurs. L'accès doit être orienté vers le contrôle du respect des obligations professionnelles et ne peut être indiscriminé ni disproportionné. Sans cette information préalable, l'accès à la messagerie professionnelle peut violer le droit à l'intimité du travailleur et engager la responsabilité de l'entreprise.

Le consentement du salarié est-il requis pour publier sa photographie sur le site web de l'entreprise ?

La publication de la photographie d'un salarié sur le site web ou sur les réseaux sociaux de l'entreprise ne peut pas se fonder sur l'exécution du contrat ni sur une obligation légale. La base juridique appropriée est le consentement exprès du travailleur au titre de l'article 6.1.a du RGPD. Compte tenu du déséquilibre inhérent à la relation de travail, ce consentement doit être libre, spécifique et éclairé, et le travailleur doit pouvoir le retirer sans conséquences négatives pour sa situation professionnelle. Il est recommandé de documenter le consentement par écrit.

Combien de temps l'entreprise peut-elle conserver les données d'un ancien salarié ?

Le principe de limitation de la durée de conservation de l'article 5.1.e du RGPD impose de ne pas conserver les données plus longtemps que nécessaire. Dans le domaine du travail, les durées sont déterminées par les délais de prescription légaux : quatre ans pour les obligations de travail et de Sécurité sociale (loi générale sur la Sécurité sociale espagnole), cinq ans en matière fiscale, et jusqu'à dix ans dans certains cas de prévention du blanchiment. À l'expiration de ces délais, les données doivent être supprimées ou bloquées de façon à n'être accessibles qu'aux autorités publiques, aux juges ou aux tribunaux.

L'entreprise a-t-elle besoin d'un délégué à la protection des données (DPD) pour gérer les données de ses salariés ?

Le DPD est obligatoire dans les cas prévus à l'article 37 du RGPD : autorités et organismes publics, entités qui effectuent des traitements à grande échelle de catégories particulières de données, et entités dont l'activité principale nécessite un suivi régulier et systématique à grande échelle des personnes concernées. Dans le secteur privé, de nombreuses PME ne sont pas tenues de désigner un DPD du seul fait qu'elles ont des salariés. Toutefois, lorsque l'entreprise traite à grande échelle des données de santé de travailleurs — par exemple, les services médicaux ou les mutuelles — ou effectue une surveillance systématique et continue de ses salariés, l'obligation peut s'appliquer. Dans tous les cas, il est de bonne pratique de désigner un interlocuteur interne pour la protection des données, même lorsque cela n'est pas formellement obligatoire.