La relation de travail génère, depuis le premier processus de recrutement jusqu'au dernier jour de travail, un volume considérable de données à caractère personnel. Curriculum vitæ, contrats, bulletins de salaire, certificats d'arrêt maladie, relevés de temps de travail, images de vidéosurveillance, journaux de géolocalisation… Toutes ces données appartiennent à des personnes physiques et sont donc protégées par le Règlement (UE) 2016/679 (RGPD) et par la Loi organique 3/2018 du 5 décembre sur la protection des données à caractère personnel et la garantie des droits numériques (LOPDGDD).
Comprendre quelles données l'entreprise peut traiter, sur quelle base juridique et dans quelles conditions n'est pas seulement une obligation légale : c'est aussi un moyen d'instaurer la confiance avec les salariés et d'éviter les sanctions prévues à l'article 83 du RGPD. Chez Summum Consultoría, nous accompagnons les entreprises dans leur mise en conformité au RGPD, avec une attention particulière au domaine du travail, depuis nos bureaux en Castille-et-León et aux Îles Canaries.
Le RGPD et le domaine du travail : un cadre spécifique
L'article 88 du RGPD est la clé qui ouvre l'espace du droit du travail au sein du règlement européen. Cette disposition autorise les États membres à prévoir, par voie législative ou par convention collective, des règles plus spécifiques afin d'assurer la protection des droits et libertés des employés dans le contexte professionnel. L'Espagne l'a fait par le biais du Titre X de la LOPDGDD, qui réglemente les droits et garanties des travailleurs face à l'utilisation des dispositifs numériques (articles 87 à 91), ainsi que par le Statut des travailleurs (Estatuto de los Trabajadores), dont l'article 20 reconnaît à l'employeur la faculté d'adopter des mesures de surveillance et de contrôle.
Ce régime spécial ne supprime pas les garanties générales du RGPD ; il les complète. L'entreprise reste tenue d'identifier une base juridique pour chaque traitement, d'informer les travailleurs, de respecter leurs droits et d'adopter des mesures techniques et organisationnelles appropriées.
Bases juridiques pour le traitement des données des salariés
L'article 6 du RGPD énumère les conditions de licéité du traitement. Dans le contexte du travail, les plus pertinentes sont :
- Exécution d'un contrat (art. 6.1.b RGPD) : couvre les traitements nécessaires à la gestion de la relation contractuelle avec le salarié. Les bulletins de salaire, l'inscription à la Sécurité sociale, la gestion des congés et absences ou le traitement des arrêts maladie relèvent de cette catégorie.
- Respect d'une obligation légale (art. 6.1.c RGPD) : couvre les traitements que la loi impose à l'employeur indépendamment de sa volonté. L'enregistrement du temps de travail (obligatoire en vertu de l'article 34.9 du Statut des travailleurs), la communication des contrats au SEPE (Service public de l'emploi espagnol), les retenues à la source de l'impôt sur le revenu ou les informations fournies à l'Inspection du travail en sont des exemples clairs.
- Intérêts légitimes (art. 6.1.f RGPD) : peut couvrir des traitements tels que la vidéosurveillance à des fins de sécurité ou le contrôle d'accès, à condition qu'ils passent le test de proportionnalité et que les droits et intérêts des travailleurs ne prévalent pas. Une analyse d'équilibre au cas par cas est nécessaire.
- Consentement (art. 6.1.a RGPD) : c'est la base la plus fragile dans le contexte du travail. Le déséquilibre inhérent à la relation employeur-salarié fait que le consentement est rarement donné librement, comme l'exige l'article 7 du RGPD. L'AEPD (Agence espagnole de protection des données — Agencia Española de Protección de Datos) a averti à plusieurs reprises que le consentement n'est pas une base juridique valide lorsqu'il existe une dépendance hiérarchique qui empêche de le donner librement.
Quelles données l'entreprise peut-elle traiter : aperçu par catégorie
Toutes les données ne sont pas soumises au même régime. Le RGPD distingue entre les données ordinaires et les catégories particulières de données (article 9), qui comprennent les données de santé, l'appartenance syndicale, l'origine raciale ou ethnique, les convictions religieuses et les données biométriques. Les catégories particulières requièrent une base spécifique au titre de l'article 9.2, en plus de la base générale de l'article 6.
| Type de donnée | Base juridique habituelle | Finalité |
|---|---|---|
| Données d'identification (nom, numéro national d'identité, adresse) | Contrat (art. 6.1.b) / Obligation légale (art. 6.1.c) | Inscription à la Sécurité sociale, contrat de travail, impôt sur le revenu |
| Coordonnées bancaires | Contrat (art. 6.1.b) | Versement du salaire |
| Relevés de temps de travail | Obligation légale (art. 6.1.c) | Respect de l'art. 34.9 du Statut des travailleurs |
| Images de vidéosurveillance | Intérêt légitime (art. 6.1.f) / Contrat (art. 6.1.b) | Sécurité, contrôle du respect des obligations contractuelles |
| Géolocalisation | Intérêt légitime (art. 6.1.f) / Contrat (art. 6.1.b) | Contrôle de l'activité, gestion de flotte |
| Données de santé (arrêts maladie, surveillance médicale) | Art. 9.2.b RGPD (obligations en matière d'emploi) | Prévention des risques professionnels, gestion des incapacités temporaires |
| Appartenance syndicale | Art. 9.2.b RGPD | Déduction des cotisations syndicales sur la paie (le cas échéant) |
| CV et données de recrutement | Consentement (art. 6.1.a) / Contrat (art. 6.1.b) | Processus de recrutement, embauche future |
L'article 88 de la LOPDGDD : droits numériques au travail
Le Titre X de la LOPDGDD développe les droits numériques des travailleurs. Bien qu'il soit courant d'y faire référence de manière collective, chaque article réglemente une situation différente :
- Article 87 LOPDGDD — Droit à l'intimité et utilisation des dispositifs numériques au travail : les employeurs peuvent accéder aux contenus générés par l'utilisation des dispositifs numériques mis à la disposition des salariés, à condition d'avoir préalablement établi des règles d'utilisation et de les avoir communiquées aux travailleurs. L'accès ne peut pas être indiscriminé ; il doit être orienté vers le contrôle du respect des obligations professionnelles.
- Article 88 LOPDGDD — Droit à la déconnexion numérique : les travailleurs ont le droit de ne pas répondre aux communications numériques en dehors de leurs heures de travail. L'entreprise doit élaborer une politique interne définissant les modalités d'exercice de ce droit. La négociation collective peut en préciser l'application.
- Article 89 LOPDGDD — Vidéosurveillance sur le lieu de travail : les employeurs peuvent traiter des images à des fins de contrôle professionnel, mais doivent en informer les travailleurs de manière préalable, expresse, claire et non équivoque. L'AEPD a précisé que l'affichage normalisé « zone sous vidéosurveillance » satisfait à l'obligation d'information de base (couche 1), à condition qu'une seconde couche accessible contienne le détail complet du traitement.
- Article 90 LOPDGDD — Géolocalisation : l'employeur peut traiter des données de géolocalisation pour contrôler l'activité des travailleurs, mais doit les informer de manière expresse, claire et non équivoque de l'existence et des caractéristiques du système. Il s'agit d'un point critique qui, mal géré, génère des conflits sociaux et des procédures de sanction. Vous pouvez trouver davantage d'informations dans notre guide sur le contrôle du temps de travail et la géolocalisation au regard du RGPD.
- Article 91 LOPDGDD — Droits numériques dans la négociation collective : les conventions collectives peuvent inclure des dispositions supplémentaires pour garantir l'exercice des droits numériques, dans le respect, en tout état de cause, des garanties minimales de la LOPDGDD.
Paie, Sécurité sociale et obligations fiscales
La gestion de la paie concentre certains des traitements de données les plus sensibles du cycle de travail : numéro de compte bancaire, adresse fiscale, montant du salaire, catégorie professionnelle, retenues à la source et cotisations à la Sécurité sociale. La base juridique est double : l'exécution du contrat de travail (art. 6.1.b RGPD) et le respect des obligations légales fiscales et de Sécurité sociale (art. 6.1.c RGPD).
Lorsque l'entreprise externalise la gestion de la paie auprès d'un cabinet ou d'une plateforme de payroll, ce prestataire agit en tant que sous-traitant au sens de l'article 28 du RGPD. Il est obligatoire de conclure un contrat de sous-traitance prévoyant notamment les instructions de traitement, les mesures de sécurité requises et la procédure de notification des violations de données. L'absence de ce contrat est l'une des défaillances les plus fréquentes que nous constatons lors des audits de mise en conformité au RGPD.
Données de santé et prévention des risques professionnels
Les données de santé constituent des catégories particulières de données au sens de l'article 9 du RGPD. Dans le domaine du travail, l'entreprise a accès à ce type d'information principalement par deux voies :
- Incapacité temporaire (IT) : le certificat d'arrêt maladie délivré par le médecin contient le diagnostic. Depuis le 1er avril 2023, avec l'entrée en vigueur du Décret royal 1060/2022, le travailleur ne remet plus l'arrêt maladie à l'employeur : c'est l'INSS (Institut national de la Sécurité sociale espagnol — Instituto Nacional de la Seguridad Social) qui le communique directement à l'entreprise via le système RED. L'employeur ne reçoit que le code de contingence (commune ou professionnelle) et la durée estimée, non le diagnostic. Traiter le diagnostic sans base juridique spécifique constituerait une violation de l'article 9 du RGPD.
- Surveillance médicale : les examens médicaux réalisés dans le cadre de la loi 31/1995 sur la prévention des risques professionnels génèrent des données de santé. L'employeur ne peut prendre connaissance que de la conclusion (apte, apte avec restrictions, inapte) ; l'accès au dossier médical du travailleur est réservé au service de prévention.
Recrutement : le cycle de vie des données du candidat
Le processus de recrutement est la première étape à laquelle l'entreprise collecte des données auprès de personnes qui ne sont pas encore salariées. Le candidat fournit son curriculum vitæ — contenant des données d'identification, de formation, d'expérience et parfois une photographie — sur la base de son consentement (art. 6.1.a RGPD) ou dans le cadre de négociations précontractuelles (art. 6.1.b RGPD).
Deux points critiques à cette étape :
- Conservation des données : si le candidat n'est pas retenu, ses données ne doivent pas être conservées indéfiniment. La pratique habituelle consiste à les conserver un an au maximum pour de futures candidatures, à condition que le candidat en ait été informé et qu'une base juridique existe. À l'issue de ce délai, les données doivent être supprimées.
- Données prohibées lors du recrutement : interroger un candidat sur son état de santé, sa grossesse, son appartenance syndicale ou ses convictions religieuses sans raison justifiée constitue un traitement de catégories particulières sans base juridique et peut également constituer une discrimination dans l'accès à l'emploi.
L'obligation d'information envers les salariés
Les articles 13 et 14 du RGPD imposent au responsable du traitement d'informer les personnes concernées au moment de la collecte de leurs données. Dans le contexte du travail, cela se traduit par l'obligation de remettre au travailleur, au plus tard lors de la signature du contrat de travail, une notice d'information indiquant :
- L'identité et les coordonnées du responsable du traitement (l'entreprise) et, le cas échéant, du délégué à la protection des données (DPD).
- Les finalités du traitement et la base juridique de chacune d'elles.
- Les destinataires ou catégories de destinataires des données (cabinet de paie, mutuelle, Sécurité sociale, administration fiscale, établissement bancaire).
- La durée de conservation pour chaque catégorie de données.
- Les droits du travailleur : accès, rectification, effacement, limitation, portabilité et opposition.
Cette information ne peut se réduire à un renvoi générique à la politique de confidentialité du site web de l'entreprise. Elle doit être spécifique au domaine du travail et rédigée dans un langage clair, sans jargon. Vous pouvez trouver davantage d'informations sur les droits des personnes concernées au titre du RGPD et sur la manière de les exercer dans le contexte professionnel.
Obligations formelles de l'employeur
Au-delà de l'obligation d'information, l'entreprise doit remplir un ensemble d'obligations documentaires et organisationnelles :
- Registre des activités de traitement (RAT) : l'article 30 du RGPD impose aux responsables du traitement de tenir un registre écrit de toutes les activités de traitement effectuées sous leur responsabilité. Dans le domaine des ressources humaines, le RAT doit comprendre au minimum la gestion de la paie, la gestion des contrats, le recrutement, le contrôle de présence, la vidéosurveillance et la surveillance médicale.
- Contrats de sous-traitance : tout prestataire externe traitant des données pour le compte de l'entreprise (cabinet de paie, entreprise de travail temporaire, plateforme de gestion du temps de travail, service de prévention externe) doit signer le contrat de sous-traitance correspondant conformément à l'article 28 du RGPD.
- Mesures de sécurité : le principe d'intégrité et de confidentialité de l'article 5.1.f du RGPD impose de mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données des salariés contre les accès non autorisés, les pertes ou les altérations. En pratique : contrôle d'accès aux systèmes RH, chiffrement des appareils mobiles, politique de bureau propre et gestion robuste des mots de passe.
- Politique interne sur les dispositifs et la déconnexion numérique : expressément requise par les articles 87 et 88 de la LOPDGDD. Elle doit définir les conditions d'utilisation des dispositifs professionnels et les modalités d'exercice du droit à la déconnexion.
- Analyse d'impact relative à la protection des données (AIPD) : lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des travailleurs — par exemple, l'utilisation de systèmes de vidéosurveillance massifs, la surveillance continue de l'activité informatique ou le traitement à grande échelle de données de santé —, l'article 35 du RGPD exige de réaliser une analyse d'impact avant le début du traitement.
Régime des sanctions : le cadre de l'article 83 du RGPD
Le non-respect des obligations en matière de protection des données dans le contexte du travail peut donner lieu à des sanctions en vertu de l'article 83 du RGPD. Le régime prévoit deux niveaux :
- Infractions graves (art. 83.4 RGPD) : amendes pouvant atteindre 10 000 000 EUR ou, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Elles visent notamment le non-respect des obligations du responsable du traitement et du sous-traitant (articles 8, 11, 25 à 39, 42 et 43 du RGPD).
- Infractions très graves (art. 83.5 RGPD) : amendes pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Elles s'appliquent aux violations des principes fondamentaux du traitement (articles 5, 6, 7 et 9), des droits des personnes concernées (articles 12 à 22) et des règles relatives aux transferts internationaux de données.
La LOPDGDD (LO 3/2018) qualifie en outre des infractions spécifiques de mineures, graves ou très graves (articles 72 à 74 de la LOPDGDD), en cohérence avec le cadre du RGPD. Chez Summum Consultoría, nous accompagnons les entreprises dans leur mise en conformité à la réglementation sur la protection des données, en identifiant les traitements de données des salariés qui nécessitent une attention prioritaire et en aidant à mettre en place les mesures techniques et organisationnelles appropriées.
Questions fréquemment posées
L'entreprise peut-elle consulter la messagerie professionnelle d'un salarié ?
Oui, sous certaines conditions. L'article 87 de la LOPDGDD autorise l'employeur à accéder aux contenus générés par l'utilisation des dispositifs numériques mis à la disposition des salariés, à condition d'avoir préalablement établi des règles d'utilisation et de les avoir communiquées aux travailleurs. L'accès doit être orienté vers le contrôle du respect des obligations professionnelles et ne peut être indiscriminé ni disproportionné. Sans cette information préalable, l'accès à la messagerie professionnelle peut violer le droit à l'intimité du travailleur et engager la responsabilité de l'entreprise.
Le consentement du salarié est-il requis pour publier sa photographie sur le site web de l'entreprise ?
La publication de la photographie d'un salarié sur le site web ou sur les réseaux sociaux de l'entreprise ne peut pas se fonder sur l'exécution du contrat ni sur une obligation légale. La base juridique appropriée est le consentement exprès du travailleur au titre de l'article 6.1.a du RGPD. Compte tenu du déséquilibre inhérent à la relation de travail, ce consentement doit être libre, spécifique et éclairé, et le travailleur doit pouvoir le retirer sans conséquences négatives pour sa situation professionnelle. Il est recommandé de documenter le consentement par écrit.
Combien de temps l'entreprise peut-elle conserver les données d'un ancien salarié ?
Le principe de limitation de la durée de conservation de l'article 5.1.e du RGPD impose de ne pas conserver les données plus longtemps que nécessaire. Dans le domaine du travail, les durées sont déterminées par les délais de prescription légaux : quatre ans pour les obligations de travail et de Sécurité sociale (loi générale sur la Sécurité sociale espagnole), cinq ans en matière fiscale, et jusqu'à dix ans dans certains cas de prévention du blanchiment. À l'expiration de ces délais, les données doivent être supprimées ou bloquées de façon à n'être accessibles qu'aux autorités publiques, aux juges ou aux tribunaux.
L'entreprise a-t-elle besoin d'un délégué à la protection des données (DPD) pour gérer les données de ses salariés ?
Le DPD est obligatoire dans les cas prévus à l'article 37 du RGPD : autorités et organismes publics, entités qui effectuent des traitements à grande échelle de catégories particulières de données, et entités dont l'activité principale nécessite un suivi régulier et systématique à grande échelle des personnes concernées. Dans le secteur privé, de nombreuses PME ne sont pas tenues de désigner un DPD du seul fait qu'elles ont des salariés. Toutefois, lorsque l'entreprise traite à grande échelle des données de santé de travailleurs — par exemple, les services médicaux ou les mutuelles — ou effectue une surveillance systématique et continue de ses salariés, l'obligation peut s'appliquer. Dans tous les cas, il est de bonne pratique de désigner un interlocuteur interne pour la protection des données, même lorsque cela n'est pas formellement obligatoire.