RGPD et gestion des RH | Le Monde de la Propreté

D’une manière générale, les services des ressources humaines sont systématiquement concernés par le RGPD.

Accueil
RGPD La règlementation en matière de
protection des données Le registre de
traitement des données RGPD et
gestion des RH RGPD et
relations commerciales RGPD et
Internet

En tant que RH, vous traitez de la donnée personnelle lorsque :

vous recevez des CV, des lettres de motivations,

Recrutement >

vous procédez aux évaluations annuelles de vos salariés,
vous prononcez des sanctions disciplinaires à l’égard de vos salariés,
vous effectuez le paiement des salaires de vos salariés,
vous mettez fin aux contrats de vos salariés

Contrat de travail >

vous suivez l'activité de vos salariés

Vidéosurveillance et géolocalisation >

A ce titre, le RGPD impose aux directions de ressources humaines de respecter plusieurs principes

et obligations

informer les candidats ainsi que les salariés présents en entreprise de la finalité, des destinataires, de la durée de conservation et des droits dont ils disposent sur leurs données personnelles,
informer les salariés pour certains traitements spécifiques comme la géolocalisation,
limiter la collecte et le traitement aux données strictement nécessaires au regard du poste à pourvoir, du contrat de travail ou de l’obligation légale,
assurer la sécurité et la confidentialité des données personnelles, en mettant en place des mesures techniques et organisationnelles appropriées,
répondre aux demandes d’accès, de rectification, d’effacement ou de portabilité des données personnelles formulées par les salariés dans les délais impartis,
signaler à la CNIL toute violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des salariés.

Le contrat de travail

En application des dispositions légales, dans le cadre des traitements RH, l’employeur est tenu d’une obligation d’information à l’égard de ses salariés avant la mise en œuvre d’un traitement.

Cela signifie qu’avant même de traiter les données d’un nouveau salarié, l’employeur doit fournir un certain nombre d’informations et notamment :

les catégories des données traitées
Par exemple les données d’identification de vos salariés, les données de parcours professionnel, les données de rémunération, les données de santé, etc.
les finalités du traitement instauré
Par exemple : la gestion administrative, la paie, la formation, l’évaluation, etc.
la durée de conservation des données récoltées
Par exemple : la durée du contrat de travail, la durée légale de conservation, etc.
les droits du salarié sur ses données personnelles

Le droit d’accès, de rectification, de limitation, d’effacement, de portabilité.

les destinataires des données personnelles
Par exemple : les services internes de l’employeur, les sous-traitants, les organismes sociaux, les autorités publiques, etc.

S'il est indispensable de protéger les données personnelles de vos salariés, cette protection s’opère par :

l’introduction d’une clause dite “RGPD”, au sein des contrats de travail de l’ensemble de vos collaborateurs, les informant du traitement fait par leur entreprise de leurs données personnelles,
l'ajout d’une clause, pour l’ensemble de vos collaborateurs traitant de la donnée personnelle (tels que les services RH qui traitent de la donnée personnelle au quotidien ou bien les commerciaux si ces derniers ont accès à des données personnelles de vos clients par exemple) les engageant à une stricte confidentialité des données personnelles auxquelles ils auraient accès.

Modèles

Clause sur le traitement des données personnelles des salariés opéré par l'entreprise

ARTICLE XX - TRAITEMENT DES DONNÉES PERSONNELLES

Dans le cadre de …..(précisez les finalités de traitement, par exemple : la gestion du personnel, la gestion de la paie, le suivi des formations, etc), l’entreprise est conduite à solliciter des données personnelles du Salarié, notamment …..(prénom et nom, numéro de sécurité sociale, coordonnées bancaires, situation familiale, numéro de téléphone, adresse postale, adresse électronique).

Ces données font l'objet d'un traitement par l’entreprise dont M./Mme …(prénom et nom du DPO ou similaire), en sa qualité de ….(du(de la) délégué(e) à la protection des données ou similaire) est considéré(e) comme étant le/la chargé(e) du dossier de traitement des données personnelles.

En signant le présent contrat M./Mme …(prénom et nom du salarié) autorise l’entreprise à collecter, enregistrer et stocker ces données qui ne seront traitées et utilisées que dans la mesure de ce qui est nécessaire à l'exécution du contrat de travail, à l'accomplissement par l’entreprise des obligations qui lui incombent et dans la limite des délais de prescription applicables en matière sociale.

Outre les services de l’entreprise habilités à les traiter en raison de leur rôle, les destinataires de ces données sont strictement limités à ce jour aux organismes et personnes suivantes : …(Détailler les destinataires des données personnelles du salarié ; par exemple : Urssaf, caisse de retraite, organisme de prévoyance, service des impôts, service de médecine du travail compétents, Pôle emploi ...).

Si certaines tâches sont sous-traitées par l’entreprise :

La gestion de …(exemple : la paie) a été confiée à la société …(dénomination sociale de la société) représentée par M./Mme …(prénom et nom du représentant de cette société), …(qualité).

A cette fin les données suivantes lui sont communiquées : …(préciser les données transmises ; exemples : nom et prénom du salarié, numéro de sécurité sociale, coordonnées bancaires, situation familiale…). Dans le cadre de l'exécution de cette prestation, cette société a l'obligation de traiter les données transmises uniquement pour la seule finalité qui fait (ou : les seules finalités qui font) l'objet de la sous-traitance et à garantir la confidentialité et la sécurité de ces données.

Les données collectées ne seront conservées que dans la mesure de ce qui est nécessaire à l'exécution du contrat de travail et à l'accomplissement par l’entreprise des obligations qui lui incombent et dans la limite des délais de prescription applicables en matière sociale.

M./Mme …(prénom et nom du salarié) bénéficie de droits d'accès, de rectification, de portabilité et d'effacement de ses données ou de limitation de leur utilisation. Le salarié peut également, pour des motifs légitimes, s'opposer à leur traitement.

Ces droits peuvent être exercées en s'adressant :

à M./Mme …(prénom et nom du(de la) délégué(e) à la protection des données ou similaire), désigné(e) par l’entreprise comme délégué(e) à la protection des données, …(compléter par le mode de saisine : par mail à …. [indiquer l’adresse mail] / au …. [indiquer le numéro de téléphone] / ou toute autre modalité de contact mise en place).

En cas de difficultés liées à la gestion de ses données personnelles, le salarié a enfin la possibilité d'introduire une réclamation auprès de la CNIL : - Service des Plaintes - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

Clause sur le traitement de données personnelles opéré par des salariés

ARTICLE XX - TRAITEMENT DE DONNÉES PERSONNELLES PAR DES SALARIÉS

M./Mme …(prénom et nom du salarié) exerçant les fonctions de … (nature des fonctions au sein de la société : RH, commercial, ...) au sein de la société …(nom de l’entreprise de propreté), étant à ce titre amené(e) à accéder à des données à caractère personnel, déclare reconnaître la confidentialité desdites données.
Le salarié s'engage, en conséquence, conformément à la loi du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ainsi qu'aux articles 32 à 35 du Règlement général sur la protection des données (RGPD) du 27 avril 2016, à prendre toutes mesures nécessaires dans le cadre de ses attributions afin de protéger la confidentialité des informations auxquelles elle/il a accès, et en particulier d'empêcher qu'elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.
M./Mme …(prénom et nom du salarié) s'engage en particulier à :

ne pas utiliser les données auxquelles elle/il a accès à des fins autres que celles prévues par ses attributions,
ne divulguer ces données qu'aux personnes dûment autorisées à en recevoir communication,
ne faire aucune copie de ces données sauf si c'est nécessaire à l'exécution de ses fonctions,
prendre toutes les mesures nécessaires afin d'éviter l'utilisation détournée ou frauduleuse de ces données,
prendre toutes précautions utiles pour préserver la sécurité de ces données,
s'assurer, dans la limite de ses attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données,
en cas de cessation de ses fonctions, restituer intégralement les données, fichiers informatiques et tout support d'information relatif à ces données.

L'obligation de confidentialité relative aux données personnelles demeurera même après la fin du contrat, quelle qu'en soit la cause.

Le recrutement

De nombreuses données personnelles sont collectées et traitées lors de la procédure de recrutement : CV, lettres de motivations, candidatures spontanées, formulaires de candidature, prise de référence auprès d’un ancien employeur, informations obtenues sur les réseaux sociaux, etc.

Pour que la collecte des ces données soit conforme au RGPD, il est essentiel de fournir une information transparente et complète aux candidats sur la manière dont leurs données personnelles seront traitées dans le cadre du processus de recrutement.

Aussi, à chaque fois que vous demandez des informations à un candidat, veillez à toujours vérifier que :

seules les informations utiles au regard du poste à pourvoir sont récoltées,

Par exemple : La demande relative aux langues parlées par un agent de propreté intervenant au sein d’une copropriété n’est pas une donnée indispensable à la fonction exercée.
A contrario, les langues parlées par un chef de site, intervenant sur des sites internationaux et dont l'équipe est originaire de l'UE, sont justifiées par la dimension internationale du poste à pourvoir.

une information claire est donnée aux candidats si leurs données sont partagées avec des tiers,

Par exemple : Les données d'un candidat sont transmises à un cabinet de recrutement

les candidats soient bien informés sur ce que vous allez faire de leurs données et combien de temps celles-ci seront conservées.

Par exemple : Incluez une mention au sein de la rubrique consacrée au dépôt de candidatures que les données récoltées seront traitées par le service des ressources humaines et qu’elles pourront être sauvegardées dans la limite de 2 ans après leur réception.

Droits des personnes

En contrepartie du droit de traiter les données personnelles, le RGPD impose au Responsable du traitement l’obligation d’assurer un certain nombre de droits aux personnes dont les données sont traitées. Ces droits sont au nombre de 6 :

Droit d’accès de la personne concernée

Les candidats disposent non seulement du droit de connaitre la façon dont leurs données vont être traitées mais peuvent également demander à connaitre l’intégralité de leurs données collectées.

Droit de rectification

Les candidats disposent du droit de demander la mise à jour ou la correction de leurs données traitées dans votre base de données.

Droit à l’effacement

Les candidats ont le droit de vous demander de supprimer leurs données personnelles de votre base de données.

Droit à la limitation du traitement

Les candidats disposent du droit de suspendre le traitement de leurs données contenues dans votre base de données

Droit à la portabilité des données

Les candidats disposent du droit de vous demander d’exporter toutes leurs données depuis votre base de données

Droit d’opposition

Les candidats disposent du droit de vous demander de cesser le traitement de leurs données

A NOTER

Le cas d'une candidature qui vous est adressée par le biais de votre site internet vous impose de mentionner ou mettre en oeuvre certains éléments.

En savoir +

Autres cas d'application

Pour en savoir plus sur le contrôle de l’activité des salariés, consultez la circulaire dédiée.

La vidéosurveillance sur le lieu de travail
Le dispositif de géolocalisation des véhicules de l'entreprise

La vidéosurveillance sur le lieu de travail

On rappellera qu’avant l’entrée en vigueur du RGPD, le dispositif de vidéosurveillance devait être déclaré à la CNIL. Ces formalités ont disparu avec l’entrée en vigueur du RGPD.

Aujourd’hui, pour qu’un tel dispositif soit conforme, il faut que les salariés filmés soient informés de la mise en place d’un système de vidéosurveillance sur leur lieu de travail. Cette règle est notamment rappelée par le Code du travail dans son article L1221-9.

Aussi, même si l’employeur a le droit de contrôler et de surveiller l’activité de ses salariés durant le temps de travail, il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas été porté préalablement à la connaissance des salariés.

A NOTER

Lorsqu’il existe un CSE, celui-ci doit être informé et consulté préalablement à la décision de la mise en œuvre dans l’entreprise d’un tel dispositif (article L.2312-38 du Code du Travail).

Notez également que l'employeur ne peut pas exploiter ce dispositif sans information préalable. Cette dernière doit être donnée par l’entreprise mettant en œuvre un tel dispositif :

votre entreprise si le dispositif de vidéosurveillance est installé au sein de vos locaux,
votre client, si le dispositif de vidéosurveillance est installé au sein des locaux de votre client.

Il est également recommandé de limiter l’accès aux images uniquement aux destinataires habilités et pour une durée limitée à quelques jours.

Modèle

Cet établissement placé sous vidéosurveillance par la société [X] pour la sécurité des personnes et des biens.

Les images sont conservées pendant un mois et peuvent être visionnées, en cas d’incident, par le personnel habilité de la société X et par les forces de l’ordre.

En cas d’incident lié à la sécurité des personnes et des biens, les images de vidéosurveillance peuvent néanmoins être extraites du dispositif. Elles sont alors conservées sur un autre support le temps du règlement des procédures liées à cet incident et accessibles aux seules personnes habilitées dans ce cadre.

Pour exercer vos droits Informatique et Libertés, notamment votre droit d’accès aux images qui vous concernent, ou pour toute information sur ce dispositif, vous pouvez contacter la personne en charge du dossier en écrivant à adresse suivante : [mail@mail.fr] ou à l’adresse postale suivante : [Adresse postale]

Le dispositif de géolocalisation des véhicules de l'entreprise

Même si des dispositifs de géolocalisation peuvent être installés dans les véhicules appartenant à l'entreprise, sachez que la mise en œuvre d’un tel dispositif doit toujours respecter les exigences issues du RGPD.

En effet, dans la mesure où les dispositifs de géolocalisation des voitures collectent, traitent et stockent les données personnelles de vos salariés, vous êtes dans l’obligation d’informer les salariés concernés sur la collecte réalisée et assurer que les données récoltées sont utilisées de manière légale et sécurisée.

Aussi, à titre d’exemple, le dispositif de géolocalisation est licite lorsqu’il s’inscrit dans un objectif de sécurité du salarié ou du véhicule, lorsqu’il est nécessaire au contrôle de respect des règles d’utilisation du véhicule.

A NOTER

A contrario, notez que le dispositif de géolocalisation installé dans un véhicule de fonction ne peut être utilisé :

pour contrôler le respect des limitations de vitesse,
pour contrôler un salarié en permanence, c’est-à-dire en dehors de son temps de travail,
pour contrôler le temps de travail des agents alors qu’un autre dispositif tel que le pointage est déjà mis en place au sein de l’entreprise.

POUR EN SAVOIR PLUS

Un autodiagnostic gratuit

La Confédération des PME (CPME) et la CNIL se sont associées pour mettre à disposition un site vous permettant d'évaluer votre entreprise face au RGPD. Ce site a pour vocation de vous sensibiliser et vous expliquer, par 14 questions simples basées sur des usages, quelles sont les obligations auxquelles vous êtes soumis, quels sont les comportements à proscrire et ceux à privilégier. Il vous permettra aussi de mesurer le chemin parcouru et celui restant à parcourir pour vous mettre dans une démarche de conformité.

Procéder à mon autodiagnostic RGPD