Protection des données personnelles au travail : les essentiels à savoir

Le RGPD offre un cadre juridique unique aux professionnels pour harmoniser les règles. Ce dispositif fondé sur la confiance des utilisateurs permet le développement des activités numériques de ces derniers dans l’Union européenne. Tour d’horizon.

La protection des données personnelles au travail

La création et le traitement des données personnelles sont soumis à des obligations. La protection des données personnelles au travail protège les libertés individuelles et la vie privée. Dans le cadre de la protection des données personnelles, les administrations, entreprises, associations, collectivités ou autres organismes doivent respecter de nouvelles obligations qui permettent d’étendre les droits des usagers/clients. En outre, le régime de sanction évolue. Sauf exception (usage en matière pénale, fichiers de sécurité régis par l’État, etc.), le règlement est applicable à tous les traitements de données personnelles.

L’accès aux données dans le milieu professionnel

Dans le cadre de la protection des données personnelles au travail, les informations concernant les salariés doivent être accessibles uniquement aux gestionnaires de sécurité, de paie ou du personnel. Des mesures qui assurent la sécurité des informations sur les salariés doivent être prises. Par ailleurs, les informations relatives aux accès doivent être supprimées trois mois après leur enregistrement. Quant aux données employées pour suivre le temps de travail et celles qui sont relatives aux motifs d’absence, elles doivent être conservées cinq ans.

L’information des salariés et la sécurité des données

La protection des données en France est bien encadrée. Les instances qui représentent le personnel doivent être consultées ou informées avant de décider de l’installation d’un dispositif d’accès aux locaux ou de contrôle des horaires. Les informations nécessaires doivent être transmises au moyen d’un contrat de travail, d’un avenant ou d’une note de service. Les employés doivent être informés :

  • Des finalités qui sont poursuivies ;
  • De la base légale du dispositif (intérêt légitime de l’employeur ou obligation issue du Code du travail) ;
  • Des destinataires des informations issues du dispositif ;
  • De la durée de conservation des informations ;
  • De leur droit d’opposition pour motif légitime ;
  • De leurs droits d’accès et de rectification ;
  • De la possibilité d’introduction d’une réclamation auprès de la CNIL.

Protection des données personnelles : kézako ?

Les pays membres de l’Union européenne appliquent le RGPD (règlement général sur la protection des données) depuis mai 2018. Ces nouvelles règles ont été conçues pour mieux protéger les internautes. Entre autres mesures, les sites internet ainsi que les applications n’ont plus le droit de collecter des données concernant les enfants de moins de 13 ans. Certaines plateformes utilisent les cookies internet pour la collecte des données. D’autres encore procèdent à la vente des données personnelles. Les utilisateurs de réseaux sociaux sont tenus de s’informer sur les dispositions prises pour protéger les données personnelles. La protection des données personnelles est notamment importante sur Facebook.

Comprendre le RGPD

Le RGPD encadre le traitement des données sur le territoire européen et complète la Loi française informatique et Liberté de 1978. Ce règlement suit les évolutions des sociétés et des technologies. En outre, le RGPD renforce le contrôle qui peut être réalisé par chaque citoyen concernant l’utilisation possible des données le concernant.

Une donnée à caractère personnel peut être :

  • Un nom ;
  • Un prénom ;
  • Un numéro (de téléphone ou de sécurité sociale) ;
  • Une information biométrique ;
  • Une adresse IP ;
  • Des données propres à l’identité génétique, physiologique, physique, sociale, économique, culturelle ;
  • Une photo ;
  • Une voix.

Sont concernées par le RGPD tout organisme de taille, d’activité et de pays d’implantation différent qui traite les données personnelles. Que le traitement soit réalisé pour son compte ou non, le dispositif s’applique dès que l’enseigne concernée est présente sur le territoire de l’UE ou que son activité cible les résidents européens. Une entreprise établie en Australie qui propose un site de e-commerce en français et qui livre des produits en France est ainsi soumise au RGPD. Par ailleurs, les sous-traitants qui réalisent des traitements de données pour le compte d’autres entités (association, entreprise, collectivité) sont également concernés.

Le point sur le traitement des données personnelles

L’on qualifie de donnée personnelle toute information qui se rapporte à un internaute et permettant de l’identifier directement ou non. Une seule donnée (ADN ou numéro de sécurité sociale) comme un ensemble d’informations permettent l’identification d’une personne physique. La collecte de données personnelles est uniquement autorisée si leur traitement possède une finalité. En outre, le but de chaque traitement doit être légal. Ce dernier n’étant pas forcément informatisé, les fichiers papier doivent également être protégés. Par contre, les fichiers qui contiennent uniquement des données d’entreprise (X compagnie avec son adresse postale, un e-mail de contact et le numéro du standard téléphonique) ne sont pas considérés comme du traitement de données. Un traitement de données à caractère personnel consiste en :

  • La collecte ;
  • L’enregistrement ;
  • La conservation ;
  • L’organisation ;
  • La modification ;
  • L’adaptation ;
  • L’extraction ;
  • L’utilisation ;
  • La diffusion, le rapprochement ou toute autre forme de diffusion.

protection données personnelles travail (1)

La CNIL

La Commission nationale de l'informatique et des libertés (CNIL) a été instituée par la Loi informatique et libertés. Cette loi a été modifiée, puis renforcée plusieurs fois, pour transposer les dispositions européennes en droit français.

Les données personnelles et les bons réflexes

Le responsable du traitement de données ou sous-traitant doit informer la personne concernée sur ce qui est fait des informations la concernant et respecter ses droits. Des mesures qui garantissent le respect de la vie privée doivent ainsi être prises. La pertinence, la transparence, le respect des droits, la maîtrise, la gestion des risques et la sécurité sont des réflexes à adopter. Dans le cadre de son travail nécessitant la collecte de données, une société doit :

  • Avoir un objectif pertinent et s’assurer d’avoir l’accord des personnes concernées ;
  • Répondre le plus rapidement possible aux demandes de suppression, de rectification ou de consultation des données ;
  • S’assurer que la circulation et le partage des données sont contractualisés et encadrés pour les protéger à tout moment ;
  • Appliquer des mesures spécifiques si le traitement des données a des conséquences particulières sur les individus concernés ;
  • Adapter les mesures de sécurité physique et informatique en fonction des risques pesant sur les personnes en cas d’incident et de la sensibilité des données.

Une transparence et un consentement renforcés

Le traitement des données à caractère personnel doit être licite, transparent et loyal. Les données doivent également être légitimes, explicites, pertinentes, tenues à jour, exactes, pertinentes, adéquates et limitées aux finalités du traitement. Les clients ont le droit d’accéder à leurs données et l’entreprise qui les détient doit les informer sur :

  • L’identité du responsable du fichier ;
  • L’objectif du traitement des données ;
  • Le caractère facultatif ou obligatoire des réponses ;
  • Les droits d'accès, d'interrogation, de rectification et d'opposition ;
  • Les obligations incluses dans les transmissions des données.

Obtenez plus d’informations sur la politique de protection des données personnelles à travers cette page.

protection données personnelles travail (2)

Découvrez les généralités sur le traitement des données dans cette vidéo :

.