Vous êtes dirigeant d’une entreprise et vous vous interrogez sur le sort que vous devez réserver aux données personnelles de votre salarié au regard du RGPD, notamment après son départ ?
Cet article a pour objectifs de présenter des clés de lecture du droit et d’apporter des réponses pratiques.
Quelles sont les obligations de l’employeur et les droits du salarié au regard du RGPD ?
Pourquoi le RGPD s’applique ?
Avant toute chose, il convient de rappeler que le RGPD n’a vocation à s’appliquer que lorsqu’il s’agit de données à caractère personnel.
💡 Pour rappel, l’article 4 RGPD prévoit qu’une donnée personnelle est à toute information se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse courriel, l’enregistrement des conservations).
Dès lors, toutes les données qui permettent de remonter à une personne physique, en l’occurrence un salarié, sont de la donnée à caractère personnel. Voici quelques exemples :
- Lors de son recrutement : CV, lettre de motivation, lettres de recommandation.
- Lors de son embauche : coordonnées bancaires, contrat de travail, numéro de sécurité sociale.
- Au cours de son contrat : avenants au contrat, congés, arrêts maladie, déclarations sociales et fiscales, bulletins de paie, compte professionnel sur des outils informatiques (email etc.).
Tous ces éléments sont de la donnée personnelle au sens du RGPD ce qui a pour conséquences plusieurs obligations pour le dirigeant.
En effet au sens du RGPD, en tant que dirigeant d’entreprise, vous êtes considéré comme responsable de traitement concernant les données personnelles que vous traitez (collecte et utilisation).
💡 Pour rappel, l’article 4 RGPD prévoit que le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.
Quelles sont les règles qui découlent de l’application du RGPD ?
Comme pour les données qu’il traite auprès des clients ou fournisseurs, le responsable de traitement (l’employeur) doit assurer la protection des données personnelles de ses salariés.
⚡ Pour l’employeur, le RGPD prévoit qu’il ne peut opérer un traitement des données que dans certaines conditions. En effet, les données à caractère personnel doivent être :
- Collectées pour des finalités déterminées et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (article 5, §1, b).
- Conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5, §1, e).
- Collectées sur la base de l’un des fondements légaux suivants (article 6 RGPD) :
- le consentement : la personne a consenti au traitement de ses données.
- le contrat : le traitement est nécessaire à l’exécution d’un contrat.
- l’obligation légale : le traitement est imposé par la loi.
- l’intérêt légitime : le traitement est nécessaire à la conduite des intérêts légitimes d’un organisme.
- la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission de service publique.
- et la sauvegarde des intérêts vitaux : le traitement est nécessaire à la survie d’un individu.
→ Pour chaque traitement, le responsable de traitement doit donc déterminer une finalité, c'est-à-dire l’objectif pour lequel la donnée est collectée, une durée de conservation et renseigner la base légale l’autorisant à traiter ces données.
→ Ces éléments doivent être renseignés dans un document appelé “registre de traitement des données personnelles”, qui est l’un des documents que Leto vous permet d’automatiser pour votre conformité RGPD 🪄
Comme le revers d’une même médaille, si le responsable de traitement a des obligations, la personne concernée bénéficie de certains droits.
⚡ Pour le salarié, le RGPD prévoit qu’il dispose de la possibilité d’exercer ses droits, c'est-à-dire le fait de demander (article 13 RGPD):
- L’effacement des données personnelles définitivement,
- La limitation du traitement de données personnelles,
- L’opposition au traitement de données personnelles,
- Et la portabilité des données personnelles.
En pratique, c’est souvent l’effacement des données personnelles qui est demandé par la personne concernée, aussi appelé “droit à l’oubli”. Mais ce droit n’est pas absolu ! En effet, l’article 17 du RGPD prévoit que :
- L’effacement des données peut être demandé que dans un de ces cas :
- Les données ne sont plus nécessaires au regard des finalités,
- La personne ayant expressément donné son consentement le retire,
- La personne s’oppose à ce que ses données face l’objet d’un profilage,
- Les données ont fait l’objet d’un traitement illégal,
- La suppression de ces données est dictée par une obligation légale.
- De plus, le responsable de traitement peut refuser cette demande pour l’une de ces raisons :
- Le traitement est nécessaire à l’exercice de la liberté d’expression,
- Le traitement est nécessaire au respect d’une obligation légale,
- Le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.
- Le traitement est nécessaire pour l’intérêt public.
→ Conclusion : lorsque l’employeur collecte des données relatives aux salariés, chaque catégorie de données doit faire l’objet d’un traitement prévoyant la base légale, la finalité et la durée de conservation. Le salarié, lui, peut, lorsque certaines conditions sont remplies, former une demande concernant l’effacement de ses données (à tout moment).
Quelles sont les données qui doivent être supprimées par l’employeur et quand ?
Appliqué à notre cas, l’ensemble de ces règles signifie que l’employeur doit se fixer une politique de conservation des données personnelles et les supprimer à l’issue de ce délai, de sa propre initiative.
À cela s’ajoute la possibilité pour l’employé de former une demande de suppression de ces données avant la fin du délai de conservation fixé par l’employeur.
Il convient donc d’analyser les cas où l’employeur peut, même parfois doit, refuser cette demande et les cas où il doit procéder à la suppression de ces données de son plein gré ou sur demande (dans le délai d’un mois suivant la demande).
Pour chaque catégorie de données personnelles, plus particulièrement pour chaque traitement, la réponse varie. Voyons ces cas ensemble.
2.1 Le traitement de données personnelles relatif au recrutement du salarié
Lors de son recrutement, l’entreprise collecte par exemple le CV, lettre de motivation, lettres de recommandation de l’employé.
Exemple de traitement associé :
- Suppression à l’initiative de l’employeur : l’employeur peut conserver ces données durant la durée nécessaire au traitement, ici tout au long de la procédure de recrutement (appelé conservation en “base active”). A l’issue de celle-ci, la CNIL recommande de ne pas les conserver au-delà d’un délai de 2 ans (appelé conservation en “archivage intermédiaire”).
💡 Pour rappel, la différence entre la conservation en base active et la conservation en archivage intermédiaire est que la base active correspond l’utilisation courante des données alors que l’archivage intermédiaire correspond à la conservation pour une autre finalité que celle initialement fixée et de manière à ce que la donnée soit ponctuellement accessible par des personnes spécifiquement habilitées.
- Suppression sur demande de l’employé : si une telle demande intervient après le recrutement et avant l’expiration du délai de 2 ans, l’article 17 RGPD lui permet de justifier du fait que la donnée n’est plus nécessaire au regard de la finalité (gestion de la procédure de recrutement) et l’employeur ne remplit aucune condition l’autorisant à refuser (liberté d’expression, obligation légale, action judiciaire, intérêt public).
→ Conclusion : l’employeur doit supprimer ces données 2 ans après la fin de la procédure de recrutement sauf si un employé demande expressément leurs suppressions avant la fin de ce délai (en vertu du droit à l’effacement, article 17 RGPD).
2.2 Le traitement de données personnelles relatif à la gestion administrative du personnel
À la suite de son embauche, l’entreprise peut être amenée à traiter les données personnelles de ses salariés concernant leurs dossiers professionnels (contrat de travail, avenants, procédure de rupture de celui-ci, démission, sanctions disciplinaires etc.), l’annuaire interne et les dotations individuelles.
Exemple de traitement associé :
2.3 Concernant le dossier professionnel
- Suppression à l’initiative de l’employeur : l’employeur peut conserver ces données 5 ans en archivage intermédiaire après le départ du salarié. Ce délai est fixé en référence au délai de prescription légale pour une action en justice (dans l’hypothèse d’un conflit lié au contrat de travail).
- Suppression sur demande de l’employé : l’employeur est fondé à refuser une telle demande puisque le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire “à la constatation, à l'exercice ou à la défense de droits en justice.” (article 17, §3, e RGPD)
2.4 Concernant les dotations individuelles
- Suppression à l’initiative de l’employeur : l’employeur peut conserver ces données 5 ans en archivage intermédiaire après le départ du salarié. Ce délai est fixé en référence aux différentes pratiques au sein des entreprises.
- Suppression sur demande de l’employé : l’employé est fondé à demander la suppression de ces données à la fin de son contrat de travail puisque “les données ne sont plus nécessaires au regard des finalités” (article 17, §1, a RGPD).
2.5 Concernant l’annuaire interne
- Suppression à l’initiative de l’employeur : l’employeur peut conserver ces données 5 ans en archivage intermédiaire après le départ du salarié. Ce délai est, cette fois-ci, fixé en référence à une obligation légale puisque l’article R. 1221-26 du code du travail prévoit une conservation de ces données 5 ans après le départ de l’employé.
- Suppression sur demande de l’employé : l’employeur peut refuser une telle demande puisque le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire “pour respecter une obligation légale” (article 17, §3, b RGPD).
→ Conclusion : l’employeur doit supprimer ces données 5 ans après le départ du salarié et il devra les supprimer avant la fin de ce délai en cas de demande de suppression de données relatives aux dotations individuelle (en vertu du droit à l’effacement, article 17 RGPD).
Le traitement de données personnelles relatif au bulletin de paie, note de frais, déclarations sociales et fiscales
Pour le versement de la rémunération du salarié, l’employeur traite de la donnée personnelle relative aux éléments de calculs de la rémunération (note de frais, congés, absence, etc.) pour éditer des bulletins de paie et effectuer des déclarations sociales et fiscales.
Exemple de traitement associé :
Suppression à l’initiative de l’employeur :
- Pour les bulletins de paie, l’employeur peut les conserver sous forme électronique 5 ans en base active et 50 ans en archivage intermédiaire en référence au délai fixé aux articles L. 3243-4 et D3243-8 du code du travail.
- Pour les pièces comptables, l’employeur peut les conserver 10 ans en référence au délai fixé à l’article L102 B du livre des procédures fiscales.
- Pour les déclarations sociales, l’employeur peut les conserver 3 ans en référence au délai de prescription légal fixé à l’article L. 244-3 code de la sécurité sociale.
- Pour les déclarations fiscales, l’employeur peut les conserver 6 ans en référence au délai de prescription légal qui peut aller jusqu’à 6 ans (L.169 livre des procédures fiscales)
Suppression sur demande de l’employé : l’employeur peut refuser une telle demande puisque le droit à l’effacement de la personne concernée ne s’applique pas lorsque le traitement est nécessaire “pour respecter une obligation légale” (article 17, §3, b RGPD) ou “à la constatation, à l'exercice ou à la défense de droits en justice.” (article 17, §3, e RGPD)
→ Conclusion : l’employeur doit supprimer ces données dans les délais mentionnés ci-dessus et doit refuser les demandes de suppression de ces données par un salarié.
Le traitement de données personnelles relatif aux outils professionnels (exemple : messagerie électronique professionnelle)
Au cours de son contrat, le collaborateur est amené à créer un compte professionnel sur les outils utilisés par l’entreprise, dont une boîte de messagerie électronique professionnelle (contenant son nom, prénom, adresse e-mail professionnelle, mot de passe).
Exemple de traitement associé :
⚠️ ATTENTION
Ici les seules données personnelles du salarié sont celles relatives aux identifiants de connexion du salarié : nom, prénom, adresse e-mail professionnelle, mot de passe.
→ Ces données doivent être supprimées dès que l’employé a quitté l’organisme (conformément aux recommandations de la CNIL).
Concernant le contenu des outils informatiques, il peut s’agir :
- Soit des données personnelles appartenant à des clients, prospects, partenaires, fournisseurs etc. Et dans ce cas, l’entreprise a évidemment un intérêt légitime à conserver ces données, leurs suppressions n’étant aucunement conditionnées par le départ ou l’arrivé d’un salarié.
→ Ces données peuvent être conservées selon les règles de conservations des données personnelles relatives aux clients/ prospects/ utilisateurs/ fournisseurs/ partenaires etc. (voir délai ci-dessous). En pratique il convient de rediriger ces contenus vers un outil partagé ou le compte d’un autre salarié.
- Soit des données personnelles privées de l’employé mais ici se posent la question du droit d’accès par l’employeur aux échanges personnels de ses employés (droit civil). Spoiler alert, l’employeur n’a, en général, aucun droit d’accès aux données privées de ses employés, il n’a donc aucun intérêt légitime à les conserver.
Cette analyse est confirmée par la CNIL qui recommande à l’employeur d’avertir le salarié de la date de fermeture de sa messagerie professionnelle afin que celui-ci puisse supprimer lui-même ses messages privés avant que l’employeur supprime sa messagerie professionnelle.
Le traitement de données personnelles relatif aux bases de données clients/ prospect (”Contact”)
Ici le type de données collectées pour ce traitement peut être excessivement large puisqu’il comprend toutes les informations collectées auprès de clients, prospect, utilisateurs, partenaires, fournisseurs etc. (par exemple : adresse de livraison, informations de navigations web, contrat commercial etc.).
Exemple de traitement associé :
⚠️ ATTENTION
Ici, comme vu ci-dessus, les seules données personnelles du salarié sont celles relatives à ses données de connexion à la base de données. Ces données doivent être supprimées dès que l’employé a quitté l’organisme (conformément aux recommandations de la CNIL).
Concernant le contenu, il correspond aux données à caractère personnel des clients, prospect, fournisseurs etc. Ces données doivent être conservées durant la relation commerciale, voire même au-delà pour la continuité de l’activité professionnelle et sont déconnectées du départ du salarié de l’organisme.
→ Conclusion : du point de vue du RGPD, si un salarié forme, après son départ, une demande de suppression de la base de données “client” ou “prospect” qu’il a construit au cours de ses missions dans l’entreprise, celui-ci n’est pas fondé à procéder à une telle demande. L’entreprise a un intérêt légitime à conserver ces données et refuser la demande.
Et vous, avez-vous déjà eu des interrogations en matière de suppression de données personnelles de vos salariés ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.