Données personnelles des salariés : "les syndicats doivent exiger des réponses de l'entreprise"

Le Règlement général de protection des données (RGPD) est entré en application dans l'Union européenne depuis le 25 mai 2018. Encadrant aussi bien les données des clients d'une entreprise que celles de ses propres salariés, ce texte prolonge les principes de la loi Informatique et libertés. Selon Eric Peres, secrétaire général de FO cadres et vice-président de la Cnil, la question de la protection des données des salariés est trop sérieuse pour la laisser aux seules mains des employeurs.

Gestion du personnel

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

Découvrir tous les contenus liés

Quels sont les enjeux du RGPD pour les organisations syndicales ?

L’appel expert répond aux questions juridiques des professionnels RH

Je télécharge gratuitement

Les entreprises n'ont plus de formalités à déclarer auprès de la Cnil. En contrepartie, elles doivent tout mettre en oeuvre pour assurer le respect des principes de la protection des données personnelles des salariés. Si elles ne le font pas, elles s'exposent à des sanctions bien plus élevées qu'auparavant. Le rôle des organisations syndicales est de s'assurer que les grands principes sur la protection des données sont respectés. Elles doivent en particulier s'assurer que l'utilisation des données personnelles par l'entreprise ne soit pas opaque pour les salariés.

Quels sont ces principes que doivent contrôler les représentants du personnel ?

Ils sont au nombre de six. Tout d'abord, la légalité. L'entreprise doit justifier sur quelle base légale elle collecte les données des salariés : respect de la loi, obligations découlant du contrat de travail... L'intérêt légitime de l'entreprise peut également justifier un traitement, à condition qu'il ne devienne pas une justification "fourre-tout" ! L'entreprise qui se base sur son intérêt légitime doit être prudente et prendre des mesures beaucoup plus fortes pour justifier le traitement et assurer la sécurité des données.

Ensuite, la finalité : à quoi va servir le traitement ? Une caméra placée à l'extérieur de l'entreprise peut être utile pour des raisons de sécurité, mais elle ne doit pas être orientée vers un salarié à son poste de travail, ou bien pointer vers le local syndical.

Le traitement doit également être proportionné à la finalité. Lorsque l'entreprise met en place des dispositifs de contrôle restrictifs pour les libertés des salariés, les syndicats doivent se demander s'il n'y avait pas un autre moyen, moins invasif, d'assurer ce contrôle. Par exemple, le RGPD autorise l'employeur à recourir à l'utilisation des données biométriques des salariés (empreintes digitales ou rétinienne, reconnaissance faciale, etc.). Or ce sont des données très sensibles car intimement liées à la personne. Il faut toujours se demander si l'on peut recourir à un autre moyen, par exemple poster un vigile pour protéger l'entrée à certains lieux, plutôt que d'utiliser la biométrie.

Les représentants du personnel doivent vérifier la loyauté du traitement. Ils doivent s'assurer que le traitement n'est pas utilisé à d'autres fins que celles pour lequel il a été mis en place. Par exemple, l'employeur peut invoquer la sécurité de l'entreprise pour justifier la fourniture d'un badge d'accès à un salarié pour lui permettre d'entrer sur les lieux de travail. En revanche, le badge ne doit pas être utilisée pour traquer les déplacements du salarié dans l'entreprise. Des questions peuvent également se poser si ce même badge permet au salarié de payer son repas à la cantine : le badge enregistre-t-il le fait que le salarié ne mange pas de porc, ou qu'il est vegan ?

Le traitement doit enfin assurer la qualité des données collectées, garantir une durée de conservation limitée, et assurer la sécurité des données conservées (face aux hackeurs notamment).

Mais ce contrôle des syndicats suppose une réelle expertise sur des sujets techniques...

Exactement. En tant qu'organisation syndicale, nous allons devoir mettre une nouvelle corde à notre arc, celle de l'expertise. Je veux former l'ensemble des responsables de notre fédération afin qu'ils s'approprient le RGPD. Le but n'est pas de partir en guerre dès lors qu'un traitement de données personnelles est mis en place. Mais simplement de savoir quelles questions se poser, et surtout d'exiger des réponses de l'entreprise.

Instaurer des comités d'expertise sur ces sujets peut être une bonne idée, idéalement dans le cadre d'un accord collectif couvrant le champ de la protection des données. Le recours à ces comités de veille est une manière de s'assurer que les données sont correctement protégées. Les syndicats peuvent aussi demander à voir les certifications d'un prestataire, demander la communication de l'étude d'impact du traitement de données ou bien demander un audit. Il est essentiel que les salariés et leurs représentants s'emparent de ces sujets.

Quels seraient vos conseils aux professionnels RH ?

Avant tout, ne jamais gérer seuls les problématiques liées aux données personnelles des salariés. Il faut que la réflexion autour de ces questions soit un élément majeur de la politique RH en matière de protection des risques. Elle ne doit pas rester aux seules mains des RH et de la DSI ! Si vous ne jouez pas le jeu de la transparence, vous générerez de la défiance de la part des salariés. Certains outils informatiques de ressources humaines sont très utiles aux salariés (dans le cadre de la GPEC afin de leur proposer une formation adaptée par exemple), mais s'ils pensent qu'ils sont fliqués, cela ne fonctionnera pas.

Mon second conseil : la protection des données personnelles exige la formation de l'ensemble des salariés, sur le modèle de ce qui se fait déjà au sujet du droit à la déconnexion. Mais le plus important reste la transparence envers les salariés. Ce n'est que lorsque cette transparence est assurée qu'un dialogue  est possible dans l'entreprise.

Le dialogue social est donc selon vous la meilleure façon d'aborder les questions sur les données personnelles des salariés ?

Les moyens technologiques permettent de plus en plus de rentrer dans l'intimité d'une personne, et de tout savoir sur elle. Le dialogue social est un moyen de réfléchir ensemble sur la façon de protéger ces données personnelles. Remettre du collectif là où il n'y a que de l'individuel.

In fine, l'entreprise y gagnera aussi. Avant, on postulait dans une entreprise car on savait qu'elle respectait les 35 heures et était attentive à l'équilibre vie privée/vie professionnelle. Demain, une entreprise sera attractive car les salariés sauront que leur données privées y sont respectées.