Employeurs, quels sont vos nouveaux risques ?
Les employeurs collectent de nombreuses données personnelles relatives à leurs salariés : données nécessaires à la paie (nom, prénom, coordonnées ( adresse, téléphone, mail, numéro de sécurité sociale, coordonnées bancaires…), mais aussi taux d’imposition dans le cadre du prélèvement à la source. Dans le cadre de son pouvoir de contrôle, ils mettent en place de nouveaux traitements de données à caractère personnel : contrôles des accès, biométrie, vidéosurveillance, géolocalisation, surveillances des outils informatiques et des données de connexions….
L’employeur doit également s’assurer que ses salariés respectent la confidentialité et la sécurité des données personnelles auxquelles ils accèdent lors de l’exécution de leur contrat de travail.
A chaque étape, l’employeur doit se conformer au RGPD et tout particulièrement s’assurer de la licéité de ses traitements de données à caractère personnel (finalités, durées de conservation...) et informer / former ses salariés.
Cela implique des modifications des contrats de travail (avenants), et souvent une adaptation du règlement intérieur et/ou de la charte informatique.
Une arme pour les salariés.
Les salariés, en tant que personnes concernées par les traitements de leur données personnelles, voient plusieurs de leurs droits renforcés :
• Droit d’accès ;
• Droits de rectification et de limitation ;
• Droits d’opposition et d’effacement ;
• Et le nouveau droit à la portabilité d’un employeur à un autre.
Exemple pratique : un salarié peut aujourd’hui, au titre de son droit d’accès, exiger de son employeur la communication de l’ensemble des données de connexion de son poste de travail. Ce salarié pourrait utiliser ces données pour établir la preuve de son temps de travail ce qui pourrait notamment servir de fondement à une procédure de demande de paiement d’heures supplémentaires.
L’employeur, ne peut ignorer cette demande et doit répondre : « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. » (Article 12 RGPD).
L’absence de réponse de l’employeur peut :
Entrainer des sanctions administratives de la CNIL, saisie par le salarié.
Caractériser une faute invoquée dans un contentieux prud’homal sur le fondement de l’article 82 du RGPD qui prévoit un cas de responsabilité spécifique en cas de violation du Règlement européen.
Une arme pour les employeurs.
Les données personnelles sont aussi un nouvel enjeu en droit disciplinaire : la violation par un salarié de son obligation de confidentialité et de sécurité des données personnelles peut constituer une faute justifiant un licenciement.
A condition bien entendu que cela soit prévu dans les contrats de travail, le règlement intérieur ou la charte informatique et que l’employeur puisse prouver avoir dument informé les salariés
Exemple pratique : L’envoi par un salarié d’un courriel contenant les données d’un client à l’ensemble de son carnet d’adresse professionnel (collègues et personnes extérieures l’entreprise) peut arriver aussi facilement qu’un « reply all » mal maitrisé !
Les conseillers prudhommaux ont intérêt à se mettre à jour rapidement, pour gérer les contentieux 2.0 à l’ère du RGPD !
Discussion en cours :
Bonjour,
dans le cadre de la rgpd puis je demander à a société la copie ou tout du moins l’ accès à toutes les sessions d’enregistrement de mon disque dure.
Car je sais que mon entreprise à mon insu à des clonage ou image de mon système d’information (bureau de windows 10, répertoire et fichier) si oui comment la leur réclamer s’il vous plaît ?
Restant dans l’attente de vos conseils.
A vous lire,
cordialement