fiche

Gestion des données personnelles : la Cnil rappelle les précautions à prendre

A l'occasion de la 7e journée européenne de la protection des données personnelles et de la vie privée qui se déroulait le 28 janvier, la Cnil a édité 5 fiches thématiques sur les principales problématiques que soulève en entreprise l'utilisation des nouvelles technologies et les systèmes de surveillance.

Gestion des données personnelles : la Cnil rappelle les précautions à prendre

Recrutement et gestion du personnel

Les informations collectées par l’entreprise lors d’un recrutement ne doivent servir qu’à évaluer la capacité du candidat à occuper l’emploi proposé. Ainsi, l’entreprise ne peut pas demander le numéro de sécurité sociale du candidat, pas plus que ses opinions politiques ou syndicales par exemple. Seules les personnes intervenant dans le processus de recrutement peuvent accéder aux informations relatives aux candidats.

Une fois passé le stade de la sélection, l’employeur peut, à l’occasion des formalités d’embauche, demander au nouveau collaborateur des informations complémentaires relatives à la gestion administrative du personnel (type de permis de conduire, personne à prévenir en cas d’urgence,…), à l’organisation du travail (photographie du salarié par exemple) et à l’action sociale prise en charge par l’employeur (identité des ayant-droits notamment). Seules les personnes chargées de la gestion du personnel peuvent y accéder. Les supérieurs hiérarchiques peuvent toutefois accéder aux informations nécessaires à l’exercice de leurs fonctions.

Attention ! Les candidats comme les salariés doivent être informés préalablement de la collecte des informations. D’ailleurs ils peuvent obtenir une copie des données sur simple demande.
Même si le candidat rencontré lors du processus d’embauche ne demande pas expressément la destruction de son dossier, l’entreprise devra toutefois le détruire dans un délai de 2 mois. S’agissant des salariés, les données qui les concernent sont bien sûr conservées pendant toute la durée de la relation de travail. A l’issue de la relation de travail, une partie seulement de ces informations doivent être conservées par l’entreprise(bulletins de salaire notamment).

Formalités Cnil

Les fichiers mis en œuvre dans le cadre du recrutement doivent être déclarés àla Cnil(déclaration normale), ainsi que ceux relatifs à la gestion du personnel (déclaration simplifiée de conformité à la norme ou déclaration normale).

Géolocalisation des véhicules des salariés

Certaines entreprises installent des dispositifs de géolocalisation sur les véhicules qu’elles mettent à la disposition de leurs salariés. Il peut y avoir plusieurs raisons à cela : suivre et facturer une prestation de transport, assurer la sécurité de marchandises…La Cnil incite toutefois à la prudence : un dispositif de géolocalisation ne peut être utilisé pour contrôler le respect des limitations de vitesse, pour contrôler un salarié en permanence ou pour calculer son temps de travail. Les salariés doivent en être informés et pouvoir accéder aux données enregistrées. Seuls les services concernés et l’employeur doivent pouvoir accéder aux données. Les informations ne doivent pas être conservées plus de 2 mois (sauf exceptions précisées dans la fiche thématique).

Formalités Cnil

Le dispositif de géolocalisation doit être déclaré à la Cnil par déclaration simplifiée de conformité à la norme n°51 ou par déclaration normale. 

Outils informatiques au travail

Pour assurer la sécurité des réseaux et limiter les risques d’abus, rien n’empêche un employeur de contrôler l’utilisation faite par les salariés des outils informatiques mis à leur disposition. Mais il y a des règles à respecter. Ainsi, l’employeur ne peut pas recevoir copie automatique de tous les messages écrits ou reçus par ses salariés. La Cnil rappelle également les grandes lignes fixées parla Cour de cassation en matière de consultation des emails : respect de la vie privée du salarié et des correspondances privées,…La Cnil précise par ailleurs que les mots de passe sont confidentiels et ne doivent pas être transmis à l’employeur

Formalités Cnil

La mise à disposition d’outils informatiques sans contrôle individualisé doit être déclarée à la Cnil par déclaration simplifiée de conformité à la norme simplifiée n°46 ou déclaration normale.

Accès aux locaux et contrôle

L’employeur peut mettre en place des outils permettant de contrôler les entrées et sorties des salariés. Mais attention : ces dispositifs ne peuvent avoir pour finalité de contrôler les déplacements à l’intérieur des locaux, ni d’entraver la liberté de déplacement des représentants du personnel, ni de contrôler leurs heures de délégation. Les informations recueillies ne sont accessibles qu’aux membres habilités des services gérant le personnel, la paie ou la sécurité. L’employeur doit par ailleurs prévoir des habilitations pour les accès informatiques avec une traçabilité des actions effectuées. Les données ne peuvent pas être conservées plus de 3 mois (sauf celles concernant le suivi du temps de travail qui doivent être conservées 5 ans).

Formalités Cnil

Dispositifs sans biométrie :

Le contrôle d’accès et le contrôle des horaires peuvent faire l’objet d’un engagement de conformité à la norme simplifiée n°42. Les autres dispositifs d’une déclaration normale.

Dispositifs avec biométrie :

Ils doivent faire l’objet d’un engagement de conformité aux autorisations n° AU-007 (reconnaissance du contour de la main),  autorisation unique n°AU-008 (reconnaissance de l’empreinte digitale) et autorisation unique n°AU-019 (reconnaissance du réseau veineux des doigts de la main).

 Vidéosurveillance sur les lieux de travail

Une entreprise peut installer des caméras de vidéosurveillance sur les lieux de travail à des fins de sécurité des biens et des personnes. Mais attention : elles ne doivent pas filmer les salariés sur leur poste de travail sauf circonstances particulières (salariés manipulant de l’argent par exemple). Elles ne doivent pas non plus filmer les lieux de repos et les locaux syndicaux. Seules les personnes habilitées peuvent visionner les images enregistrées. La conservation des images ne doit pas excéder un mois. Les personnes concernées (employés et/ou visiteurs) doivent être informées de la présence de caméras via un panneau affiché de façon visible. Par ailleurs chacun des salariés doit être individuellement informé de l’existence de ce dispositif par avenant au contrat de travail ou note de service.

Formalités Cnil

Si les caméras filment un lieu non ouvert au public, le dispositif doit être déclaré à la Cnil.
Si les caméras filment un lieu ouvert au public, le dispositif doit être autorisé par le préfet du département.


Dans l’ensemble de ces situations, il ne faut pas oublier au préalable d’informer et de consulter les représentants du personnel.

Evaluer ce contenu :

Gestion des données personnelles : la Cnil rappelle les précautions à prendre
5 (100%) 1 vote

Commentaires :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *