Protection des données en entreprise : les droits des salariés et les devoirs de l’employeur

RGPD en entreprise : informer ses salariés, une obligation légale à maîtriser

Depuis plusieurs années, la protection des données personnelles s’impose comme un enjeu central du droit du travail et de la gouvernance des entreprises. L’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018 a profondément transformé la manière dont les employeurs doivent collecter, traiter et conserver les informations relatives à leurs salariés. Cette réforme européenne, codifiée par le règlement (UE) 2016/679, repose sur un principe fondamental : toute donnée personnelle appartient à la personne concernée.

Ainsi, au sein de l’entreprise, l’employeur, en sa qualité de responsable du traitement, doit garantir une transparence absolue quant à l’usage des informations qu’il détient sur ses collaborateurs. Qu’il s’agisse des données d’identité, des informations de santé, des coordonnées bancaires ou encore des éléments relatifs à la gestion du temps de travail, aucune donnée ne peut être collectée sans finalité légitime, proportionnée et clairement définie.

Or, l’un des piliers du RGPD — souvent mal compris ou négligé par les entreprises — réside dans l’obligation d’information des salariés. Ce devoir juridique impose à l’employeur de communiquer, dès la collecte des données, la nature, la finalité et les destinataires du traitement. En d’autres termes, il ne suffit plus d’être en conformité technique : il faut également instaurer une relation de confiance et de transparence entre l’entreprise et ses salariés, conforme à l’article 13 du RGPD.

Cette obligation, loin d’être une simple formalité administrative, constitue une garantie essentielle du respect des droits fondamentaux des travailleurs, tels que le droit à la vie privée, le droit à la dignité et le droit à la protection des données personnelles, consacrés par la Charte des droits fondamentaux de l’Union européenne.

À travers cet article, defendstesdroits.fr revient en détail sur les contours juridiques de cette obligation d’information : quelles données peuvent être collectées ? Dans quelles conditions le salarié doit-il être informé ? Quelles sanctions en cas de manquement ? Et surtout, comment mettre en œuvre une conformité RGPD efficace et protectrice des droits des travailleurs ?

Sommaire

1. Définition et portée du RGPD en entreprise
2. Données personnelles : ce que l’employeur peut et ne peut pas collecter
3. Consentement et licéité du traitement des données
4. Obligation d’information des salariés : contenu et moment de la communication
5. Droits des salariés sur leurs données personnelles
6. Accès, sécurité et partage des données dans l’entreprise
7. Moyens d’information : clause RGPD, avenant et note interne
8. Sensibilisation et formation des salariés à la protection des données

Qu’est-ce qu’une donnée personnelle selon le RGPD ?

Le RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable (article 4 du RGPD).
Autrement dit, il s’agit de toute donnée permettant, directement ou indirectement, d’identifier un individu, qu’il s’agisse de son nom, son adresse, son numéro de téléphone, son adresse IP, son numéro de sécurité sociale ou encore sa situation familiale.

La Commission nationale de l’informatique et des libertés (CNIL) précise que l’employeur ne peut collecter que les données strictement nécessaires à la gestion de la relation de travail. Ce principe de minimisation des données est au cœur du RGPD : il interdit toute collecte disproportionnée ou sans finalité légitime.

Quelles données un employeur peut-il légalement collecter ?

Les données collectées par l’employeur doivent avoir une finalité professionnelle précise. Il s’agit notamment de :

• Données d’identification : nom, prénom, adresse, coordonnées, date de naissance ;
• Données administratives et sociales : numéro de sécurité sociale, informations relatives à la mutuelle, ayants droit, etc. ;
• Données nécessaires à la gestion du personnel : temps de travail, absences, rémunération, formation, évaluation professionnelle ;
• Données de sécurité : badges d’accès, vidéosurveillance ou connexions aux outils informatiques, dans la mesure où ces traitements respectent les principes de proportionnalité et de transparence.

En revanche, l’article 9 du RGPD interdit, sauf exceptions spécifiques, le traitement des données dites sensibles, telles que celles relatives à :

• L’origine raciale ou ethnique ;
• Les opinions politiques, philosophiques ou religieuses ;
• L’appartenance syndicale ;
• La santé ou la vie sexuelle ;
• Les données biométriques et génétiques.

L’obligation d’information des salariés : un principe de transparence

L’article 13 du RGPD impose à tout employeur de porter à la connaissance de ses salariés un certain nombre d’informations au moment de la collecte de leurs données personnelles.
Cette information doit notamment préciser :

• L’identité du responsable du traitement (l’entreprise) et, le cas échéant, les coordonnées du délégué à la protection des données (DPO) ;
• Les finalités du traitement (par exemple, gestion des paies, formation, sécurité informatique, etc.) ;
• La base juridique du traitement, c’est-à-dire la raison pour laquelle le traitement est autorisé (contrat de travail, obligation légale, intérêt légitime, etc.) ;
• La durée de conservation des données ;
• Les destinataires éventuels (services RH, organismes sociaux, prestataires externes, etc.) ;
• Les droits reconnus aux salariés sur leurs données (droit d’accès, de rectification, d’effacement, etc.).

Cette information doit être claire, accessible et compréhensible. Elle peut être fournie au moyen d’une note d’information RGPD, d’une clause insérée dans le contrat de travail, ou d’un affichage interne.

Le consentement du salarié : un fondement rarement applicable

Contrairement à ce que l’on pourrait penser, l’employeur n’a pas toujours besoin du consentement du salarié pour traiter ses données.
Le consentement n’est exigé que lorsque le traitement n’est ni nécessaire à l’exécution du contrat, ni imposé par une obligation légale.

Ainsi, lorsque les données sont collectées pour :

• Établir la paie,
• Tenir le registre unique du personnel,
• Effectuer les déclarations sociales et fiscales,

le traitement est justifié par l’obligation légale ou par l’exécution du contrat de travail (article 6 du RGPD).

Toutefois, pour les traitements sortant de ce cadre — comme l’usage de photos des salariés sur le site internet de l’entreprise ou le suivi de leurs activités en dehors des horaires de travail — un consentement explicite, libre et éclairé demeure obligatoire.

Les droits des salariés sur leurs données personnelles

Le salarié dispose de droits spécifiques sur ses données, que l’employeur est tenu de respecter.
Parmi ceux-ci :

• Le droit d’accès (article 15 du RGPD), permettant d’obtenir la copie des données traitées ;
• Le droit de rectification (article 16), pour corriger des informations erronées ;
• Le droit à l’effacement, dit “droit à l’oubli” (article 17), lorsque les données ne sont plus nécessaires ;
• Le droit à la limitation du traitement (article 18), notamment en cas de litige ;
• Le droit d’opposition (article 21), dans certaines situations ;
• Le droit à la portabilité (article 20), permettant de récupérer ses données dans un format structuré.

L’entreprise doit mettre en place un processus interne clair pour permettre aux salariés d’exercer ces droits dans les meilleurs délais, conformément à l’article 12 du RGPD.

Comment informer et sensibiliser les salariés au RGPD ?

Informer ne suffit pas : l’employeur doit aussi former et sensibiliser ses collaborateurs.
La CNIL recommande d’intégrer le RGPD à la culture d’entreprise, en mettant en place :

• Des sessions de formation régulières sur la confidentialité des données ;
• Des procédures internes de gestion des incidents de sécurité ;
• Une charte informatique rappelant les bonnes pratiques (mots de passe, usage des mails, accès aux dossiers partagés, etc.) ;
• Un registre des traitements recensant l’ensemble des données collectées et leur finalité.

Cette démarche permet de renforcer la conformité juridique de l’entreprise, mais aussi de prévenir les sanctions administratives prévues par l’article 83 du RGPD, pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Responsabilité de l’employeur et contrôle de la CNIL

En cas de manquement à ses obligations, l’employeur engage sa responsabilité administrative, civile et pénale.
La CNIL dispose d’un pouvoir de contrôle et de sanction : elle peut exiger la mise en conformité immédiate, suspendre un traitement ou prononcer une amende.

L’article 226-16 du Code pénal prévoit également des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende pour collecte illicite ou détournement de finalité.

Ainsi, la conformité au RGPD n’est pas seulement une exigence réglementaire : elle relève d’une démarche de gouvernance responsable et d’un respect des droits fondamentaux des salariés.

Conclusion

L’application du RGPD dans le monde du travail dépasse largement le cadre purement technique de la protection informatique : elle engage la responsabilité sociale, juridique et éthique de chaque employeur. Informer le salarié sur le traitement de ses données n’est pas une simple formalité administrative, mais une obligation de loyauté et de transparence, fondée sur les articles 13 à 15 du règlement (UE) 2016/679.

À travers cette exigence, le législateur européen a voulu replacer le salarié au cœur de la maîtrise de ses données personnelles, en lui redonnant un pouvoir d’information et d’action face à la digitalisation croissante des relations de travail. L’employeur, quant à lui, doit adopter une approche proactive de la conformité : cartographier les traitements, désigner un délégué à la protection des données (DPO), rédiger des notes d’information claires et sensibiliser son personnel à la culture de la protection des données.

Le non-respect de ces obligations expose l’entreprise à des risques juridiques et financiers majeurs : sanctions de la CNIL, atteinte à sa réputation, voire engagement de sa responsabilité pénale en cas de traitement illicite (article 226-16 du Code pénal). À l’inverse, une politique RGPD bien structurée devient un atout de gouvernance et de conformité, garantissant à la fois la sécurité juridique de l’employeur et le respect des droits fondamentaux des salariés.

En définitive, l’obligation d’information instaurée par le RGPD incarne un nouveau pacte de confiance entre employeurs et salariés. Elle marque le passage d’une simple logique de contrôle des données à une véritable culture de la transparence et de la responsabilité numérique au sein de l’entreprise.

FAQ

1. Quelles sont les obligations principales de l’employeur en matière de RGPD ?
L’employeur, en qualité de responsable du traitement, doit garantir la transparence, la sécurité et la loyauté dans la collecte et le traitement des données personnelles de ses salariés. Il doit notamment informer ces derniers des finalités du traitement, de la durée de conservation, de l’identité du responsable du traitement, et des droits dont ils disposent. Cette information doit être fournie dès la collecte des données, conformément à l’article 13 du règlement (UE) 2016/679.

2. Quelles données personnelles un employeur peut-il légalement détenir ?
Un employeur peut collecter uniquement les données strictement nécessaires à l’exécution du contrat de travail ou au respect de ses obligations légales : identité, coordonnées, numéro de Sécurité sociale, éléments liés à la paie ou à la mutuelle. En revanche, les données dites sensibles (opinions politiques, santé, orientation sexuelle, convictions religieuses, etc.) sont interdites de traitement, sauf exceptions prévues par la loi ou nécessité spécifique autorisée par la CNIL.

3. Le consentement du salarié est-il obligatoire pour traiter ses données ?
Non, pas dans la majorité des cas. Le traitement des données personnelles des salariés repose souvent sur d’autres fondements juridiques que le consentement :

• l’exécution du contrat de travail (par exemple, la gestion de la paie) ;
• le respect d’une obligation légale (déclarations sociales, sécurité au travail) ;
• l’intérêt légitime de l’entreprise, sous réserve de ne pas porter atteinte aux droits du salarié.
  Le consentement n’est requis que lorsqu’aucune autre base légale ne peut justifier le traitement (ex. : collecte d’image pour usage publicitaire).

4. Comment un employeur doit-il informer ses salariés sur le traitement de leurs données ?
L’information peut être transmise par plusieurs moyens :

• une clause RGPD dans le contrat de travail ;
• une note d’information remise individuellement ;
• ou encore un affichage interne consultable par tous.
  Cette communication doit être claire, compréhensible et accessible, conformément à l’article 12 du RGPD. En cas d’oubli, l’entreprise s’expose à des sanctions administratives de la CNIL, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

5. Quels sont les droits des salariés sur leurs données personnelles ?
Chaque salarié dispose de droits spécifiques encadrés par les articles 15 à 22 du RGPD :

• le droit d’accès, pour connaître les données détenues par l’entreprise ;
• le droit de rectification, pour corriger des informations erronées ;
• le droit à l’effacement (“droit à l’oubli”) lorsque les données ne sont plus nécessaires ;
• le droit à la limitation du traitement en cas de litige ;
• le droit d’opposition et le droit à la portabilité.
  L’employeur doit mettre en place des procédures simples et rapides pour répondre à ces demandes sous un mois maximum, comme l’exige l’article 12 du RGPD.