En ce moment En ce moment

Publié par le | Mis à jour le

Identifier les destinataires internes et externes des données des salariés

Les données des salariés sont-elles transférées à d'autres sociétés du groupe? À des prestataires externes (paie, services IT...)? Hors UE? Dans ce cas, l'employeur doit mettre en place les mesures de protection pour couvrir ce transfert hors UE (clauses contractuelles types conclues avec le destinataire hors UE par exemple).

Les sous-traitants ont, par ailleurs, de nouvelles obligations imposées par le RGPD en matière de protection des données personnelles que les responsables de traitement devront intégrer dans les contrats de traitement de données.

Évaluer la nécessité de procéder à des analyses d'impact relatives à la protection des données (AIPD)

Les salariés pouvant être considérés comme des personnes "vulnérables"(1) en termes de protection des données personnelles, une étude d'impact ou AIPD pourra être nécessaire avant de mettre en place un traitement si celui-ci est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, notamment s'il entraîne une prise décision automatisée, une surveillance systématique des salariés ou encore si les données traitées sont sensibles ou hautement personnelles.

Droits d'accès, de rectification et "droit à l'oubli" des salariés

Les données des salariés sont sujettes, comme tout autre type de données personnelles, aux droits d'accès, de rectification et "droit à l'oubli" des titulaires de ces données. Concernant le droit à l'oubli d'un ancien salarié cependant, l'employeur peut refuser d'y faire droit si les périodes de prescription relatives aux contentieux salariés ne sont pas encore écoulées par exemple.

Mettre à jour l'information des salariés(2)

Les employeurs doivent veiller à mettre à jour les notes d'informations à destination des salariés les informant de la finalité, du fondement juridique du traitement de leurs données, des destinataires de ces données, de la durée de conservation, de leurs droits (accès, rectification, oubli) et des coordonnées des personnes à contacter concernant leurs données. Cette note devra être remise au plus tard lors de l'entrée en vigueur du RGPD le 25 mai prochain, par exemple avec les bulletins de salaire ou par courriel.

(1) Voir Lignes directrices du Groupe de Travail "Article 29" concernant l'AIPD et la manière de déterminer si le traitement est "susceptible d'engendrer un risque élevé" aux fins du règlement (UE) 2016/679.

(2) Les candidats devront également être notifiés de la collecte et du traitement de leurs données.

Les auteurs

Sarah Delon-Bouquet, counsel chez Bryan Cave (photo) et Emmanuelle Mercier, juriste chez Bryan Cave

Sarah Delon-Bouquet est spécialisée en droit du travail et est coleader de l'équipe des avocats européens en droit du travail de Bryan Cave.

Elle conseille et représente des clients internationaux ayant des activités en Europe et en particulier en France, dans la gestion de leurs questions quotidiennes en droit du travail, contentieuses ou non. Elle conseille également les clients sur les aspects en droit du travail liés aux cessions d'entreprises/d'activité transfrontalières, ainsi que sur leur conformité aux règles européennes et françaises sur la protection des données personnelles et le respect de la vie privée, mais aussi sur les questions relatives aux flux de données transfrontaliers, au transfert de données hors de l'Union européenne et à la mise en oeuvre des mesures protectives.


La rédaction

La rédaction vous recommande

Sur le même sujet