Le RGPD et votre contrat de travail.

Conservation des données et information du salarié sur leur traitement

Le Règlement Général Pour la protection des Données a pour finalité la protection des données relatives aux personnes physiques. A ce titre les salariés sont concernés par cette mesure de protection, d'accès aux données collectées les concernant, à leur traitement et leur durée de conservation, voire leur suppression.

Il convient donc qu'ils en soient informés par tout moyen pour les contrats en cours et par des clauses spécifiques dans les nouveaux contrats.

A noter que la conservation des données doit être limitée aux nécessités imposées par la loi. Il faut comprendre que les données doivent être conservées tant que toute action judiciaire découlant du contrat n'est pas épuisée. Apparait une 1ère interrogation sur la prescription. Elle est de 2 ans au visa de L1471-1 du code du travail mais de 5 ans au visa de l'article L1134-5 du même code en cas de discrimination à compter de sa révélation, laquelle laisse planer une incertitude. Jusqu'à quelle date cette "révélation" peut-elle survenir ? L'employeur devrait donc logiquement indiquer une durée de 5 ans de conservation des données concernant ses salariés.

L'information portera sur les données collectées précisément (état civil, adresse, n° de sécurité sociale etc...) mais aussi le traitement qui en est fait, comment les données sont conservées et à qui elles sont transmises. En principe sur ce point la finalité de la collecte et traitement doit être strictement limitée au but recherché, à savoir une relation contractuelle employeur/salarié. Seuls les organismes sociaux (urssaf, caisse de retraite, maladie...) ont à recevoir des données personnelles concernant les salariés. Toute utilisation et transmission à et par des tiers non habilités serait contraire au RGPD et au respect de la vie privée d'ailleurs, protégé par l'article 9 du code civil.

Respect des droits

Chacun, employeur ou salarié veillera donc au respect de ces droits. Les salariés ne seront donc pas étonnés d'avoir à signer prochainement des actes les informant ce que l'employeur détient comme données les concernant, comment elles sont conservées, traitées et pour combien de temps.

Les sanctions financières sont lourdes en cas de non respect : 4% du CA mondial.

Pénalement aussi l'employeur peut avoir à répondre de ces faits au visa articles 226-16 et suivants du code pénal : "Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 3° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Est puni des mêmes peines le fait de permettre l'accès aux données contenues dans un traitement mentionné à l'article L. 4123-9-1 du code de la défense sans avoir recueilli l'avis favorable mentionné au II du même article."