Seules les données récupérées par des caméras sont concernées par le RGPD ?
Non.
Toutes les données personnelles collectées par l’employeur en matière de gestion du personnel sont protégées par le RGPD. Par exemple le registre du personnel, les données collectées lors des opérations de recrutement, la déclaration préalable à l'embauche, la paie, la base de données économiques et sociales, la messagerie professionnelle, etc. Et bien entendu, les données recueillies par des outils de contrôle ou de surveillance des salariés mis en place dans l’entreprise.
Le licenciement du délégué à la protection des données est-il soumis préalablement à l'autorisation de l'inspection du travail ?
Non.
Si l’exercice de ses fonctions de délégué à la protection des données ne peut motiver une sanction disciplinaire, le délégué à la protection des données ne bénéficie pas du statut de salarié protégé. Dès lors, si l’employeur souhaite le licencier, il n’a pas au préalable à consulter les élus du comité social et économique ni à demander l’autorisation de l’inspection du travail.
Seuls des CV anonymisés peuvent-être conservés par les entreprises ?
Non.
Malgré l’entrée en vigueur du RGPD, les entreprises peuvent continuer de collecter des CV personnalisés. Elles ne sont pas contraintes d’imposer aux candidats de transmettre uniquement des CV anonymisés. Par contre, l’employeur doit mettre en place des mesures protectrices pour chaque CV collecté. Notamment leur suppression de la CVthèque de l’entreprise au bout d’un délai de 2 ans, sauf accord du candidat pour une conservation sur une période plus longue.
Les élus du comité social et économique sont-ils contraints de mettre en oeuvre des procédures renforcées pour les données collectées au titre des activités sociales et culturelles ?
Non.
Les élus du comité social et économique sont amenés à récupérer des données personnelles de la part des salariés bénéficiaires des activités sociales et culturelles. Adresses postales ou électroniques personnelles, composition des familles voire quotient familial, de nombreuses données sont en effet à disposition des élus. Comme toutes données personnelles, elles sont concernées par la protection prévue par le RGPD. Les élus doivent identifier les risques propres à la protection de ces données, en assurer la protection et octroyer un droit d’accès aux salariés. Mais ils sont dispensés de réaliser une étude d’impact et de consulter au préalable la CNIL.
Une procédure renforcée en matière de protection des données est-elle obligatoire vis-à-vis de l'enregistrement et du suivi des alertes déclenchées dans l'entreprise ?
Oui.
Pour toutes les données collectées considérées comme présentant un risque élevé, l’employeur doit procéder à une analyse d'impact et accomplir les démarches adéquates en fonction des résultats identifiés pour tout traitement de données répondant à certaines conditions. L’enregistrement des alertes et leurs suivis en matière d’alerte en cas de danger grave et imminent, d’alerte en matière d’atteinte aux personnes, d’alerte sociale ou d’alerte en cas de danger sur l'environnement et la santé publique sont considérés comme données présentant un risque élevé par la CNIL.
Un salarié a-t-il accès à tout moment aux données personnelles collectées par son employeur depuis son embauche ?
Oui.
Un employeur doit fournir un droit d’accès à tous les salariés vis-à-vis de leurs propres données personnelles. Il doit ainsi répondre dans un délai d’un mois à toute demande émanant d’un de ses salariés. Ce droit d’accès est offert notamment pour toutes les données liées au recrutement, à l’historique des carrières, aux entretiens professionnels, aux formations professionnelles, au dossier disciplinaire, aux données collectées par les outils de surveillance.