Depuis l’arrivée du RGPD, en plus de droits existants, les salariés acquièrent de nouveaux droits quand ils sont présents mais aussi lors du départ d’un salarié / RGPD :
- Droit à l’effacement / Droit à l’oubli : droit pour le salarié d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données le concernant, notamment lorsque les données ne sont plus nécessaires à l’égard de l’exécution du contrat de travail. Il est également nécessaire de prendre en compte le délai légal de conservation des données.
- Droit de limitation : possibilité pour le salarié de demander à ce que le responsable du traitement ne puisse pas se servir de certaines données collectées lorsque le responsable du traitement n’a plus besoin des données mais celles-ci sont encore nécessaires au salarié pour la contestation, l’exercice ou la défense de droits en justice
- Droit à la portabilité : droit pour le salarié d’obtenir, voire de réutiliser, les données le concernant pour ses besoins personnels.
L’article 15 du RGPD, donne le droit aux salariés de demander à leur employeur et/ou ancien employeur afin d’avoir accès à leurs données personnelles.
Petit rappel important :
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
- Une personne physique peut être identifiée :
- directement (exemple : nom et prénom) ;
- indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).
- L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : nom) ;
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).
Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1[@]email.fr ») ne sont pas, en principe, des données personnelles.
A qui le salarié doit demander l’accès à ses données personnelles ?
La CNIL a publié des fiches pratiques afin d’aider les justiciables à retrouver les coordonnées d’un organisme pour exercer leurs droits. L’employeur en fait partie et pour cause, il doit désormais informer chaque salarié, dès l’embauche, de son droit d’accès/modification/suppression de ses. données personnelles. Il est aussi possible de le faire lors de sessions de sensibilisation. Le défaut d’information est sanctionnante par la CNIL.
Comment le salarié doit procéder à la demande ?
La demande de droit d’accès peut s’exercer par divers moyens :
- par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.),
- par courrier par exemple.
L’important étant de conserver une trace de la demande du salarié. Si la demande est formulée par voie électronique, le responsable de traitement répondra par voie électronique, à moins que le demandeur souhaite obtenir une réponse par un autre moyen (ex.par papier).
La communication est par principe, gratuite et doit être faite dans les 30 jours de la réception de la demande.
Quelle est la limite de la demande du salarié d’obtenir un droit d’accès ?
Certains fichiers sont particulièrement encadrés : Pour certains fichiers de. police ou intéressant la sûreté de l’Etat, la loi n’autorise pas un particulier à. accéder directement aux informations contenues dans le fichier. Il pourra cependant y accéder de manière indirecte par l’intermédiaire de la CNIL. Si l’organisme estime que la demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ».
Les droits ou libertés d’autrui sont également des limites : l’exercice du droit d’accès ne doit pas porter atteinte :
- au droit des tiers : seules vos données peuvent être communiquées au titredu droit d’accès (*),
- à la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protègele logiciel,
- au secret des affaires,
- etc.
Si vous apportez une réponse incomplète à la demande d’accès d’un salarié ?
Si la réponse apportée par l’organisme à la demande d’accès semble incomplète,le demandeur peut adresser une plainte à la CNIL afin qu’elle intervienne àl’appui de sa demande. Toutefois, il est recommandé, avant de saisir la CNIL, dedemander préalablement à l’organisme de compléter sa réponse avec lesdonnées que le demandeur considère comme manquantes. En cas d’absence deréponse ou de réponse insatisfaisante, une plainte auprès de la CNIL peut êtredéposée en joignant les justificatifs de vos démarches préalables.
La check list des points à ne pas oublier
Au départ du salarié ou le temps de prescription d’une éventuelle procédure. Attention, nous communiquons les informations avec le regard du RGPD.
A faire | Délai |
Compte de messagerie | Désactiver la messagerie |
Accès distant | Immédiat |
Accès logiciels métier, banques, fournisseurs | Immédiat |
Accès locaux | Immédiat |
Accès intranet | Immédiat |
Changer code alarme / badge | Après départ |
changer clés / Modification | Après départ |
Il faudra effacer toutes traces du salarié dans les annuaires, organigramme. Son dossier du personnel devra etre archivé. La durée d’archivage des dossiers du personnel dépend de plusieurs facteurs, tels que la nature des données contenues dans les dossiers, les obligations légales en vigueur dans le pays concerné, les pratiques de l’entreprise, etc. En France par exemple, la durée d’archivage des dossiers du personnel est généralement de deux ans après la fin du contrat de travail, sauf pour certains types de données qui peuvent être conservées plus longtemps, tels que les données relatives à la santé ou à la sécurité des salariés, ou les données nécessaires à la gestion des contentieux. Il est important de noter que ces durées d’archivage peuvent être modifiées par la législation en vigueur, ou par les conventions collectives applicables dans l’entreprise. Il est donc recommandé de vérifier régulièrement les obligations en matière d’archivage des dossiers du personnel, et de mettre en place des procédures adaptées pour gérer les dossiers du personnel de manière conforme à la loi.
Contacter DPO PARTAGE au 01 83 64 42 98 pour toutes vos questions ou le Formulaire de contact