RGPD : information des salariés et du CSE

Le traitement des données collectées par l’employeur concernant chaque collaborateur de l’entreprise doit permettre d’avertir les salariés lorsque la/les donnée(s) sont collectées. Les salariés de l’entreprise doivent être informés lors de la collecte desdites données.

Bon à savoir : En cas de traitement de données, le Comité Social et Economique (CSE) doit lui aussi être informé et consulté avant la mise en œuvre du ou des dispositifs et du traitement des données concernant le personnel. A noter qu’il est également consulté en cas de modifications desdits traitements – (L.2312-38 du Code du travail).

A noter que l’employeur peut avertir les salariés via voie électronique, notamment par email, voire par écrit. Lorsque le salarié demande des précisions, l’employeur peut lui répondre oralement à condition que l’identité de la personne concernée soit démontrée – (  art 12 RGPD).

Le régime juridique du droit d’information du salarié s’agissant de ses données est développé aux   articles 12, 13 et 14 du Règlement RGPD.

 

Communication des données en cas de demande par un salarié

En principe, c’est le responsable du traitement qui fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande. La réponse doit être fournie dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de 2 mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement – (  art 12 RGPD).

Bon à savoir : En l’absence de réponse, le responsable du traitement doit informer le salarié sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

Possibilité de refus de communication

En cas de demandes abusives, notamment en raison du caractère répétitif de la demande, le responsable de traitement peut alors refuser de donner suite et ne pas communiquer les informations au salarié, voire cas extrême demander en retour le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations.

 

Charge de la preuve du caractère excessif des demandes

C’est au responsable de traitement d’apporter la preuve du caractère manifestement infondé ou excessif de la demande.

 

Les informations à donner au salarié

Lorsqu’il en fait la demande, le délégué à la protection des données (DPO) ou le responsable du traitement doit fournir les informations suivantes – (  art 13 RGPD) :

  • son identité et ses coordonnées professionnelles en qualité de responsable du traitement ;
  • le cas échéant les coordonnées du DPO ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • la possibilité de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
  • le cas échéant, l’existence d’une prise de décision automatisée, y compris un profilage.

 

 

 

Fascicule mis à jour le 8 juillet 2020.

Tous droits réservés.

-

Maitre Data