De nombreuses données concernant les collaborateurs et les candidats sont entre les mains des employeurs. Lesquelles peuvent être conservées, et pendant combien de temps ? Quel usage peut en être fait, d’après la loi ? Plus généralement, quels sont les points sensibles à connaître ? Entretien avec Céline Lafage, DRH de Nyco1, Sophie Marinier, avocate associée spécialisée en droit social chez LPA-CGR avocats et Prudence Cadio, avocate associée spécialisée en IT chez LPA-CGR avocats2.
Dans le cadre d’une procédure de recrutement, que dit la loi à propos de la conservation des données des candidats ?
Céline Lafage : La loi nous autorise à garder les CV durant deux ans. Chez Nyco, nous ne conservons pendant ce laps de temps que ceux des candidats de la short list – soit 4 à 5 CV maximum – dans le but d’alimenter notre vivier.
Sophie Marinier : Conserver ces données est important en cas de contentieux. Le contentieux sur le recrutement se développe et une décision récente, datée du 6 septembre dernier, l’illustre : une salariée a considéré qu’elle avait été écartée d’un process de recrutement à cause de son âge. Or, l’âge fait partie des informations usuelles dont dispose un recruteur (ou qu’il peut estimer). La Cour de cassation a donné raison à cette candidate (pourvoi n°22-15.514).
Quel type d’informations l’entreprise peut-elle demander lors d’un recrutement ?
Prudence Cadio : Au regard du règlement général sur la protection des données (RGPD), ces informations doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5). Les informations que pourra demander de transmettre une entreprise dépendront donc du poste à pourvoir et de son domaine d’activité.
Est-il obligatoire d’informer les candidats du traitement de leurs données personnelles ?
Céline Lafage : Oui. Lors du processus de recrutement, nous faisons signer au candidat un document dans lequel nous l’informons du traitement de ses données, et rappelons son droit de modification et de suppression. Nous indiquons aussi notre engagement à prendre les mesures nécessaires pour protéger ses données personnelles, conformément au RGPD.
Une fois le candidat retenu, quelles informations peuvent être collectées et traitées pour rédiger le contrat de travail ?
Céline Lafage : Lorsque le candidat retenu a accepté notre proposition d’embauche, nous lui demandons un ensemble d’informations, dont certaines dites sensibles, afin de rédiger le contrat de travail. Sur ce contrat figure un article RGPD précisant comment seront traitées ses données personnelles et quels en seront les destinataires : les organismes de Sécurité sociale, complémentaires santé, caisses de retraite, Pôle emploi, service des impôts…
Quels sont les écueils à éviter ?
Sophie Marinier : Il est très important que le processus de collecte et de conservation des données soit sécurisé, que l’accès soit limité au service RH, à la direction ou autre, qui ont besoin de ces données. Il existe également un risque élevé de fraude avec les relevés d’identité bancaires ou lors des transmissions d’informations aux organismes de protection sociale… Il s’agit de sécuriser ces transferts au maximum.
Le bulletin de paie est un concentré d’informations très personnelles. Qu’en est-il du bulletin de paie dématérialisé ?
Prudence Cadio : La dématérialisation des bulletins de paie grâce aux coffres-forts numériques est de plus en plus pratiquée. Cependant, il faut souligner que l’utilisation du coffre-fort numérique est encadrée par le Code des postes et des communications électroniques qui impose notamment au fournisseur de ce service une obligation d’information, de sécurité et traçabilité des opérations, ainsi que par le RGPD. Un point de vigilance sur cette pratique est la contractualisation avec le fournisseur du coffre. Il faut s’assurer qu’il dispose de toutes les garanties de sécurité suffisantes. Le stockage des données dans le cadre d’un coffre-fort numérique est un traitement au sens du RGPD qui nécessitera le respecter les normes RGPD concernant notamment la conservation des données, le droit à l’accès et la rectification ainsi que la garantie d’un niveau de sécurité adapté au risque numérique.
Céline Lafage : Nous sommes passés au bulletin de paie dématérialisé depuis un an avec la mise à disposition d’un coffre-fort électronique pour chaque salarié ; l’accès à ce coffre-fort se fait par l'intermédiaire d'une adresse mail personnelle et par une double authentification, sécurisant l’accès aux documents stockés. Autre avantage, les bulletins dématérialisés seront conservés cinquante ans à la Caisse des dépôts et consignation. Dernier point, cette dématérialisation permet de réduire notre consommation de papier.
La mise en place du bulletin de paie dématérialisé doit-elle faire l’objet d’un accord du CSE ?
Sophie Marinier : Le CSE doit être consulté, mais cet avis n’est que consultatif.
Quelle est, selon vous, la plus grande menace en matière de données ?
Céline Lafage : Le point critique vis-à-vis de l’extérieur est certainement le piratage informatique. Face à cette menace, les entreprises doivent se doter de procédures de lutte contre la cybercriminalité. Chez Nyco, nous interdisons l’utilisation de matériel personnel, pour les accès à distance nous avons opté pour un système MFA (Multi Factor Authentification) et, régulièrement, nous menons des campagnes de sensibilisation auprès de nos collaborateurs, accompagnées de tests de phising. Il existe un autre risque, interne cette fois, qui est la fuite de données. À ce jour, nous avons mis en place des protections par des limitations d’accès et des habilitations. Nous pourrions nous protéger d’avantage, mais cela nécessiterait de gros et lourds investissements.
Le télétravail a-t-il accentué les risques concernant la cybercriminalité ?
Sophie Marinier : Oui. Nous l’avons vu pendant la pandémie. Certains salariés ont travaillé chez eux avec leur ordinateur personnel et une connexion non sécurisée. Pour autant, l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise. Les risques contre lesquels il est indispensable de se prémunir vont de l’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, à la compromission générale du système d’information de l’entreprise (intrusion, virus, chevaux de Troie, etc.). Aussi, la plupart des entreprises ont désormais des flottes dédiées et demandent aux télétravailleurs de passer par une connexion sécurisée (VPN).
Un salarié qui se ferait pirater des données professionnelles alors qu’il travaille sur son ordinateur personnel peut-il être poursuivi ?
Sophie Marinier : Non : sa responsabilité financière ne pourra pas être engagée sauf à qualifier une faute lourde (qui nécessite l’intention de nuire à l’employeur). Pour notifier une sanction disciplinaire, il sera déterminant d’avoir mis en place une charte informatique qui fixe les conditions d’utilisation du matériel informatique et de connexion.
À l'issue de la relation contractuelle, combien de temps l’entreprise peut-elle conserver les données collectées sur l’ancien salarié ?
Sophie Marinier : Selon le type de données collectées, les prescriptions varient entre trois et dix ans. L’intérêt de conserver ces données est de pouvoir répondre à des demandes des administrations sociale ou fiscale, mais aussi de fournir des preuves en cas de contentieux.
Prudence Cadio : Sur les modalités d’archivage, la CNIL divise en trois temps la conservation des données personnelles. La base active correspond à la durée nécessaire pour la réalisation de la finalité du traitement qui justifie la collecte des données (par exemple le temps d’exécution du contrat de travail). L’archivage intermédiaire intervient une fois que l’objectif du traitement des données est atteint. Ainsi, les données personnelles peuvent être utilisées pour satisfaire une obligation légale ou constituer des preuves en cas de contentieux et être conservées jusqu’à l’expiration du délai de prescription. Un troisième temps est l’effacement total des données ou l’archivage définitif qui implique une anonymisation des données personnelles. Ainsi, l’employeur peut conserver les données de l’ex-salarié, mais cela implique de mettre en place un système d’archivage avec accès limité et structuré en trois étapes.
Lorsqu'une entreprise conclut un contrat de prestation de services, est-elle tenue de demander des informations sur les salariés étrangers employés par le prestataire ?
Sophie Marinier : D’après la loi, tout contrat supérieur à 5 000 € contraint le prestataire à communiquer l’identité de ses salariés étrangers. Si ce prestataire n’était pas à jour de ses obligations (cotisations Urssaf etc.), le cocontractant pourrait être tenu pour responsable en vertu de la responsabilité contractuelle in solidum.
Prudence Cadio : Comme la loi impose une telle communication, la problématique porte sur la responsabilité au sens du RGPD du prestataire qui communique ces données sur la base d’une obligation légale et de l’entité qui les reçoit. Chacun de ces acteurs joue un rôle dans le traitement de ces données qu’il faut déterminer en termes de statut et obligation de sécurité ou informationnelle. À noter que si la prestation de service passe par une plateforme, il faut s’assurer que cette plateforme ait pris des mesures de sécurité suffisantes.
Lors d’une enquête interne pour harcèlement moral, comment l’employeur peut-il assurer l'anonymisation des données recueillies ?
Sophie Marinier : Cette enquête implique de faire remplir un questionnaire à tous les protagonistes. Sur ce document, une mention doit indiquer quelle est la finalité de l’enquête et quelle sera l’utilisation des données (transmission au service RH, etc.). Nous avons des obligations d’anonymisation dans le rapport d’enquête, anonymisation qui sera conservée en cas de contentieux.
(1) Groupe spécialisé dans la fabrication de lubrifiants pour les marchés de l’aéronautique, de la défense et de l’industrie.
