Exercice du droit de gestion sur les informations personnelles : comment répondre à la demande des salariés ?

Exercice du droit de gestion sur les informations personnelles : comment répondre à la demande des salariés ?
Sarah Benhammou

La collecte et la sécurité des données personnelles sont une part importantes des problématiques liées au RGPD. Mais le droit d’accès et de gestion des données personnelles peut être tout aussi complexe à traiter. Alors comment faire ? Quels sont les droits des salariés et les devoirs de l’employeur ?

En tant qu’employeur, vous devez veiller à informer vos salariés de leurs droits en matière de gestion de leurs données personnelles, ce qui constitue une première étape dans la gestion des droits de vos employés. La seconde est de vous assurer de respecter ces droits en mettant en place en interne une procédure permettant d’assurer la gestion de ces droits.

Comment informer mes salariés de leurs droits ?

Quelle procédure puis-je mettre en place pour gérer au mieux l’exercice des droits de mes salariés ?

Nous tâcherons d’y répondre dans cet article en vous rappelant d’abord l’obligation d’information qui pèse sur l’employeur, prérequis indispensable à l’exercice des droits, puis en détaillant la procédure générique d’exercice des droits qui peut, bien évidemment, être adaptée par l’employeur, sous réserve de respecter les dispositions légales et réglementaires.

L’obligation d’information à charge de l’employeur

L’information dans le contrat de travail

Pour qu’un salarié puisse exercer ces droits, encore faut-il qu’il soit informé de l’existence de ces droits ! Pour cela, en tant qu’employeur, vous avez plusieurs méthodes à votre disposition.

En application des dispositions légales, dans le cadre des traitements RH, l’employeur est tenu d’une obligation d’information à l’égard de ses salariés avant la mise en œuvre d’un traitement. Plus simplement, cela veut dire qu’avant même de traiter les données d’un nouveau salarié, celui-ci doit être informé des éléments suivants :

  • Quelles données vont être traitées ?
  • Pourquoi l’employeur en a-t-il besoin ? À quoi vont servir les données ?
  • Combien de temps vont-elles être conservées ?
  • Quels sont mes droits concernant ces données ?
  • Qui a accès à mes données ? Qui est le responsable de traitement de mes données ?

On parle d’une obligation d’information (conformément aux articles 12, 13 et 14 du RGPD) qui doit donc figurer au contrat de travail du salarié. Cette obligation d’information impose à l’employeur de faire figurer plusieurs mentions dans le contrat de travail du salarié (vous pouvez retrouver la liste des mentions obligatoires à l’article « Comment rédiger une clause RGPD dans le contrat de travail ».).

Concernant l’exercice des droits, le contrat doit contenir les informations suivantes :

  • La liste des droits : accès, rectificatif, effacement, opposition, portabilité, limitation et connaître le sort de ses données après sa mort.

Exemple de formulation : « Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée et au Règlement Général sur la Protection des Données du 27 avril 2016, le Salarié dispose du droit d’accéder à ses données, de les rectifier, de faire effacer celles qui ne seraient plus valides, de s’opposer à leur traitement, ainsi que d’un droit à la portabilité des données, à la limitation des traitements et à connaître le sort de ses données après sa mort. »

  • Le nom du responsable de traitement au sein de l’entreprise. Attention, cela ne peut pas être un nom générique (ex : « Service RH ») mais bien le nom d’une personne identifiée.
  • L’adresse mail ou l’adresse postale à laquelle exercer la demande.
  • Le délai sous lequel l’entreprise répondra à sa demande. Attention, le délai courant est d’un mois, vous pouvez aller jusqu’à 3 mois en cas de demande complexe et/ou abusive et/ou répétitive du salarié.

Exemple de formulation : « Le Salarié peut consulter les données le concernant et exercer ses droits par mail à l’adresse (mail). Le responsable de traitement est (nom, prénom). La Société lui répondra dans un délai d’un mois maximum. »

Abonnez-vous à la newsletter de Culture RH et recevez, chaque semaine, les dernières actualités RH.


The reCAPTCHA verification period has expired. Please reload the page.

Les autres possibilités d’information

En dehors du contrat de travail, cette mention peut être rappelée au salarié à tout moment :

  • Dans le règlement intérieur de l’entreprise.
  • Dans une charte informatique ou des bonnes pratiques du numérique, applicable en interne.
  • Dans une communication adressée par l’employeur à ses salariés.
  • Par le biais d’une affichette dans les locaux.
  • Etc.

À lire également :

Traiter les demandes d’exercice des droits de mes salariés

Répondre à la demande

Après avoir informé le salarié, la seconde étape sera bien évidemment de répondre à sa demande.

Pour cela, plusieurs étapes s’imposent :

Vérifier que la demande est complète

Par exemple, si un salarié vous demande de supprimer ses données en votre possession, mais qu’il ne précise pas de quelles données il parle (pour vous permettre de savoir s’il parle de données de moindre importance, non nécessaires à l’exécution du contrat de travail ou des données importantes, comme son nom et prénom, sans lesquelles vous ne pouvez pas gérer votre relation de travail).

Vous êtes donc en droit de demander des précisions à votre employé.

Analyser sa demande au regard du droit invoqué

Nous l’avons vu plus haut, mais tous les droits ne donnent pas lieu aux mêmes applications et restrictions selon le RGPD. Pour l’exercice de certains droits, vous êtes en mesure de vous opposer à la demande du salarié. Pour d’autres, vous ne pourrez y déroger.

Prenez le droit invoqué par votre salarié et analysez-le selon l’angle de la réglementation applicable. Prenez conseil auprès de votre Délégué à la Protection des Données (DPO) ou de votre avocat conseil. Est-ce que ce droit est soumis à des limitations ? Dans quels cas puis-je m’y opposer ?

Le responsable de traitement peut ne pas donner suite à une demande dans les cas suivants : 

  • S’agissant du droit d’opposition, quand il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts ou les droits et libertés de la personne concernée ou pour la constatation, l’exercice ou la défense des droits en justice.
  • S’il peut démontrer qu’il n’est pas en mesure d’identifier la personne concernée.
  • S’agissant du droit à l’effacement, quand leur mise en œuvre porte atteinte à l’exercice d’un droit individuel ou s’oppose à un motif d’intérêt public.
  • S’agissant des droits d’accès et à la portabilité, quand la mise en œuvre porte atteinte aux droits ou libertés d’autrui (ex : secret des affaires, propriété intellectuelle).
  • S’il peut démontrer que les demandes d’une personne sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.

Dans chaque cas, même pour un refus, l’employeur doit avertir le salarié sous un mois à compter de la réception de sa demande pour lui indiquer les motifs de son refus ou de son inactivité, ainsi que la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel si nécessaire.

Apportez une réponse à votre salarié sous un mois

Deux cas de figure se posent à vous :

  • Soit, vous pouvez répondre immédiatement à la demande du salarié, traitez là donc sous le délai légal d’un mois.
  • Soit, vous avez besoin de plus de temps, vous devez donc en informer votre salarié sous le délai d’un mois. Et vous aurez jusqu’à trois mois pour traiter sa demande. Attention cependant ! On ne peut pas abuser du délai de trois mois à tout va. Ce délai est applicable que si la demande du salarié est répétitive, excessive ou manifestement complexe (ex : elle nécessite une analyse légale profonde ou un changement complet du système informatique).

Informez de ce droit vos sous-traitants concernés

Quand un salarié exerce un droit en application du RGPD, l’employeur doit en informer tous les organismes à qui il a transmis les données en question (ex : un cabinet comptable qui traiterait des fiches de paie, un client qui était auparavant en contact avec ledit salarié).

Cette communication doit impérativement être effectuée à moins qu’elle ne se révèle impossible ou n’exige des efforts disproportionnés.

Mettre en place des process

La gestion des demandes d’exercice des droits peut s’avérer soit périlleuse (Comment y répondre ? Comment s’assurer de bien respecter la loi ?) soit chronophage si elle n’est pas bien anticipée.

Pour cela, nous vous recommandons de mettre en place en amont des process qui vous permettront de traiter les demandes de manière efficace.

55 idées pour améliorer la QVCT

Vous avez initié une démarche QVCT dans votre entreprise et vous souhaitez la booster ? Culture RH et Eurécia vous proposent 55 idées efficaces à mettre en place en 2024 pour améliorer la vie de vos collaborateurs !

Découvrir
  • Désignez une personne en charge du traitement des demandes.

Lorsqu’un salarié effectue une demande d’exercice des droits, il doit savoir à qui l’adresser. Pour cela, pensez à bien marquer l’identité de la personne dans son contrat de travail (ou dans les autres communications adressées par l’entreprise ou dans le règlement intérieur).

Veillez à ce que cette personne soit la même pour l’ensemble du personnel, qu’elle soit bien formée à la gestion de ces demandes et attribuez-lui, pourquoi pas, une adresse électronique dédiée, pour lui permettre d’assurer un suivi des demandes (ex : données@entreprise.com).

En règle générale, cette personne sera le responsable de traitement au sein de l’entreprise.

  • Mettez en place un formulaire d’exercice des droits.

Pour aller plus vite et éviter les nombreux allers-retours par mails entre le responsable de traitement et l’employé (si la demande est imprécise), nous vous conseillons de mettre en place un formulaire type d’exercice des droits que le salarié devra remplir et communiquer au responsable de traitement.

Ce formulaire permettrait à ce dernier de traiter la demande bien plus rapidement. Il devra contenir : l’identité du demandeur, la liste des droits qu’il souhaite exercer, les données concernées et les éventuels motifs à l’appui de sa demande.

  • Accusez réception des courriels ou demandes reçus pour avoir toujours un suivi du traitement des demandes et notamment en cas de contrôle.
  • Traitez la demande en application du chapitre précédent et en respectant les délais légaux.
  • Écrivez une charte de bonne pratique ou un référentiel de gestion des demandes d’exercice des droits qui permettra à votre responsable de traitement de connaître la procédure et d’avoir toujours un guide auquel il pourra se référer pour traiter les demandes.

Pour permettre une bonne gestion de l’exercice des droits de vos employés, nous vous recommandons donc vivement de faire appel à votre Délégué à la Protection des Données (DPO) ou à votre avocat spécialisé en droit des données personnelles, qui sauront vous conseiller au mieux et vous éviter les impairs !

À lire également :

Partager l'article

Sarah Benhammou

Avocate au Barreau de Paris, j'interviens aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats, droit du travail et droit des sociétés. Je suis également spécialisée en Droit des données personnelles et j'assiste les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D.