Exercice du droit de gestion RGPD : quel process ? Tout savoir !

En tant qu’employeur, vous devez veiller à informer vos salariés de leurs droits en matière de gestion de leurs données personnelles, ce qui constitue une première étape dans la gestion des droits de vos employés. La seconde est de vous assurer de respecter ces droits en mettant en place en interne une procédure permettant d’assurer la gestion de ces droits.

Comment informer mes salariés de leurs droits ?

Quelle procédure puis-je mettre en place pour gérer au mieux l’exercice des droits de mes salariés ?

Nous tâcherons d’y répondre dans cet article en vous rappelant d’abord l’obligation d’information qui pèse sur l’employeur, prérequis indispensable à l’exercice des droits, puis en détaillant la procédure générique d’exercice des droits qui peut, bien évidemment, être adaptée par l’employeur, sous réserve de respecter les dispositions légales et réglementaires.

Sommaire de l'article:

L’obligation d’information à charge de l’employeur

L’information dans le contrat de travail

Pour qu’un salarié puisse exercer ces droits, encore faut-il qu’il soit informé de l’existence de ces droits ! Pour cela, en tant qu’employeur, vous avez plusieurs méthodes à votre disposition.

En application des dispositions légales, dans le cadre des traitements RH, l’employeur est tenu d’une obligation d’information à l’égard de ses salariés avant la mise en œuvre d’un traitement. Plus simplement, cela veut dire qu’avant même de traiter les données d’un nouveau salarié, celui-ci doit être informé des éléments suivants :

Quelles données vont être traitées ?
Pourquoi l’employeur en a-t-il besoin ? À quoi vont servir les données ?
Combien de temps vont-elles être conservées ?
Quels sont mes droits concernant ces données ?
Qui a accès à mes données ? Qui est le responsable de traitement de mes données ?

On parle d’une obligation d’information (conformément aux articles 12, 13 et 14 du RGPD) qui doit donc figurer au contrat de travail du salarié. Cette obligation d’information impose à l’employeur de faire figurer plusieurs mentions dans le contrat de travail du salarié (vous pouvez retrouver la liste des mentions obligatoires à l’article « Comment rédiger une clause RGPD dans le contrat de travail ».).

Concernant l’exercice des droits, le contrat doit contenir les informations suivantes :

La liste des droits : accès, rectificatif, effacement, opposition, portabilité, limitation et connaître le sort de ses données après sa mort.

Exemple de formulation : « Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée et au Règlement Général sur la Protection des Données du 27 avril 2016, le Salarié dispose du droit d’accéder à ses données, de les rectifier, de faire effacer celles qui ne seraient plus valides, de s’opposer à leur traitement, ainsi que d’un droit à la portabilité des données, à la limitation des traitements et à connaître le sort de ses données après sa mort. »

Le nom du responsable de traitement au sein de l’entreprise. Attention, cela ne peut pas être un nom générique (ex : « Service RH ») mais bien le nom d’une personne identifiée.
L’adresse mail ou l’adresse postale à laquelle exercer la demande.
Le délai sous lequel l’entreprise répondra à sa demande. Attention, le délai courant est d’un mois, vous pouvez aller jusqu’à 3 mois en cas de demande complexe et/ou abusive et/ou répétitive du salarié.

Exemple de formulation : « Le Salarié peut consulter les données le concernant et exercer ses droits par mail à l’adresse (mail). Le responsable de traitement est (nom, prénom). La Société lui répondra dans un délai d’un mois maximum. »

📝 Enquête sur la BDESE 2024 : votre avis compte

Les Editions Tissot lancent pour la 3ème année le baromètre de la BDESE, afin de dresser une situation réaliste de son déploiement dans les entreprises françaises. Votre contribution en tant que professionnel des Ressources Humaines est précieuse. Répondez à l'enquête en tout juste 4 minutes :) Cette enquête vous est proposée par notre partenaire Les Editions Tissot.

Je participe

Les autres possibilités d’information

En dehors du contrat de travail, cette mention peut être rappelée au salarié à tout moment :

Dans le règlement intérieur de l’entreprise.
Dans une charte informatique ou des bonnes pratiques du numérique, applicable en interne.
Dans une communication adressée par l’employeur à ses salariés.
Par le biais d’une affichette dans les locaux.
Etc.

Traiter les demandes d’exercice des droits de mes salariés

Répondre à la demande

Après avoir informé le salarié, la seconde étape sera bien évidemment de répondre à sa demande.

Pour cela, plusieurs étapes s’imposent :

Vérifier que la demande est complète

Par exemple, si un salarié vous demande de supprimer ses données en votre possession, mais qu’il ne précise pas de quelles données il parle (pour vous permettre de savoir s’il parle de données de moindre importance, non nécessaires à l’exécution du contrat de travail ou des données importantes, comme son nom et prénom, sans lesquelles vous ne pouvez pas gérer votre relation de travail).

Vous êtes donc en droit de demander des précisions à votre employé.

La suite après la publicité

Analyser sa demande au regard du droit invoqué

Nous l’avons vu plus haut, mais tous les droits ne donnent pas lieu aux mêmes applications et restrictions selon le RGPD. Pour l’exercice de certains droits, vous êtes en mesure de vous opposer à la demande du salarié. Pour d’autres, vous ne pourrez y déroger.

Prenez le droit invoqué par votre salarié et analysez-le selon l’angle de la réglementation applicable. Prenez conseil auprès de votre Délégué à la Protection des Données (DPO) ou de votre avocat conseil. Est-ce que ce droit est soumis à des limitations ? Dans quels cas puis-je m’y opposer ?

Le responsable de traitement peut ne pas donner suite à une demande dans les cas suivants :

S’agissant du droit d’opposition, quand il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts ou les droits et libertés de la personne concernée ou pour la constatation, l’exercice ou la défense des droits en justice.
S’il peut démontrer qu’il n’est pas en mesure d’identifier la personne concernée.
S’agissant du droit à l’effacement, quand leur mise en œuvre porte atteinte à l’exercice d’un droit individuel ou s’oppose à un motif d’intérêt public.
S’agissant des droits d’accès et à la portabilité, quand la mise en œuvre porte atteinte aux droits ou libertés d’autrui (ex : secret des affaires, propriété intellectuelle).
S’il peut démontrer que les demandes d’une personne sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.

Dans chaque cas, même pour un refus, l’employeur doit avertir le salarié sous un mois à compter de la réception de sa demande pour lui indiquer les motifs de son refus ou de son inactivité, ainsi que la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel si nécessaire.

Apportez une réponse à votre salarié sous un mois

Deux cas de figure se posent à vous :

Soit, vous pouvez répondre immédiatement à la demande du salarié, traitez là donc sous le délai légal d’un mois.
Soit, vous avez besoin de plus de temps, vous devez donc en informer votre salarié sous le délai d’un mois. Et vous aurez jusqu’à trois mois pour traiter sa demande. Attention cependant ! On ne peut pas abuser du délai de trois mois à tout va. Ce délai est applicable que si la demande du salarié est répétitive, excessive ou manifestement complexe (ex : elle nécessite une analyse légale profonde ou un changement complet du système informatique).

Informez de ce droit vos sous-traitants concernés

Quand un salarié exerce un droit en application du RGPD, l’employeur doit en informer tous les organismes à qui il a transmis les données en question (ex : un cabinet comptable qui traiterait des fiches de paie, un client qui était auparavant en contact avec ledit salarié).

Cette communication doit impérativement être effectuée à moins qu’elle ne se révèle impossible ou n’exige des efforts disproportionnés.

Mettre en place des process

La gestion des demandes d’exercice des droits peut s’avérer soit périlleuse (Comment y répondre ? Comment s’assurer de bien respecter la loi ?) soit chronophage si elle n’est pas bien anticipée.

Pour cela, nous vous recommandons de mettre en place en amont des process qui vous permettront de traiter les demandes de manière efficace.

Désignez une personne en charge du traitement des demandes.

Lorsqu’un salarié effectue une demande d’exercice des droits, il doit savoir à qui l’adresser. Pour cela, pensez à bien marquer l’identité de la personne dans son contrat de travail (ou dans les autres communications adressées par l’entreprise ou dans le règlement intérieur).

Veillez à ce que cette personne soit la même pour l’ensemble du personnel, qu’elle soit bien formée à la gestion de ces demandes et attribuez-lui, pourquoi pas, une adresse électronique dédiée, pour lui permettre d’assurer un suivi des demandes (ex : données@entreprise.com).

En règle générale, cette personne sera le responsable de traitement au sein de l’entreprise.

Mettez en place un formulaire d’exercice des droits.

Pour aller plus vite et éviter les nombreux allers-retours par mails entre le responsable de traitement et l’employé (si la demande est imprécise), nous vous conseillons de mettre en place un formulaire type d’exercice des droits que le salarié devra remplir et communiquer au responsable de traitement.

Ce formulaire permettrait à ce dernier de traiter la demande bien plus rapidement. Il devra contenir : l’identité du demandeur, la liste des droits qu’il souhaite exercer, les données concernées et les éventuels motifs à l’appui de sa demande.

Accusez réception des courriels ou demandes reçus pour avoir toujours un suivi du traitement des demandes et notamment en cas de contrôle.

Traitez la demande en application du chapitre précédent et en respectant les délais légaux.

Écrivez une charte de bonne pratique ou un référentiel de gestion des demandes d’exercice des droits qui permettra à votre responsable de traitement de connaître la procédure et d’avoir toujours un guide auquel il pourra se référer pour traiter les demandes.

Pour permettre une bonne gestion de l’exercice des droits de vos employés, nous vous recommandons donc vivement de faire appel à votre Délégué à la Protection des Données (DPO) ou à votre avocat spécialisé en droit des données personnelles, qui sauront vous conseiller au mieux et vous éviter les impairs !

Exercice du droit de gestion sur les informations personnelles : comment répondre à la demande des salariés ?

L’obligation d’information à charge de l’employeur

L’information dans le contrat de travail

📝 Enquête sur la BDESE 2024 : votre avis compte

Les autres possibilités d’information

Traiter les demandes d’exercice des droits de mes salariés

Répondre à la demande

Vérifier que la demande est complète

Analyser sa demande au regard du droit invoqué

Apportez une réponse à votre salarié sous un mois

Informez de ce droit vos sous-traitants concernés

Mettre en place des process

Sarah Benhammou

L’obligation d’information à charge de l’employeur

L’information dans le contrat de travail

📝 Enquête sur la BDESE 2024 : votre avis compte

Les autres possibilités d’information

Traiter les demandes d’exercice des droits de mes salariés

Répondre à la demande

Vérifier que la demande est complète

Analyser sa demande au regard du droit invoqué

Apportez une réponse à votre salarié sous un mois

Informez de ce droit vos sous-traitants concernés

Mettre en place des process

Vous pourriez également être intéressé par