En tant qu’employeur, vous agissez en qualité de responsable de traitement des données personnelles de vos salariés.
C’est-à-dire que vous déterminez la raison de la collecte des données (la finalité), leurs modalités de collecte et de traitement (les moyens). C’est donc sur vous que pèse la responsabilité du respect des obligations posées par le Règlement Général de protection des données personnelles (RGPD) et la Loi Informatiques et Libertés du 6 janvier 1978.
Avec cette qualité, vous êtes donc amené à collecter et traiter les données personnelles de vos salariés. Mais pouvez-vous pour autant collecter toutes les données que vous souhaitez ? Pouvez-vous tout demander, comme informations personnelles, à vos salariés ?
Au-delà de la question du respect au droit à la vie privé, s’est posé un autre paradigme instauré par le RGPD, celui de la minimisation, qui limite la collecte des données sur vos salariés.
Quelles données puis-je donc collecter sur mes salariés, en application du principe de minimisation des données ?
Nous y répondrons dans cet article en présentant le principe de minimisation puis en donnant quelques applications pratiques qui pourront vous être utiles dans la relation avec vos employés et le traitement de leurs données personnelles.
Sommaire de l'article:
Le principe de minimisation : qu’est-ce donc ?
Définition
Le principe de minimisation des données fait partie des nouveautés instaurées par le RGPD pour permettre un traitement des données personnelles raisonnable et respectueux des droits des personnes et éviter ainsi tous débordements.
En soi, ce principe est relativement simple : on ne peut collecter et traiter que les données qui sont strictement nécessaires pour répondre à la finalité du traitement.
Entretien annuel : 10 pièges à éviter
L’entretien annuel a mauvaise réputation. Pour y remédier, notre partenaire Lucca a élaboré un guide qui détaille 10 leviers pour améliorer son efficacité. Ce guide vous propose des conseils pratiques de la préparation au plan d'action concret en exploitant les résultats des entretiens.
Je téléchargePlus concrètement, on ne collecte que les données dont on a besoin par rapport à l’objectif que l’on s’est fixé.
Ce principe est fixé à l’article 5.1 c) du RGPD et dispose que « les données à caractère personnel doivent être (…) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».
Dans la pratique, comment cela se traduit-il ?
- Un site web qui propose de s’inscrire à sa newsletter, pour être tenu informé des dernières nouveautés, n’a pas besoin de recueillir la date de naissance de ses utilisateurs.
- Un prestataire de services spécialisé dans la décoration intérieure n’a pas besoin de connaître le numéro de sécurité sociale de ses clients pour émettre une facture.
- Un concessionnaire automobile n’a pas besoin d’un extrait du casier judiciaire d’un client pour lui permettre d’acheter un véhicule.
Comment savoir si je respecte le principe de minimisation ?
Il faut se pencher sur la donnée en elle-même qui doit répondre à plusieurs caractéristiques.
La donnée collectée doit être pertinente
Elle doit avoir un lien direct avec la finalité du traitement.
Ex : Il n’y a pas besoin de recueillir le numéro de sécurité sociale d’un candidat lors d’un entretien d’embauche destiné à vérifier ses compétences. On le récoltera s’il a été embauché et pour établir son contrat de travail.
La donnée doit être indispensable au traitement
Vous devez en avoir impérativement besoin pour effectuer le traitement que vous souhaitez établir.
Ex : Vous avez besoin du nom et du prénom d’un candidat pour planifier un entretien d’embauche.
La donnée doit être exacte et tenue à jour
Toutes les données inexactes doivent être supprimées ou rectifiées.
Ex : Lorsque vous avez embauché Mr Martin, il habitait au 1 rue de la Paix. Aujourd’hui, il habite au 36 rue des Tilleuls. Vous n’avez plus besoin de conserver son ancienne adresse.
En pratique, comment puis-je respecter ce principe ?
Mettre en place des bonnes pratiques au sein de l’entreprise
Pour s’assurer de respecter le principe de minimisation des données, cela passe par l’instauration de process en interne ainsi qu’une formation adéquate de votre personnel, notamment les chargés de ressources humaines et de recrutement qui, à tout moment, doivent se poser les bonnes questions sur la pertinence de la collecte des données. Cette question est primordiale notamment au moment :
- Des entretiens d’embauche, où l’entreprise va collecter nombre de données sur nombre de candidats (traiter tous les CV reçus, faire passer les entretiens d’embauche, effectuer les tests de compétences, etc.).
- Du recrutement, où, pour l’établissement du contrat de travail et la réalisation des formalités auprès des autorités administratives compétentes, l’entreprise va collecter les données nécessaires auprès du nouvel employé.
Il faudra donc se poser les questions suivantes :
« De quelles données ai-je strictement besoin ?»
On se limite aux données nécessaires, on se pose des questions sur la nature des données collectées, leur quantité, leur précision face aux objectifs poursuivis.
« Est-ce que cette donnée m’est indispensable où existe-t-il une solution alternative ? »
On pensera notamment à la question de la surveillance des locaux par une caméra. Si cela a pour simple objectif de contrôler les horaires de travail des salariés, on privilégiera par exemple la mise en place d’une pointeuse.
« Ai-je vraiment besoin de cette donnée ou simplement à titre préventif ? »
On bannira absolument toute collecte de données réalisée à titre préventif. Le « on ne sait jamais », « peut-être », « je pourrais en avoir besoin », n’a plus sa place. On collectera la donnée en question le jour où l’on saura qu’on en a vraiment besoin.
Quelques exemples pratiques
Puisque la théorie a ses limites, nous vous proposons ici quelques exemples qui vous permettront d’y voir plus clair sur la pertinence de la collecte des données et de voir si, en pratique, vous respectez le principe de minimisation.
« Puis-je recueillir des informations sur la situation familiale d’un candidat lors d’un test de compétences ?»
Non. Le test a pour objectif de vérifier ses compétences.
Le fait de savoir que le candidat est marié, divorcé ou a des enfants – en dehors du fait que cela relève de la vie privée du candidat qui n’est pas en obligation de vous répondre – cela n’est absolument pas pertinent pour la finalité du traitement, qui est d’évaluer les compétences du candidat.
« Mon employé a demandé un congé pour le décès de sa mère. C’est la deuxième fois en un an qu’il m’invoque la même excuse, puis-je lui demander un justificatif ? »
Oui. Quand un salarié demande à bénéficier d’un congé pour un décès ou une maladie d’un proche, vous pouvez exiger de lui la production de documents qui permettent d’attester de la réalité de la situation.
On fera toutefois preuve de compassion et on aura recours à cette demande uniquement si vous avez un doute sévère sur l’excuse invoquée par le salarié.
« Puis-je installer des caméras de vidéosurveillance ? »
La question de la vidéosurveillance est particulièrement encadrée, surtout dans le milieu du travail. Certains endroits sont à proscrire, comme les toilettes ou lieux de pause (à quoi cela vous servirait d’avoir des images de vos salariés en pause cigarette ?). De même que les locaux syndicats ou ceux des représentants du personnel, qui ne peuvent faire l’objet d’aucune surveillance.
Attention ! Concernant le recours à la vidéo surveillance de vos employés, nous vous invitons à lire l’article publié prochainement « Puis-je mettre en place un système de vidéosurveillance dans mon entreprise ? » pour approfondir le sujet et connaître les modalités réglementaires, législatives et pratiques pour recourir à cette méthode de collecte des données de vos salariés.
Pour vous aider, la Commission Nationale Informatique et Libertés a mis en place un tableau (voir son « Référentiel relatif aux traitements des données personnelles mis en œuvre aux fins de gestion du personnel ») permettant de regrouper les données qu’un employeur peut collecter sur un salarié en fonction de la situation. Nous en proposons ci-après un récapitulatif succinct :
| Catégories de données | Exemples de données qu’un employeur peut collecter |
| Comment identifier mon employé ? | Nom, prénom, sexe, date et lieu de naissance, adresse, situation familiale, type de permis de conduire, autorisations de travail, distinctions honorifiques, etc. |
| Suivi de la carrière de mon employé | Date et conditions de recrutement, simulation de carrière, sanctions disciplinaires, entretiens d’évaluations, résultats, diplômes, certificats et attestations, langues pratiquées, etc. |
| Établissement des fiches de paie | N° de sécurité sociale dans les conditions posées par la loi, enfants à charge, congés et absences ; |
| Gestion des déclarations d’accidents et maladie | Coordonnées du médecin du travail, date de l’accident, motif de l’arrêt ; |
| Outils et matériel mis à disposition de l’employé dans le cadre de son travail | Agendas professionnels, annuaires internes et organigrammes, tâches des personnels, dotations, données de connexion, messagerie électronique |
| Relations avec les instances représentatives de personnel | Convocations, documents préparatoires, comptes rendus, procès-verbaux directs |
| Activités sociales et mises en œuvre par l’employeur | Identité de l’employé et de ses ayants droit, revenus, avantages et prestations demandés |
Pour savoir quelles données vous pouvez collecter sur un salarié et comment respecter le principe de minimisation, nous vous recommandons donc vivement de faire appel à votre Délégué à la Protection des Données (DPO) ou à votre avocat spécialisé en droit des données personnelles, qui sauront vous conseiller au mieux et vous éviter les impairs !