Au sein de l’entreprise, nous avons tendance à oublier qu’un·e employé·e est un·e internaute comme les autres, principalement parce que plusieurs de leurs données personnelles sont essentielles à la gestion de leur carrière :

leur identité : CNI, Passeport, Carte vitale, Prénom, Nom, Photos… ;

leur finance : salaire, RIB, situation fiscale, notes de frais… ;

leur localisation : adresse personnelle, trajet de leur véhicule de fonction, déplacements défrayés… ;

leurs échanges : messagerie instantanée, conversation téléphonique, e-mail… ;

leurs actions : livrables, temps de travail (pointage), géolocalisation, rendez-vous (agenda partagé), absences (arrêts, congés etc.) …

Même si ces informations sont communes à la gestion de l’entreprise, le RGPD régule aussi la collecte et le traitement des données sur les employé·e·s, et ce, au même titre que tous les citoyen·ne·s européen·ne·s. Eux aussi peuvent exercer leurs droits de réclamer transparence, consentement et réversibilité du traitement de leur données professionnelles.

Dans un contexte d’intensification des projets internes de transformation digitale, la mise en place d’une politique RGPD claire et transparente, quant à la protection des données des employé·e·s, peut renforcer la confiance envers les nouveaux usages numériques.

Voici les principales actions à passer en revue pour collecter, traiter, stocker et contrôler l’activité de vos salariés sur leurs outils de travail en ligne, tout en respectant le RGPD :
Ce qu’on peut faire
  • Contrôler et limiter l’utilisation personnelle d’internet (filtrage de site, détection de virus, filtre anti-spam, mesure d’envoi des e-mail…)
  • Contrôler les outils de messagerie (détection de virus, limites d’envois, anti-spam, reporting etc.)
  • Lire ponctuellement les contenus envoyés et/ou conçus par les employés tant qu’il s’agit de contenus professionnels, sans la mention « Privé » ou « Personnel »
  • Prendre ponctuellement connaissance des sites consultés via les outils mis à disposition par l’entreprise, sur les horaires de travail uniquement
  • Diffuser les messages et les contenus d’un·e employé·e à un expert juridique en cas d’enquête judiciaire en cours impliquant le/la dit·e employé·e
Ce qu’on ne peut pas faire
  • Recevoir une copie automatique des messages échangés dans l’entreprise
  • Surveille et contrôler en permanence les messages et contenus des employés
  • Mettre en place des keyloggers sans un motif de sécurité
  • Conserver les logs de connexion plus de 6 mois
  • Consulter les messages et contenus personnels ou privés des employés même s’il est interdit d’utiliser les outils de l’entreprise à des fins personnels
  • Consulter des fichiers identifiés comme Personnel ou Privé sans la présence de l’employé et/ou sans l’appréciation des juridictions
  • Réclamer les identifiants et mots de passe des employés en dehors de situations exceptionnelles où il est nécessaire de récolter ses contenus pour la poursuivre de l’activité (Ex : Absence / Congés…)
Ce qu’on doit faire
  • Consulter et/ou informer les représentants et gestionnaires du personnel avant la mise en œuvre d’un dispositif de contrôle des outils informatiques
  • Communiquer aux Employés et aux Prestataires, toutes les informations relatives à :
    • La collecte des informations les concernant individuellement
    • Les objectifs et aux finalités de traitement de leurs données
    • Les durées de conservation de leurs données
    • L’identité des destinataires et personnes habilités au traitement de leurs données
    • L’exercice de leurs droits d’opposition, d’accès et de rétractation
    • Le cadre légal du dispositif de contrôle
  • Associer le/la DPO, si l’entreprise en a désigné un·e, à chaque mise en œuvre de dispositif de collecte et de traitement de données relatives aux employé·e·s.
  • Inscrire les différents systèmes de contrôle des outils informatiques au Registre des activités de traitement tenu par l’Employeur.

Enfin, si l’entreprise fait appel à des prestataires (agence, consultants, freelance) et fournisseurs externes (intégrateur, éditeur, solution SaaS…) pour mettre en œuvre ces dispositifs, il est également de la responsabilité de l’Employeur de contrôler et garantir la sécurité des données des Employés. La CNIL et l’Inspection du Travail restent des instances fiables pour orienter l’entreprise quant aux bonnes pratiques à mettre en place.