C'est quoi les données personnelles du salarié détenues par l’employeur et le salarié y a-t-il accès dans le cadre du RGPD ?

Définition

Le RGPD (Règlement Général sur la Protection des Données, Règl. UE 2016/679) définit la donnée à caractère personnel comme « toute information permettant d'identifier directement (nom, prénom, par exemple) ou indirectement (numéro client, numéro de téléphone, numéro d'immatriculation pour la gestion d'un parking, donnée biométrique, etc.) une personne ».

Cette définition couvre toute information se rapportant à une personne physique identifiée ou identifiable, que l'information concerne la vie professionnelle ou privée, peu importe le support ou le procédé utilisé (données d'identité, données biométriques, données de géolocalisation, profil, numéro d'identification…sur tout support (clé USB, disque dur, espace de stockage, film de caméra, puce…)).

Pour les salariés, sont considérées comme données personnelles, par exemple :

- les données d'identité (nom, prénom, photographie, date et lieu de naissance, nationalité, coordonnées professionnelles et personnelles, situation familiale, etc.),
- les données relatives à la situation professionnelle (lieu de travail, numéro d'identification interne, emploi occupé, ancienneté, etc.),
- les données relatives à la carrière, la formation, l'évaluation professionnelle,
- les données relatives à la santé (dans des conditions très restrictives),
- les données concernant les rémunérations, bulletins de salaire, données biométriques et de pointage, géolocalisation, évaluations, agendas...

Accès du salarié à ses données personnelles

Le salarié dispose d'un droit d’accès à ses données personnelles détenues ou traitées par son employeur. Ce droit, expressément prévu par l'article 15 du RGPD, permet au salarié :

- d'obtenir la confirmation que des données le concernant sont ou non traitées,
- d'accéder à ces données et d’en obtenir une copie,
- d'obtenir des informations complémentaires comme les finalités du traitement, les catégories de données concernées, les destinataires, la durée de conservation, etc.

Le salarié peut exercer ce droit par voie électronique ou sur place, et doit justifier de son identité. L’employeur (responsable du traitement) a un mois pour répondre à la demande, délai qui peut être prolongé de deux mois en cas de complexité ou de nombre important de demandes, à condition d’en informer le salarié dans le mois suivant la demande.

En cas de refus ou d’absence de réponse, le salarié peut saisir l’autorité de contrôle soit la CNIL.

Principales exceptions et précisions

Le droit d'accès ne s'applique pas si les données sont conservées sous une forme excluant tout risque d’atteinte à la vie privée et à la protection des données (par exemple, usage pour statistiques anonymes ou recherche scientifique) et pour une durée limitée à cet usage.

L’accès à certaines données sensibles (par exemple, données de santé) est strictement encadré et peut être limité dans l’intérêt de la sécurité et de la confidentialité, ou réservé à des professionnels habilités.

En résumé

Le RGPD confère aux salariés le droit d’accéder à l’ensemble des données personnelles les concernant détenues ou traitées par l’employeur, sous réserve des exceptions prévues par la loi, notamment pour certaines données sensibles ou à usage strictement statistique ou scientifique. Ce droit s’exerce dans des conditions précises et dans des délais relativement courts, l’employeur étant tenu d’y répondre et de justifier tout refus.

Il peut être très intéressant d’exercer ce droit afin de constituer son dossier devant le Conseil de Prud’hommes et obtenir ainsi des éléments de preuve par exemple pour calculer des heures supplémentaires non payées.