Article 88 RGPD : données dans les relations de travail

L’article 88 du RGPD est l’une des dispositions les plus déterminantes du règlement pour les directions des ressources humaines françaises — et l’une des moins lues. Il ouvre aux États membres la faculté d’adopter des règles « plus spécifiques » pour encadrer le traitement des données des salariés, et il subordonne cette faculté à des garanties matérielles précises sur la dignité, la transparence, les transferts intra-groupe et les systèmes de contrôle sur le lieu de travail. La CJUE en a fait, depuis l’arrêt C-34/21 Hauptpersonalrat der Lehrerinnen und Lehrer du 30 mars 2023, un instrument à double tranchant : les législations nationales antérieures à 2018 ne survivent qu’à la condition de respecter le standard d’effet utile imposé par le règlement. Dans ma pratique de conseil, je constate que la plupart des employeurs raisonnent uniquement en Code du travail et ignorent l’articulation avec l’Art. 88 RGPD — alors que toute la jurisprudence sociale récente s’écrit à l’interface des deux corps de règles. Voici l’analyse paragraphe par paragraphe, la jurisprudence structurante CEDH/CJUE et un plan opérationnel pour 2026.

Ce que dit l’article 88 du RGPD

L’Art. 88 RGPD s’intitule « Traitement de données dans le cadre des relations de travail ». Il appartient au chapitre IX du règlement, intitulé « Dispositions relatives à des situations particulières de traitement ». Ce chapitre regroupe les articles 85 à 91 qui autorisent ou imposent aux États membres d’adapter le RGPD à des contextes sectoriels — liberté d’expression et information (Art. 85), accès du public aux documents officiels (Art. 86), numéro d’identification national (Art. 87), relations de travail (Art. 88), recherche scientifique et statistiques (Art. 89), secret professionnel (Art. 90), Églises et associations religieuses (Art. 91). L’Art. 88 est, de loin, celui qui a le plus de conséquences opérationnelles pour les entreprises.

L’article comporte trois paragraphes que je commenterai successivement.

« 1. Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la cessation de la relation de travail. »

Le considérant 155 précise que ces règles peuvent porter sur les conditions d’exercice de droits, sur la transparence des traitements, sur la surveillance et sur les transferts au sein d’un groupe — autant de sujets qui couvrent l’intégralité du cycle de vie de la donnée salariée.

Article 88(1) : la faculté nationale de règles plus spécifiques

Le premier paragraphe articule trois éléments distincts : un instrument (loi ou convention collective), une finalité (la protection des droits et libertés des salariés), une liste indicative et non limitative de finalités couvertes. Chacun mérite un commentaire séparé.

L’instrument : loi ou convention collective

L’Art. 88(1) ouvre une faculté — pas une obligation. Les États membres choisissent d’adopter ou non des règles spécifiques. La France a choisi un dispositif mixte qui combine la loi, le règlement et la jurisprudence sociale, complété par des conventions collectives sectorielles.

Le socle légal français repose principalement sur les articles suivants :

• Art. L. 1121-1 du Code du travail sur la proportionnalité de toute restriction aux libertés des salariés (« nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché »). C’est la matrice du contrôle de proportionnalité que la Cour de cassation applique systématiquement aux dispositifs de surveillance.
• Art. L. 1221-6 du Code du travail sur la pertinence des informations demandées au candidat lors du recrutement, et Art. L. 1221-8 sur l’obligation d’information préalable du candidat sur les méthodes et techniques d’évaluation.
• Art. L. 1221-9 du Code du travail sur l’obligation d’information du salarié sur tout dispositif de collecte de données personnelles le concernant.
• Art. L. 1222-4 du Code du travail sur l’obligation d’information préalable du salarié sur toute information le concernant collectée par un dispositif n’ayant pas été préalablement porté à sa connaissance.
• Art. L. 2312-38 et L. 2312-39 du Code du travail sur la consultation obligatoire du comité social et économique (CSE) avant la mise en place de tout moyen ou technique permettant le contrôle de l’activité des salariés.
• Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée, dont l’Art. 6 reprend les bases légales, et qui complète le RGPD sur les traitements particuliers (badgeuses, vidéosurveillance, géolocalisation).

À cela s’ajoutent les recommandations CNIL non contraignantes mais structurantes : guide CNIL « les outils informatiques au travail » (édition mise à jour 2023), recommandation CNIL n° 2019-001 du 10 janvier 2019 sur le télétravail, délibération n° 2018-051 du 1er février 2018 sur les méthodes d’évaluation des compétences au recrutement.

Le critère « plus spécifique » : l’arrêt CJUE C-34/21

Le mot clé du paragraphe est « plus spécifique ». La CJUE a tranché son interprétation dans l’arrêt C-34/21 Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium du 30 mars 2023, à propos d’une législation du Land de Hesse autorisant la captation vidéo des cours en distanciel pendant la pandémie.

La Cour pose un test à deux étages.

D’abord, la disposition nationale doit avoir pour objet propre la protection des droits et libertés dans le contexte des relations de travail — pas simplement reprendre ou paraphraser le RGPD. Une norme qui se contente de répéter les principes de l’Art. 5 ou d’invoquer l’intérêt légitime de l’employeur sans ajouter une protection spécifique aux salariés ne satisfait pas le critère.

Ensuite, la disposition doit comporter des mesures appropriées et spécifiques au sens de l’Art. 88(2) (commenté ci-dessous). À défaut, elle est dépourvue d’effet utile dans le cadre de l’Art. 88(1) et le juge national doit l’écarter au profit de l’application directe du RGPD — Art. 6(1) RGPD en particulier.

La portée de l’arrêt est considérable. Il signifie que les dispositions nationales antérieures à 2018 ne bénéficient pas d’une présomption de conformité à l’Art. 88. Chaque article du Code du travail ou de la LIL invoqué comme base d’un traitement de données salariées peut être confronté à ce double test. La Cour de cassation française a commencé à intégrer cette grille dans plusieurs arrêts de la chambre sociale en 2024-2025, notamment sur la vidéosurveillance et la géolocalisation des véhicules professionnels.

La liste des finalités couvertes

L’Art. 88(1) énumère neuf finalités, introduites par l’adverbe « notamment » — la liste est donc indicative, pas limitative.

Recrutement. Couvre la collecte des CV, la conduite des entretiens, les tests psychotechniques, le sourcing en ligne, l’analyse des profils sociaux professionnels. La CNIL a précisé dans sa délibération n° 2018-051 du 1er février 2018 que les outils d’évaluation algorithmique relèvent de l’Art. 22 RGPD si la décision finale est entièrement automatisée — voir l’analyse complète sur l’Art. 22 RGPD et le guide IA et recrutement. Pour les obligations pratiques RH, voir le guide RGPD ressources humaines.

Exécution du contrat de travail. Couvre la gestion administrative (paie, congés, absences), le suivi de l’activité (badgeuses, logiciels métier), la formation, l’évaluation professionnelle.

Respect des obligations légales ou conventionnelles. Bulletins de salaire, déclarations sociales (DSN), médecine du travail, registre du personnel, registre unique du personnel. La base légale est l’Art. 6(1)© RGPD — obligation légale.

Gestion, planification et organisation du travail. SIRH, plannings, gestion des temps, télétravail (voir le guide dédié RGPD télétravail).

Égalité et diversité. Index de l’égalité professionnelle femmes-hommes, statistiques de diversité — sujet sensible articulé avec l’interdiction de principe de l’Art. 9 RGPD sur les données sensibles et le régime spécifique des données ethniques (interdiction quasi-totale en France hors recherche autorisée).

Santé et sécurité au travail. Document unique d’évaluation des risques (DUERP), médecine du travail, suivi des accidents du travail, contrôle d’alcoolémie. Les données de santé relèvent de l’Art. 9(2)(b) ou (h) selon les cas.

Protection des biens. Vidéosurveillance, contrôle d’accès, traçage informatique, DLP. C’est le domaine le plus contrôlé par la CNIL : la délibération SAN-2024-008 SAF Logistics du 28 mars 2024 (240 000 €) a sanctionné un dispositif de vidéosurveillance permanent des entrepôts comme disproportionné, sans information adéquate des salariés et sans consultation du CSE.

Exercice des droits et avantages liés à l’emploi. Intéressement, participation, complémentaire santé, retraite, mutuelle.

Cessation de la relation de travail. Solde de tout compte, certificat de travail, attestation Pôle emploi (France Travail), portabilité de la prévoyance, conservation des bulletins de paie 5 ans (Art. L. 3243-4 C. trav.).

Pour chaque finalité, le RGPD impose la cascade habituelle : base légale Art. 6, principes Art. 5 (minimisation, exactitude, durée), information Art. 13/14, sécurité Art. 32, registre Art. 30, AIPD Art. 35 si le risque est élevé.

Article 88(2) : les garanties matérielles exigées

Le deuxième paragraphe complète la faculté nationale par une exigence matérielle de garanties.

« 2. Ces règles comprennent des mesures appropriées et spécifiques pour la sauvegarde de la dignité humaine, des intérêts légitimes et des droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail. »

Quatre exigences y méritent une analyse séparée.

Dignité humaine et intérêts légitimes

La mention de la dignité humaine est inhabituelle dans le RGPD. Elle reprend une formulation que l’on retrouve dans la Charte des droits fondamentaux (Art. 1) et qui irrigue toute la jurisprudence sociale française. La Cour de cassation l’invoque pour censurer les dispositifs de contrôle attentatoires à la vie privée même lorsqu’ils respectent formellement les obligations procédurales (consultation CSE, information préalable).

Trois arrêts de la Cour européenne des droits de l’homme structurent ce standard :

• CEDH Bărbulescu c. Roumanie du 5 septembre 2017 (Grande chambre) — La surveillance des messageries personnelles d’un salarié au moyen d’un outil informatique professionnel viole l’Art. 8 CEDH si l’employeur n’a pas informé préalablement le salarié de l’étendue de la surveillance, des moyens utilisés et de la finalité poursuivie. L’arrêt pose le test des six critères Bărbulescu désormais repris par la Cour de cassation française.
• CEDH López Ribalda et autres c. Espagne du 17 octobre 2019 (Grande chambre) — La vidéosurveillance dissimulée des caissières d’un supermarché soupçonnées de vol n’est pas en soi disproportionnée si les soupçons sont sérieux, la durée brève et la zone limitée. L’arrêt admet une exception à l’obligation d’information préalable lorsque des soupçons précis le justifient.
• CEDH Antović et Mirković c. Monténégro du 28 novembre 2017 — La vidéosurveillance des amphithéâtres universitaires sans base légale claire et sans consultation préalable viole l’Art. 8 CEDH.

Ces trois arrêts forment la grille de proportionnalité que la CNIL applique en contrôle et que les conseils de prud’hommes mobilisent dans les contentieux d’admissibilité de la preuve numérique.

Transparence du traitement

L’attention particulière à la transparence renvoie aux Art. 13 et 14 RGPD. En contexte RH, la transparence se traduit par :

• une information préalable individuelle complète sur l’ensemble des dispositifs de collecte (charte informatique, livret salarié, addendum au contrat de travail) — voir le modèle charte informatique RGPD ;
• une mise à jour systématique lors de chaque évolution des outils ;
• la possibilité concrète pour le salarié d’exercer ses droits, sans crainte de représailles ;
• l’information collective via la consultation du CSE en application de l’Art. L. 2312-38 du Code du travail.

L’absence d’information préalable rend la preuve issue du dispositif irrecevable devant le juge prud’homal (Cass. soc. 10 nov. 2021, n° 20-12.263 sur la vidéosurveillance) sauf à démontrer un caractère indispensable et proportionné — exception confirmée par l’arrêt Assemblée plénière Cass. 22 décembre 2023, n° 20-20.648.

Transferts intra-groupe

L’Art. 88(2) cite expressément les « transferts de données à caractère personnel au sein d’un groupe d’entreprises ». La problématique vise principalement deux situations.

Premièrement, les transferts intra-groupe transfrontaliers lorsque le groupe a des entités hors UE. Toute mobilité internationale, tout SIRH global, tout reporting RH groupé vers une maison-mère américaine ou asiatique relève du chapitre V RGPD. Le mécanisme d’élection est généralement les règles d’entreprise contraignantes (BCR) que je commente dans l’Art. 47 RGPD, ou les clauses contractuelles types 2021/914 (voir Art. 46 RGPD et le guide transfert de données hors UE). Pour le cas particulier des injonctions extraterritoriales (CLOUD Act), voir l’Art. 48 RGPD.

Deuxièmement, les transferts intra-groupe intra-UE posent une question de base légale (Art. 6) et de qualification de responsable (Art. 26 vs Art. 28). La filiale qui transmet des données à la maison-mère pour reporting groupe doit qualifier juridiquement le flux : co-responsabilité au sens de l’Art. 26 RGPD, sous-traitance au sens de l’Art. 28 RGPD, ou intérêt légitime du groupe au titre du considérant 48. Cette qualification est rarement faite, alors qu’elle conditionne la documentation et l’information du salarié.

Systèmes de contrôle sur le lieu de travail

C’est le sujet le plus contentieux. Les principaux dispositifs concernés :

• Vidéosurveillance : encadrée par la délibération CNIL n° 2024-130 du 24 octobre 2024 (lignes directrices vidéo et audio) et l’Art. L. 251-1 et s. CSI. Les caméras ne doivent pas filmer en continu les postes de travail individuels (sauf justification d’un risque particulier de vol caractérisé).
• Géolocalisation des véhicules professionnels : délibération CNIL n° 2015-165 du 4 juin 2015 et arrêts Cass. soc. 19 décembre 2018, n° 17-14.631 et n° 17-14.631 sur la nécessité de désactivation hors temps de travail. Pour les véhicules en libre disposition, la géolocalisation pendant les déplacements personnels est interdite.
• Cybersurveillance et écoute des appels : la doctrine « principe de loyauté de la preuve » de la Cour de cassation impose une information préalable claire ; l’enregistrement permanent des conversations téléphoniques sans alerte est disproportionné (CNIL SAN-2017-006 du 27 juillet 2017 contre Hertz France).
• Outils collaboratifs type Teams, Slack, Google Workspace : exposent à des logs de connexion, statuts de présence et historiques de messagerie qui constituent autant de données de surveillance — voir le guide Teams et RGPD.
• Outils de productivité monitoring type Hubstaff, Veriato, Time Doctor : la CNIL a précisé dans sa FAQ post-pandémie que les captures d’écran à intervalles réguliers et les enregistreurs de frappe sont disproportionnés sauf circonstances très spécifiques.
• Géofencing et badgeuses : RGPD Art. 6(1)(f) intérêt légitime du contrôle horaire, avec mesures de minimisation strictes.

Trois sanctions emblématiques récentes illustrent l’intensité du contrôle CNIL : AEPD Glovoapp 2,5 M€ du 10 mai 2022 sur le contrôle algorithmique des livreurs (autorité espagnole, jurisprudence transposable) ; CNIL SAN-2024-008 SAF Logistics 240 000 € du 28 mars 2024 sur la vidéosurveillance excessive d’entrepôts ; CNIL SAN-2022-009 Discord 800 000 € du 10 novembre 2022 sur la conservation par défaut excessive — applicable par analogie aux SIRH.

Article 88(3) : l’obligation de notification à la Commission

Le troisième paragraphe est procédural.

« 3. Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1, au plus tard le 25 mai 2018 et, sans délai, toute modification ultérieure les concernant. »

La France a procédé à la notification dans le cadre de la transposition opérée par la loi n° 2018-493 du 20 juin 2018 et l’ordonnance n° 2018-1125 du 12 décembre 2018. La liste consolidée est consultable sur le portail de la Commission européenne. L’absence de notification ne prive pas la règle nationale d’effet — mais elle prive l’État membre du bénéfice de la qualification Art. 88 en cas de litige européen ultérieur.

Articulation avec les autres articles du RGPD

L’Art. 88 ne fonctionne pas en silo. Il s’articule avec :

• L’Art. 6 RGPD : la base légale du traitement RH se trouve principalement à l’Art. 6(1)(b) (exécution du contrat), 6(1)© (obligation légale) et 6(1)(f) (intérêt légitime) — la base 6(1)(a) consentement est exclue par la CNIL en contexte de subordination, sauf cas très limités (photos sur intranet, géolocalisation hors temps de travail).
• L’Art. 9 RGPD : les données de santé, syndicales, biométriques relèvent du régime renforcé Art. 9(2)(b) (obligations en matière de droit du travail) ou 9(2)(h) (médecine du travail).
• L’Art. 22 RGPD : les décisions automatisées en matière de recrutement, d’évaluation ou de management algorithmique sont encadrées — la CJUE a précisé dans C-634/21 SCHUFA du 7 décembre 2023 que le scoring entrant dans une décision finale relève du dispositif Art. 22, transposable au scoring de candidats.
• L’Art. 35 RGPD : une AIPD est obligatoire pour la plupart des dispositifs RH à risque (vidéosurveillance, géolocalisation, monitoring) — la délibération CNIL n° 2018-327 du 11 octobre 2018 liste les traitements pour lesquels l’AIPD est requise.
• Les Art. 12 à 22 RGPD : les droits des salariés s’exercent sans aucune restriction tirée de la subordination — le rejet pour incompétence est sanctionnable.
• L’Art. 30 RGPD : le registre des traitements doit cartographier l’ensemble des traitements RH.
• L’Art. 32 RGPD : les obligations de sécurité s’appliquent en miroir des règles du Code du travail sur la protection des données médicales et confidentielles.
• Les Art. 33-34 RGPD : les violations affectant les données salariées doivent être notifiées à la CNIL et communiquées aux salariés concernés selon les seuils.
• L’Art. 83 RGPD : les manquements à l’Art. 88 relèvent du plafond haut Art. 83(5)(d) puisqu’ils touchent typiquement aux Art. 5 (minimisation), 6 (base légale), 12-22 (droits) et 9 (données sensibles).

Plan opérationnel six chantiers pour 2026

Sur la base des contrôles CNIL des trois dernières années, des arrêts CJUE C-34/21 et SCHUFA, et de la jurisprudence Cass. soc. récente sur l’admissibilité de la preuve, voici la trame que j’utilise en mission de mise en conformité Art. 88.

Chantier 1 — Cartographier l’ensemble des dispositifs RH. Faire l’inventaire exhaustif : recrutement (ATS, sourcing, tests), gestion (SIRH, paie, planning, congés, formation), surveillance (vidéo, géolocalisation, badge, monitoring), communication (Teams, Slack, Workspace), équipements (BYOD, MDM, EDR), cessation (archivage, retrait des accès). Pour chacun : finalité, base légale Art. 6, données collectées, durée de conservation, destinataires, sous-traitants, transferts.

Chantier 2 — Refaire la qualification au regard de l’arrêt C-34/21. Pour chaque dispositif fondé sur une disposition nationale (Code du travail, LIL), vérifier que la règle nationale est « plus spécifique » au sens CJUE et qu’elle apporte des garanties matérielles propres. À défaut, basculer la base légale sur l’Art. 6 RGPD directement, avec mise en balance documentée Art. 6(1)(f) et test des trois pas (légitimité, nécessité, équilibre).

Chantier 3 — Mettre à jour le pack documentaire RH. Charte informatique (voir charte informatique RGPD), livret d’accueil, addendum aux contrats de travail, notices d’information Art. 13/14, FAQ sur l’exercice des droits, procédure d’accès au dossier individuel. Toutes ces pièces doivent être versionnées et notifiées par accusé de réception (signature électronique).

Chantier 4 — Consulter le CSE. Toute mise en place, modification ou suppression d’un dispositif de surveillance ou de gestion RH automatisée doit donner lieu à consultation préalable du CSE (Art. L. 2312-38 C. trav.). Tracer la consultation dans un PV, joindre l’AIPD si applicable, anticiper les questions sur les conditions de désactivation, les durées de conservation et la procédure d’exercice des droits.

Chantier 5 — Industrialiser l’exercice des droits salariés. Mettre en place un canal dédié, une procédure interne avec délai d’un mois (Art. 12), une grille d’analyse pour les demandes d’accès au dossier disciplinaire ou aux notes d’évaluation. Anticiper le contentieux prud’homal : les demandes d’accès Art. 15 sont devenues l’outil n° 1 de découverte avant saisine du conseil de prud’hommes.

Chantier 6 — Sécuriser la chaîne de sous-traitance et les transferts intra-groupe. Pour chaque éditeur SaaS RH (Workday, SAP SuccessFactors, Cornerstone, Eurécia, Lucca, Talentsoft, Personio…), conclure ou actualiser le DPA Art. 28, qualifier le rôle (responsable conjoint ou sous-traitant), encadrer les transferts hors UE (CCT 2021/914 ou BCR), prévoir une procédure de notification de violation. Pour les transferts intra-groupe, formaliser la qualification Art. 26 ou Art. 28 et publier les grandes lignes dans la politique de confidentialité du portail salarié.

Ce qu’il faut retenir

• L’Art. 88 RGPD ouvre aux États membres la faculté d’adopter des règles « plus spécifiques » pour les traitements de données salariées — la France a fait usage de cette faculté via le Code du travail et la LIL, sans corps de règle dédié.
• Depuis l’arrêt CJUE C-34/21 du 30 mars 2023, les dispositions nationales antérieures à 2018 ne survivent que si elles ont un objet propre de protection des salariés et comportent des garanties matérielles spécifiques — sinon, application directe du RGPD.
• L’Art. 88(2) impose une attention particulière à la dignité, la transparence, les transferts intra-groupe et les systèmes de contrôle sur le lieu de travail — quatre lignes de force du contentieux CNIL et prud’homal.
• L’absence d’information préalable des salariés rend la preuve issue d’un dispositif de surveillance irrecevable devant le juge prud’homal (Cass. soc. 10 nov. 2021 et Assemblée plénière 22 déc. 2023), sauf caractère indispensable et proportionné.
• Le pack documentaire RH conforme exige une cartographie complète, une qualification rigoureuse de la base légale, une consultation préalable du CSE, une AIPD pour les dispositifs à risque, et un dispositif d’exercice des droits opérationnel — l’exposition cumulée se mesure au plafond haut Art. 83(5) (20 M€ ou 4 % CA mondial).

FAQ

Quelle est la base légale d’un traitement RH au sens de l’article 6 du RGPD ?

La base légale dépend de la finalité. L’exécution du contrat de travail (paie, planning, gestion de carrière) relève de l’Art. 6(1)(b). Les obligations légales (DSN, registre du personnel, médecine du travail) relèvent de l’Art. 6(1)©. La protection des biens, la sécurité informatique, la prévention de la fraude relèvent de l’Art. 6(1)(f) intérêt légitime, sous réserve du test de mise en balance. La CNIL exclut le consentement (Art. 6(1)(a)) en contexte de subordination, sauf cas très limités où le salarié dispose d’une réelle liberté de refus (photo sur trombinoscope, géolocalisation hors temps de travail).

Faut-il consulter le CSE avant d’installer un nouveau logiciel RH ?

Oui. L’Art. L. 2312-38 du Code du travail impose la consultation préalable du comité social et économique pour tout moyen ou technique permettant le contrôle de l’activité des salariés. Cela couvre tout SIRH avec fonctionnalités de reporting individuel, tout outil de monitoring, toute solution de gestion des temps connectée. L’absence de consultation expose à un délit d’entrave (Art. L. 2317-1 C. trav.) et rend les preuves issues du dispositif irrecevables devant le juge prud’homal.

Un employeur peut-il consulter les emails d’un salarié ?

Oui, mais dans des conditions strictes. Les emails non marqués « personnel » sont présumés professionnels et accessibles à l’employeur (Cass. soc. 18 oct. 2006, n° 04-48.025 Nikon). Les emails identifiés comme personnels ne peuvent être ouverts qu’en présence du salarié ou après mise en demeure (Cass. soc. 17 mai 2005, n° 03-40.017). La fouille systématique des messageries au moyen d’outils DLP est encadrée par les critères Bărbulescu (CEDH 5 sept. 2017) : information préalable claire, finalité légitime, proportionnalité, alternatives moins intrusives examinées.

La vidéosurveillance des salariés est-elle légale ?

Oui, sous conditions cumulatives. Finalité légitime (protection des biens, sécurité), proportionnalité (pas de captation continue des postes individuels sauf justification d’un risque sérieux et caractérisé), information individuelle préalable, signalétique sur site, consultation du CSE, durée de conservation limitée (un mois maximum en règle générale selon la CNIL), AIPD si le risque est élevé. La délibération CNIL n° 2024-130 du 24 octobre 2024 fixe les lignes directrices applicables. La sanction SAN-2024-008 SAF Logistics du 28 mars 2024 (240 000 €) illustre les manquements typiques.

Quels droits le salarié peut-il exercer sur ses données ?

Tous les droits du RGPD, sans restriction tirée du lien de subordination : droit d’accès Art. 15 (très utilisé en pré-contentieux prud’homal), rectification Art. 16, effacement Art. 17 dans les limites de la prescription sociale (5 ans pour les bulletins, 30 ans pour certaines pièces), limitation Art. 18, portabilité Art. 20 pour les données fournies sur base contractuelle, opposition Art. 21 pour les traitements fondés sur l’intérêt légitime, recours à la CNIL Art. 77, action en réparation Art. 82. Le rejet pour incompétence ou silence expose au plafond haut Art. 83(5).