Données personnelles et droit du travail

Un employeur traite des centaines de données personnelles sur chaque salarié : état civil, coordonnées bancaires, évaluations, arrêts maladie, badge d’accès, parfois géolocalisation. Le droit du travail encadre la relation employeur-salarié, mais c’est le RGPD qui fixe les règles de traitement de ces données. L’articulation entre ces deux corpus juridiques est une source constante de difficultés pratiques.

Quelles données personnelles l’employeur peut-il collecter ?

Le principe de minimisation des données (Art. 5(1)© RGPD) s’applique pleinement en contexte professionnel. L’employeur ne doit collecter que les données strictement nécessaires à la finalité poursuivie.

Données autorisées

En pratique, les données légitimement collectées dans le cadre de la gestion du personnel comprennent : l’identité du salarié (nom, prénom, date de naissance, numéro de sécurité sociale), les coordonnées personnelles et professionnelles, les informations contractuelles (poste, rémunération, date d’entrée, type de contrat), les données bancaires pour le versement du salaire, les données relatives aux absences et congés, les évaluations professionnelles et les données nécessaires aux obligations légales de l’employeur (déclarations sociales, médecine du travail).

Données interdites ou sensibles

Certaines données ne peuvent jamais être collectées dans le cadre professionnel, sauf exception légale stricte. L’employeur ne peut pas demander le numéro de sécurité sociale à un candidat avant l’embauche, collecter des informations sur l’appartenance syndicale (sauf pour la gestion des heures de délégation), ni traiter des données sensibles au sens de l’Art. 9 RGPD — opinions politiques, convictions religieuses, orientation sexuelle, données de santé — sans base légale spécifique.

La CNIL rappelle régulièrement que les questions relatives à la vie privée du salarié (situation familiale détaillée, projets de grossesse, loisirs) n’ont pas leur place dans un dossier RH, sauf si elles sont directement liées à une obligation légale (par exemple, le nombre d’enfants à charge pour le calcul des cotisations).

Bases légales applicables en contexte de travail

La question de la base légale est particulièrement délicate en droit du travail. Le consentement du salarié est rarement une base juridique valable en raison du déséquilibre inhérent à la relation de travail — le salarié n’est pas en position de refuser librement. Le Comité européen de la protection des données (EDPB) l’a confirmé dans ses Guidelines 05/2020 sur le consentement.

Les bases légales les plus fréquemment utilisées par l’employeur sont les suivantes.

L’exécution du contrat de travail (Art. 6(1)(b) RGPD) couvre le traitement des données nécessaires à la gestion de la relation contractuelle : paie, gestion des congés, évaluations prévues au contrat.

L’obligation légale (Art. 6(1)© RGPD) justifie les traitements imposés par le Code du travail, le Code de la sécurité sociale ou le Code général des impôts : déclarations sociales, registre unique du personnel, document unique d’évaluation des risques (DUER).

L’intérêt légitime (Art. 6(1)(f) RGPD) peut fonder certains traitements comme la gestion des accès aux locaux, la vidéosurveillance des espaces de travail ou la gestion des litiges, à condition que l’employeur ait réalisé la mise en balance des intérêts (triple test) et documenté cette analyse.

Information et transparence envers les salariés

L’employeur doit informer chaque salarié des traitements de données le concernant, conformément à l’Art. 13 du RGPD. Cette information doit être fournie au plus tard au moment de la collecte — concrètement, lors de l’embauche ou lors de la mise en place d’un nouveau dispositif.

Contenu de l’information

La notice d’information doit mentionner l’identité du responsable de traitement (l’entreprise), les finalités de chaque traitement (gestion de la paie, contrôle des accès, évaluation professionnelle), la base légale correspondante, les catégories de destinataires (cabinet comptable, organisme de formation, URSSAF), les durées de conservation applicables, ainsi que les droits du salarié et les modalités pour les exercer.

Forme de l’information

Il est recommandé de formaliser cette information dans un document annexé au contrat de travail ou au règlement intérieur. Un affichage dans les locaux ne suffit pas à remplir l’obligation de transparence pour des traitements individualisés. Dans mon expérience de conseil auprès d’entreprises, la meilleure pratique consiste à remettre une notice de protection des données au moment de la signature du contrat, avec accusé de réception.

Droits des salariés sur leurs données

Les salariés bénéficient de l’intégralité des droits prévus par le RGPD. En pratique, le droit d’accès (Art. 15 RGPD) est le plus fréquemment exercé en contexte professionnel. La CNIL a actualisé en janvier 2025 sa fiche sur le droit d’accès des salariés, en insistant sur le fait que ce droit couvre également les courriels professionnels contenant des données personnelles du salarié.

Droit d’accès en contexte de travail

L’employeur doit répondre à une demande d’accès dans un délai d’un mois, extensible de deux mois en cas de complexité. La première copie des données est gratuite. Le périmètre de la demande peut être très large : fichiers RH, évaluations, courriels mentionnant le salarié, données de vidéosurveillance, logs de badgeage.

En cas de litige prud’homal, le droit d’accès est souvent utilisé par les salariés pour obtenir des éléments de preuve. L’employeur ne peut pas refuser de communiquer les données au motif qu’elles pourraient être utilisées dans un contentieux — le droit d’accès est inconditionnel quant à ses motivations.

Droit à l’effacement et ses limites

Le droit à l’effacement (Art. 17 RGPD) s’applique également, mais avec des limitations importantes en droit du travail. L’employeur peut refuser l’effacement lorsque la conservation est nécessaire au respect d’une obligation légale (conservation des bulletins de paie pendant 5 ans, par exemple) ou à la constatation, l’exercice ou la défense de droits en justice.

Durées de conservation des données RH

La question des durées de conservation est l’un des sujets les plus complexes en matière de données d’emploi, car elle relève de multiples réglementations.

Les principales durées à respecter sont les suivantes. Les données courantes du dossier salarié (contrat, avenants, fiches de poste) doivent être conservées pendant la durée de la relation de travail, puis archivées pendant 5 ans après le départ du salarié — délai correspondant à la prescription en droit du travail (Art. L. 1471-1 du Code du travail). Les bulletins de paie doivent être conservés pendant 5 ans (Art. L. 3243-4 du Code du travail). Le registre unique du personnel doit être conservé 5 ans après le départ du salarié. Les données relatives aux accidents du travail doivent être conservées pendant une durée qui peut aller jusqu’à 30 ans en raison des règles de prescription applicables aux maladies professionnelles. Les données de vidéosurveillance ne doivent en principe pas être conservées plus de 30 jours, sauf procédure judiciaire en cours. Les données de géolocalisation des véhicules professionnels doivent être conservées 2 mois maximum selon la recommandation de la CNIL.

Ayant travaillé 6 ans au sein de la DCSSI pour les services du Premier Ministre, je mesure l’importance d’une politique de conservation rigoureuse. La suppression des données à échéance est tout aussi importante que leur protection pendant la conservation.

Cas pratiques : dispositifs de surveillance au travail

Vidéosurveillance

La vidéosurveillance des locaux professionnels est autorisée pour des finalités de sécurité des biens et des personnes, mais elle ne peut pas servir à surveiller en permanence les salariés à leur poste de travail. L’employeur doit informer individuellement chaque salarié de l’existence du dispositif, consulter le comité social et économique (CSE) et respecter le principe de proportionnalité. Les caméras ne doivent pas filmer les espaces de pause, les vestiaires ou les locaux syndicaux.

Géolocalisation des véhicules

La géolocalisation des véhicules professionnels est encadrée par les recommandations de la CNIL. Elle ne peut pas être utilisée pour contrôler le respect des limitations de vitesse par le salarié, ni pour surveiller un représentant du personnel dans l’exercice de son mandat. Le salarié doit pouvoir désactiver le dispositif en dehors de ses heures de travail lorsque le véhicule peut être utilisé à des fins privées.

Contrôle de l’utilisation d’internet et de la messagerie

L’employeur peut contrôler l’utilisation d’internet et de la messagerie professionnelle, mais ne peut pas accéder aux messages identifiés comme personnels par le salarié. La jurisprudence de la Cour de cassation (arrêt Nikon du 2 octobre 2001) pose le principe du respect de la vie privée du salarié sur son lieu de travail. En pratique, il est recommandé de définir les règles d’utilisation dans une charte informatique annexée au règlement intérieur.

Télétravail

Le développement du télétravail a multiplié les dispositifs de surveillance à distance : logiciels de capture d’écran, surveillance de l’activité clavier/souris, outils de suivi du temps de travail. La CNIL considère que la surveillance permanente et systématique des salariés en télétravail est disproportionnée. Seuls les outils de suivi du temps de travail répondant à une obligation légale (Art. L. 3121-60 du Code du travail pour les forfaits jours) ou proportionnés à un objectif légitime sont admissibles.

Le registre des traitements RH

L’employeur doit inscrire l’ensemble des traitements de données RH dans son registre des activités de traitement (Art. 30 RGPD). En pratique, les traitements suivants doivent y figurer : gestion de la paie, gestion du recrutement, gestion des absences et congés, formation professionnelle, évaluation et gestion des carrières, contrôle des accès aux locaux (badge), vidéosurveillance, géolocalisation le cas échéant, gestion des contentieux sociaux, et gestion des alertes professionnelles (dispositif de signalement interne).

Ce registre doit être tenu à jour et mis à la disposition de la CNIL en cas de contrôle. C’est ce type de travail de documentation que Legiscope automatise, en permettant de générer et maintenir un registre des traitements structuré et conforme.

Sanctions en cas de manquement

Les manquements relatifs à la protection des données des salariés exposent l’employeur à des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83 RGPD). Mais les conséquences sont aussi prud’homales : un traitement de données illicite peut entraîner la nullité d’un licenciement fondé sur des éléments obtenus de manière non conforme.

La CNIL a prononcé plusieurs sanctions en matière de données d’emploi. En 2023, la société AMAZON FRANCE LOGISTIQUE a été sanctionnée à hauteur de 32 millions d’euros pour un système de surveillance des salariés jugé excessif (scanners de productivité). La délibération SAN-2024-020 a également sanctionné une entreprise pour défaut d’information des salariés sur un dispositif de géolocalisation.

Au-delà des sanctions CNIL, le Code du travail prévoit des sanctions pénales spécifiques : l’atteinte à la vie privée du salarié (Art. 226-1 du Code pénal) est punie de un an d’emprisonnement et 45 000 euros d’amende.

Ce qu’il faut retenir

• Le consentement du salarié est rarement une base légale valable — privilégiez l’exécution du contrat, l’obligation légale ou l’intérêt légitime pour fonder vos traitements RH.
• L’information individuelle de chaque salarié est obligatoire, idéalement sous forme de notice remise à l’embauche avec accusé de réception.
• Le droit d’accès des salariés couvre les courriels professionnels et les données de surveillance — l’employeur dispose d’un mois pour répondre.
• Les durées de conservation varient de 30 jours (vidéosurveillance) à 30 ans (accidents du travail) — documentez chaque durée et sa base légale.
• La surveillance permanente des salariés en télétravail est considérée comme disproportionnée par la CNIL.

FAQ

L’employeur peut-il refuser une demande d’accès d’un salarié ?

Non, le droit d’accès prévu à l’Art. 15 du RGPD est inconditionnel. L’employeur ne peut pas refuser au motif que les données pourraient être utilisées dans un contentieux prud’homal. Il doit répondre dans un délai d’un mois, extensible de deux mois en cas de complexité, en fournissant une copie gratuite des données.

Quelles données l’employeur peut-il conserver après le départ du salarié ?

L’employeur peut conserver les données nécessaires au respect de ses obligations légales : bulletins de paie (5 ans), registre unique du personnel (5 ans après le départ), documents contractuels (5 ans, prescription droit du travail). Les données de surveillance (vidéo, badge, géolocalisation) doivent être supprimées selon leurs durées propres, indépendamment du départ du salarié.

L’employeur peut-il surveiller les emails personnels d’un salarié ?

Non. La jurisprudence française, confirmée depuis l’arrêt Nikon (Cass. soc., 2 octobre 2001), protège le secret des correspondances personnelles du salarié, même émises depuis un poste professionnel. L’employeur peut accéder aux messages identifiés comme professionnels, mais pas à ceux marqués comme personnels ou privés, sauf en présence du salarié ou après autorisation judiciaire.

Le CSE doit-il être consulté pour chaque nouveau traitement RH ?

Le CSE doit être informé et consulté préalablement à la mise en oeuvre de tout dispositif permettant le contrôle de l’activité des salariés (Art. L. 2312-38 du Code du travail). Cela inclut la vidéosurveillance, la géolocalisation, les outils de contrôle de la messagerie et les logiciels de suivi d’activité. En revanche, les traitements administratifs classiques (paie, congés) ne nécessitent pas de consultation spécifique.