L’information des personnes sur la manière dont leurs données sont traitées est un des droits essentiels de la protection des données personnelles, raison pour laquelle la CNIL se montre souvent peu clémente à l’égard des responsables de traitement qui manquent de transparence.

Si ce principe de l’information des personnes est désormais bien connu des entreprises, il parait opportun de revenir sur les bonnes pratiques à adopter en la matière.

Quel support privilégier pour procéder à l’information?

Certaines sociétés font parfois le choix d’insérer une clause relative à la protection des données personnelles dans les contrats de travail.

Bien qu’une telle clause puisse être à visée uniquement informative, il nous semble préférable de ne pas «contractualiser» les dispositions relatives à la manière dont la société collecte et traite les données personnelles des salariés et de remettre par exemple une note d’information, distincte du contrat de travail.

Cette option a l’avantage de la flexibilité, une note pouvant plus facilement être mise à jour.

En pratique, elle pourra être remise avec le livret d’accueil de la société et tenue à la disposition des salariés sur l’intranet de la société, ce qui permet de satisfaire à l’exigence d’accessibilité posée par l’article 12 §1 du RGPD (1).

Si la société souhaite toutefois conserver une clause relative à la protection des données personnelles dans les contrats de travail, cette clause pourrait alors consister en un simple renvoi vers la note relative à la protection des données personnelles des salariés. En tout état de cause, il conviendra de préciser que cette mention dans le contrat de travail est purement informative.

Qui sont les destinataires de l’information?

Si l’on pense de manière quasiment systématique à informer les salariés de la manière dont la société collecte et traite leurs données personnelles, on oublie trop souvent d’en informer les candidats à l’embauche, en particulier lorsque leur candidature n’est pas retenue.

Là encore, il est recommandé de leur remettre une note relative à la protection des données personnelles lors de la phase de recrutement (ce d’autant plus que les candidats n’auront pas accès à l’intranet de la société).

Pour des raisons pratiques, il peut être décidé d’établir une note d’information commune qui sera remise aux candidats et aux salariés, sous réserve qu’il y soit bien distingué les traitements de données mis en œuvre dans le cadre du recrutement et de l’embauche.

Quel doit être le contenu de l’information?

Hormis les informations prévues aux articles 13 et 14 du RGPD(2), il résulte de notre expérience, qu’il est utile de préciser dans la note d’information destinée aux salariés (et/ou candidats à l’embauche le cas échéant) que :

• • leurs données personnelles peuvent être transmises à un tiers dans le cadre d’un audit (notamment audit de conformité ou audit d’acquisition) et être traitées à cette fin ;

• • leurs données personnelles peuvent être utilisées dans le cadre d’une enquête interne ou dans le cadre d’un contentieux (et être transmises à un tiers le cas échéant).

Enfin, il est opportun de rappeler (notamment pour les filiales françaises de groupes étrangers) que la note d’information doit être rédigée en français.

En effet, bien que le RGPD ne prévoit pas expressément la nécessité de traduire en français l’information remise aux personnes concernées, cela se déduit de l’exigence d’une information compréhensible posée par l’article 12§1 du RGPD ainsi que de la loi relative à l’emploi de la langue française, dite «loi Toubon (3)».

La nécessité de procéder à une information des salariés (et des candidats à l’embauche) sur la manière dont l’entreprise traite leurs données ne doit pas être négligée. En effet, le non-respect de cette obligation expose le responsable de traitement à des sanctions administratives et pénales qui peuvent être très lourdes mais aussi au versement de dommages-intérêts aux personnes lésées (sans oublier le préjudice réputationnel pour la société).

La plus grande vigilance s’impose donc.

(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016
(2) Chapitre III – Droits de la personne concernée – CNIL
(3) Loi n°94-665 du 4 aout 1994 relative à l’emploi de la langue française

Ludovique Clavreul, Avocate associée, CMS Francis Lefebvre Avocats

Sophie Montagne, Avocate, CMS Francis Lefebvre Avocats

Alertes professionnelles et protection des données personnelles : Mise à jour du référentiel CNIL relatif aux dispositifs d’alerte professionnelle (Ludovique Clavreul et Sophie Montagne – 22/09/23)

Traitement des données des candidats : La CNIL publie un guide sur le recrutement (Aurélie Parchet et Maxime Hanriot – 03/05/23)