Employeurs : quel est le sort des données personnelles de votre salarié ?

En tant qu'employeur, vous traitez constamment des données personnelles : données de candidats, informations relatives aux salariés (contrats, fiches de paie, dossiers médicaux), etc. Le RGPD impose des obligations strictes pour ces traitements. Entre autres, vous devez respecter des durées de conservation précises pour chaque catégorie de données.

Dans ce guide, nous vous expliquons comment gérer l'ensemble de vos données personnelles en tant qu'employeur, en conformité avec le RGPD. Vous y trouverez :

✅ Les obligations du RGPD pour les employeurs

✅ Le registre de traitement des données personnelles

✅ Les droits des salariés au titre du RGPD

✅ Les délais de conservation des données de candidats

✅ Un outil pour gérer ma conformité 🌟

Les obligations du RGPD pour les employeurs

Le RGPD s'applique également aux données personnelles des salariés. Les employeurs sont tenus de respecter les obligations suivantes :

1 - Assurer la transparence auprès des salariés

Vous devez informer vos salariés de la manière dont vous traitez leurs données :

• Les finalités du traitement (ex: gestion de la paie, gestion administrative) ;
• La base légale (contrat de travail, obligations légales ou intraprofessionnelles, consentement) ;
• Les catégories de données traitées ;
• La durée de conservation ;
• Les droits de l'employé (accés, rectification, opposition, effacement, etc.).

Cette transparence peut être assurée par la mise à disposition d'une "notice d'information" ou d'une "politique de confidentialité" internes.

2 - Respecter les droits des salariés

Vos salariés bénéficient de droits RGPD :

• ✅ Droit d'accès : le salarié peut demander un accès à l'ensemble de ses données détenues par l'entreprise ;
• ✅ Droit de rectification : corriger des données inexactes ;
• ✅ Droit à l'effacement ("droit à l'oubli") : dans certains cas, demander la suppression de données ;
• ✅ Droit d'opposition : s'opposer à certains traitements ;
• ✅ Droit à la limitation du traitement : restreindre le traitement dans certaines conditions.

Vous devez répondre à ces demandes dans un délai de 30 jours.

3 - Assurer la sécurité des données

Vous devez prendre des mesures raisonnables pour protéger les données personnelles contre les accès non autorisés, la perte ou la destruction :

• Chiffrement des fichiers sensibles ;
• Sauvegardes régulières ;
• Restrictions d'accès pour les salariés qui en ont besoin ;
• Formation des employés à la protection des données ;
• Un plan de réponse en cas de fuite de données.

4 - Tenir un registre de traitement des données personnelles

Vous devez documenter tous les traitements de données personnelles effectués par votre entreprise, y compris :

• L'identité de l'entreprise (responsable de traitement) ;
• La finalité du traitement ;
• La base légale ;
• Les catégories de données traitées ;
• Les categories de personnes concernées ;
• La durée de conservation ;
• Les destinataires des données (notamment les sous-traitants) ;
• Les mesures de sécurité.

Ce registre doit être conservé et présenté en cas de contrôle.

Les durées de conservation des données selon le type d'employé

Données des candidats non retenus

Si vous conservez les CVs, lettres de motivation et autres données de candidats, vous devez les conserver pour une période limitée :

• Généralement, 2 ans maximum après le rejet. Cette durée peut être réduite à quelques mois si l'entreprise n'a plus de besoin de proposé le dossier.
• Cependant, certains données (comme une promesse d'embauche) doivent être conservées plus longtemps si cela s'avère nécessaire pour des raisons légales.

Comment déterminer la durée de conservation pour d'autres catégories.

Données des salariés en activité

Les données des salariés en poste (fiches de paie, evaluations, etc.) doivent être conservées :

• Pendant la durée du contrat, plus les délais de prescription légaux (souvent 1 à 3 ans après le départ) ;
• Pour certains documents, des durées spécifiques s'imposent (ex: fiches de paie, bul letins de salaire = 3 ans) ;
• Les données relatives aux accidents du travail doivent être conservées plus longtemps (ex: 50 ans en France).

Données des salariés anciens

Après le départ d'un salarié :

• Conservez les données nécessaires pour régler les litiges ou honorer les obligations légales ;
• Effacez les données qui ne sont plus pertinentes ou nécessaires (ex: adresse e-mail personnelle si pas de lien contractuel) ;
• Répétéez l'exercice périodiquement pour assurer le nettoyage de vos données.

Contrôles et inspections

La CNIL et les autorités complémentaires vérifié que votre entreprise respecte les obligations du RGPD. Si un contrôle a lieu, vous devez pouvoir présenter :

• Votre registre de traitement ;
• Les preuves de consentement (le cas échéant) ;
• Votre politique de confidentialité internes ;
• Les mesures de sécurité en place ;
• Les contrats de sous-traitance (DPA).

Le non-respect du RGPD par les employeurs peut entraîner des amendes de la CNIL (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel).

Quéstionnaires et enquêttes internes : la réglementation RGPD

Les enquêtess internes (sondages, questionnaires auprès des employés) impliquent le traitement de données personnelles. Le RGPD s'applique donc également à ces questionnaires. Voici les points clés à retenir pour une enquête RGPD conforme :

1 - Identification de la finalité et base légale

• Précisez la finalité de votre enquete : amélioration de la qualité de vie, évaluation de satisfaction, collecte d'avis pour les décisions RH ;
• Définissez la base légale (souvent le contrat de travail ou l'intérêt légitime).

2 - Transparence et consentement

• Informez les employés de la finalité du questionnaire avant de le répondre ;
• Si le questionnaire porte sur des données sensibles (santé, union, etc.), recueillez un consentement explicite ;
• Offrez la possibilité de ne pas répondre à certaines questions.

3 - Données sensibles

• Evitez de demander des données sensibles (santé, origines raciales, opinions politiques) sauf si nécessaire et avec consentement explicite ;
• Si vous collectez des données sensibles, assurer une sécurité renforcée (chiffrement, accès limité, nettoyage rapide).

4 - Anonymisation

• Si possible, rendez les réponses anonymes. Cela élimine les obligations RGPD pour les données anonymisées ;
• Si vous conservez l'identité des répondants, documentez la raison et le délai de conservation.

5 - Durée de conservation

• Conservez les réponses uniquement pendant la durée nécessaire pour atteindre la finalité de l'enquete ;
• Généralement, quelques mois à 1 an est suffisant.

6 - Droits des employés

• Rappelez aux employés leurs droits (accès, rectification, opposition, etc.) ;
• Précisez comment exercer ces droits.

Pour plus de détails sur la réglementation RGPD des questionnaires et enquêtses, consultez notre guide dédié.

Mises en place et conformité RGPD pour les employeurs

Voici un résumé des étapes pour assurer votre conformité RGPD en tant qu'employeur :

1 - Audit de vos traitements

• Identifiez tous les traitements de données personnelles dans votre entreprise ;
• Documentez chacun d'eux dans le registre de traitement ;
• Vérifiez que chaque traitement a une base légale valide.

2 - Mise en place d'une politique de confidentialité

• Rédigez une notice d'information pour les employés ;
• Précisez les durées de conservation ;
• Détaillez les droits des employés et comment les exercer.

3 - Formation et sensibilisation

• Formez vos équipes RH et informatique au RGPD ;
• Mettez en place une culture de protection des données ;
• Désignez un responsable RGPD ou un DPO (Délégué à la Protection des Données) si obligatoire.

4 - Mise en place de mesures techniques et organisationnelles

• Chiffrez les données sensibles ;
• Réglez les accès par rôle ;
• Planifiez des sauvegardes régulières ;
• Mettez en place un plan d'intervention en cas de fuite de données.

5 - Suivi et néttoyage des données

• Nettoyez régulièrement vos données pour supprimer celles qui ne sont plus nécessaires ;
• Respectez les durées de conservation ;
• Mettez en place une procédure d'effacement automatique si possible.

FAQ : Données personnelles des salariés et RGPD employeur

Quelles sont les obligations RGPD d'un employeur vis-à-vis de ses salariés ?

Les employeurs doivent assurer la transparence sur les traitements (finalités, base légale, durée de conservation), respecter les droits des salariés (accès, rectification, effacement, opposition, limitation du traitement), garantir la sécurité des données par des mesures techniques et organisationnelles, et tenir un registre de traitement des données personnelles présentable en cas de contrôle CNIL.

Combien de temps un employeur peut-il conserver les données d'un candidat non retenu ?

Les données des candidats non retenus (CV, lettre de motivation) doivent être conservées au maximum 2 ans après le rejet de la candidature. Cette durée peut être réduite à quelques mois si l'entreprise n'a plus besoin du dossier. Certaines données spécifiques, comme une promesse d'embauche, peuvent être conservées plus longtemps pour des raisons légales.

Quels droits RGPD ont les salariés sur leurs données personnelles ?

Les salariés bénéficient du droit d'accès à leurs données, du droit de rectification des données inexactes, du droit à l'effacement dans certains cas, du droit d'opposition à certains traitements et du droit à la limitation du traitement. L'employeur est tenu de répondre à toute demande d'exercice de ces droits dans un délai maximum de 30 jours.

Combien de temps conserver les données d'un salarié après son départ de l'entreprise ?

Après le départ d'un salarié, les données doivent être conservées le temps nécessaire pour régler d'éventuels litiges ou honorer les obligations légales, généralement 1 à 3 ans selon les délais de prescription. Les fiches de paie doivent être conservées 3 ans minimum. Les données liées aux accidents du travail peuvent être conservées jusqu'à 50 ans en France.

Qu'est-ce que le registre de traitement des données et est-il obligatoire pour les employeurs ?

Le registre de traitement est un document recensant tous les traitements de données personnelles effectués par l'entreprise : identité du responsable, finalité, base légale, catégories de données et de personnes, durées de conservation, destinataires et mesures de sécurité. Il est obligatoire pour tous les employeurs soumis au RGPD et doit être présenté en cas de contrôle de la CNIL.

Quelles sanctions risque un employeur qui ne respecte pas le RGPD pour les données de ses salariés ?

Le non-respect du RGPD par les employeurs peut entraîner des sanctions prononcées par la CNIL pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, selon le montant le plus élevé. Ces amendes s'appliquent notamment en cas d'absence de registre de traitement, de non-respect des droits des salariés ou de manquements à la sécurité des données.

Comment rendre un sondage ou questionnaire interne conforme au RGPD ?

Pour rendre un questionnaire interne conforme au RGPD : définissez la finalité et la base légale, informez les employés avant leur participation, évitez les données sensibles sauf consentement explicite, anonymisez les réponses si possible, fixez une durée de conservation courte (quelques mois à 1 an) et rappellez aux participants leurs droits d'accès, rectification et opposition.

👉 Letosoftware aide les TPE/PME à gérer leur conformité RGPD. Utilisez notre outil pour documenter vos traitements, gérer vos durées de conservation et mettre en place vos politiques de confidentialité. Réservez une démo !