Respect du RGDP : pour éviter le clic and collect des ennuis

Respect du RGDP : pour éviter le clic and collect des ennuis

Scène vécue : votre agence reçoit un appel d’un client qui, sans vous donner plus de précisions, vous demande de lui communiquer les coordonnées personnelles (adresse, mail, téléphone) du salarié intérimaire que vous avez délégué dans son établissement. 

Que faire ?

Derrière cet exemple en apparence anodin apparaît la question lourde de la protection des données personnelles.

Cela vous surprend ?

Et pourtant, au quotidien, comme nous tous, faisant une recherche sur internet, vous voyez apparaître sur votre écran le placard bien connu vous informant de vos droits en matière de protection des données personnelles et leur utilisation, tout en vous incitant à cliquer sur « j’accepte », ce que vous faites car vous ne lisez plus depuis longtemps ce genre de mentions.

Et bien, dans notre petit exemple avec votre client, c’est la même chose : pressé par votre travail, guidé par votre souci compréhensible de satisfaire un client sérieux et fidèle, vous cliquez sur « j’accepte »….et c’est alors que les ennuis peuvent commencer : votre salarié mécontent peut saisir la CNIL car vous avez transmis sans son autorisation, ses coordonnées…. Prudence, donc voici comment vous pouvez cliquer sans crainte sur « j’accepte » :


Depuis 2018, tout employeur a vu ses obligations en matière de protection des données de ses salariés pour le moins bouleversées par le fameux RGPD (Règlement général relatif à la protection des données).

·       Qu’est-ce que le RGPD ? L’ancien mécanisme des déclarations et autorisations préalables transmises à la CNIL a disparu pour faire place à un système où chaque entreprise doit veiller à ce que les mesures de protection soient en adéquation avec la réglementation RGPD. La tenue d'un registre des activités de traitement des données s’impose à toute entreprise, quelle qu’en soit la taille, dès lors qu’elle traite des données personnelles, il prend la forme d’un référentiel pour le traitement des données personnelles des salariés, livré par la CNIL. Il liste les dix finalités possibles pour un traitement de données relatif au personnel (recrutement, organisation du travail, suivi des carrières…) et rassemble dans un tableau les éléments d’identification de base légale qui s’adaptent aux cas les plus fréquents (traitement d’une candidature, gestion d’une demande de formation…).

·       Qu’entend-on par « données à caractère personnel » ? Il s’agit de toutes les informations se rapportant à une personne physique identifiée ou identifiable (nom, prénom, numéro de sécurité sociale, téléphone, adresse, âge, sexe, photographie, données de localisation, identité physique etc…).

·       Quels sont les moyens de contrôle ? Le RGPD prévoit un droit d’opposition du salarié, un droit à la limitation du traitement de ses données, ou encore un droit à la limitation de la portabilité des ses données vers un autre organisme.

·       Combien de temps l’entreprise va-t-elle pouvoir conserver les données personnelles ? La réponse ne se présente pas immédiatement en données chiffrées. Posez-vous d’abord les bonnes questions : par exemple, telle donnée personnelle m’est-elle utile? Ou encore, ai-je intérêt à garder telle donnée personnelle pour traiter un nouveau dossier du salarié en poste ? Ou encore, quelles sont les règles d’archivage des données ?..... Autant de questions dont vous trouverez des éléments de réponse sur le site de la CNIL, laquelle parle de « cycle de vie » pour une même donnée personnelle et établit un distinguo entre les durées de conservation obligatoires, imposées, et celles recommandées Pour aider les services RH, la CNIL a mis en place un code couleurs dans le référentiel.


Voici deux exemples de durée de conservation des données personnelles d’un salarié :

·        2 ans pour les informations sur un candidat non retenu à l'embauche, son CV devant être supprimé 2 ans après le dernier contact.

·        5 ans pour la conservation des données personnelles d’un salarié de l'entreprise, après la fin de la relation contractuelle (bulletins de paie, documents relatifs au contrôle des horaires...).


La durée de conservation sera donc définie en fonction de l’objectif poursuivi de la collecte des données.


Post-scriptum : dans notre scénette présentée en ouverture de cet article, l’agence peut transmettre les données personnelles de l’intérimaire à son client, dès lors qu’elle a obtenu l’autorisation écrite du salarié et demandé au client des précisions (également écrites) quant au motif de la demande. Mais, rien n’empêche votre client de prendre contact directement avec le salarié….C'est peut-être le plus simple ?