Le RGPD, quatre lettres qui inquiètent les entreprises, ne s’appliquera pas qu’à leurs fichiers clients, mais aussi aux traitements et fichiers relatifs à leurs salariés, parmi lesquels figurent le dossier professionnel.
Conçu par la Direction des ressources humaines (DRH), le dossier professionnel du salarié regroupe toutes sortes d’informations sur les conditions de son recrutement (CV, coordonnées…), sa rémunération, ses évaluations, éventuellement son dossier disciplinaire ou tout élément ayant servi à procurer promotions, augmentations, changement d’affections…
1/ Contexte
En général, peu de salariés pensent à consulter leurs dossiers professionnels, à en demander l’accès ou la rectification de leurs données personnelles. Tout au plus pensent-ils à solliciter leur mise à jour sur le changement d’adresse ou de situation matrimoniale.
Le besoin d’accès se fait nettement plus ressentir en cas de litige entre le salarié et l’entreprise, lorsque le premier cherche à obtenir des explications ou des preuves sur une situation/décision qu’il reproche à la seconde :
- Dans le cadre d’un licenciement, le salarié cherchera à obtenir les évaluations dont il a fait l’objet et qui peuvent avoir fondé la décision du licenciement, ou à vérifier si les éléments invoqués à l’appui de cette décision de rupture existent et dans quelle mesure.
- Dans le cadre d’une discrimination en matière de rémunération ou promotion de carrières, le salarié cherchera à connaître les éléments factuels qui ont pu être retenus pour conduire aux écarts de traitement.
Le droit d’accès au dossier professionnel est donc un enjeu crucial tant pour l’entreprise que pour le salarié.
2/ L’exercice actuel des droits du salarié sur son dossier professionnel
Or, l’article 39 de la Loi « Informatiques et Libertés » du 6 janvier 1978 permet déjà aux salariés d’exercer leur droit d’accès auprès de leur employeur et d’exiger de lui la confirmation que ses données sont traitées ou non, les finalités du traitement, le destinataire des données, la catégorie des données traitées, le transfert éventuel des données, la copie des données.
Toutefois, force est de constater que les entreprises ne respectent pas forcément ce droit. En effet, certaines refusent l’accès des salariés à leurs dossiers professionnels, notamment dans le cadre de litiges entre le salarié et l’entreprise.
Ainsi, en 2016, 14% des plaintes reçues par la Commission Nationale Informatique et Liberté (CNIL) concernaient les ressources humaines.
Le Règlement général sur la protection des données (RGPD), qui entre en vigueur le 26 mai 2018, va changer la donne.
3/ Les nouveaux droits du salarié sur son dossier personnel
Outre les informations que le responsable de traitement devait déjà fournir à la personne concernée qui en faisait la demande, l’article 15 du RGPD en liste de nouvelles :
- La durée de conservation des données
- Les garanties particulières prises en cas de transfert de données vers un pays tiers ou une organisation internationale
- L’existence d’une décision automatisée fondée sur un profilage
L’employeur doit également rappeler au salarié qui exerce son droit d’accès qu’il détient d’autres droits :
- Le droit à rectification et à effacement des données
- Le droit de réclamation auprès d’une autorité de contrôle
Ces informations doivent être communiquées par écrit au salarié qui en fait la demande, et peut l’être sous forme électronique lorsque la demande a été présentée sous cette forme.
En outre, le RGPD ne prévoit pas le paiement de frais basés sur les coûts administratifs du Responsable. La copie doit donc être gratuite même si les copies ultérieures peuvent être payantes.
L’exercice de ce droit d’accès ne doit évidemment pas impacter négativement les droits et libertés du salarié.
Le renforcement du droit d’accès par le RGPD augmentera nécessairement le nombre de réclamations des salariés pour mieux contrôler l’évolution de leurs carrières, réclamations elles-mêmes rendues plus accessibles. Les employeurs devront donc prendre soin de se conformer pleinement au RGPD dans la tenue des dossiers du personnel, et notamment de ne pas glisser dans les dossiers professionnels des informations qui ne devraient pas s’y trouver (appréciations subjectives sur le caractère du salarié, par exemple).
Ce nouveau droit d’accès demandera également une mise à jour des procédures internes pour traiter ces demandes salariales.
En cas de manquement, les sanctions seront beaucoup plus lourdes pour les mauvais élèves : des amendes pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel mondial.
Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies et des données personnelles, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients du secteur public comme du secteur privé dans la mise en conformité de leurs traitements.
Le cabinet HAAS propose à ce titre l’externalisation de la fonction CIL/DPO ou la réalisation d’études d’impact (PIA), dans le cadre d’une offre globale de DataCompliance.
Pour en savoir plus sur ces prestations : Cliquez ICI