Olivier Ledru, avocat au barreau de Paris

olivier@avocat-ledru.com 44 rue Laffitte, 75009 Paris
20Août
By: olivierledru 20 août 2025 Aucun commentaire

L’employeur, est régulièrement amené à collecter des informations concernant les candidat à un emploi ou ses salariés lors du recrutement, de la définition des horaires de travail ou de l’établissement d’établir la fiche de paie.

La collecte et le traitement de ces informations doivent impérativement se faire en conformité avec les règles de gestion des données personnelles telles que définies par le RGPD et le Code du travail.

  • Données collectées préalablement à l’embauche

En application de l’article L. 1221-6 du Code du travail, les informations recueillies auprès de salarié lors de son recrutement doivent se limiter à celles strictement nécessaires pour « apprécier sa capacité à occuper l’emploi proposé ou ses aptitudes professionnelles ».

Sont ainsi notamment exclues :

  • Le numéro de sécurité sociale ;
  • Les coordonnées bancaires ;
  • Les informations familiales (sur les membres de sa familles ou par exemple s’il souhaite avoir des enfants) ;
  • Ses mensurations, poids, couleur des cheveux, etc…

Sont également exclues les données sensibles qui, directement ou indirectement, font apparaître la prétendue origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales, les informations relatives à la santé ou à la vie sexuelle du candidat.

Seules les personnes participant au processus de recrutement peuvent avoir accès aux informations personnelles recueillies sur les candidats.

Lorsque le candidat n’est pas retenu, l’employeur ne peut pas conserver les données recueillies sauf à avoir préalablement obtenu son accord et sous réserve qu’une durée déterminée de conservation ait été déterminée (durée qui doit être cohérente et justifiée par l’objectif poursuivi par le traitement mis en œuvre).

  • Données collectées après l’embauche

Après l’embauche, la collecte et le traitement de données personnelles peuvent être nécessaire à la gestion courante du personnel (RIB, Taux d’imposition dans le cadre de l’impôt à la source, copie des diplômes correspondant au niveau de qualification du poste, coordonnées d’un proche pouvant servir de contact en cas d’urgence touchant le salarié, etc…).

L’employé doit s’assurer du consentement préalable du salarié et de l’information sur ses droits relatifs aux données personnelles collectées.

Selon la CNIL, « l’employeur ne doit collecter que les données dont il a réellement besoin, et ne doit le faire qu’à partir du moment où ce besoin se concrétise ».

Les principes applicables en l’espèce sont les suivants :

  • Les données personnelles collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5, paragraphe 1, c du RGPD) ; elles ne doivent être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens.
  • Le traitement n’est licite que dans la mesure où il est nécessaire aux fins des intérêts légitimes poursuivis, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée (article 6, paragraphe 1, f du RGP).

L’employeur doit en outre en garantir la sécurité et la confidentialité des données collectées et il a la responsabilité de contrôler l’accès à ces données, afin que seules les personnes habilitées puissent en prendre connaissance.

Ces données peuvent être conservées pendant toute la durée de la présence du salarié dans l’entreprise (certaines d’entre elles peuvent cependant être conservées après son départ pour permettre à l’employeur de répondre à ses obligations comptables, sociales ou fiscales : notamment le contrat et les documents relatifs à la paie).

  • Outils de calcul du temps de travail

Lorsque l’employeur met en place des outils permettant le calcul des temps de travail effectif, il doit en informer les salariés ainsi que les instances du personnel.

L’accès à ces données est alors limité aux seules personnes chargées de la gestion du personnel, de la paie ou de la sécurité du bâtiment.

Ces informations doivent être conservées pendant cinq ans.

  • Courriels, historiques et dossier informatiques

Les dossiers, courriels et historiques de recherche créés par le salarié sur les outils informatiques mis à sa disposition par l’employeur sont considérés comme ayant un caractère professionnel sauf s’ils portent en objet la mention « personnel » ou « privé ».

A défaut d’une telle mention, l’employeur est autorisé à en prendre connaissance dans le respect de la vie privée du salarié et après information de ce dernier des finalités poursuivies par ce contrôle.

  • Keyloggers

Enfin, selon la CNIL, l’utilisation par l’employeur d’outils logiciels permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur (« keyloggers »), est illicite, sauf lorsqu’elle répond à un impératif exceptionnel de sécurité (délibération SAN-2024-021 du 19 décembre 2024 : surveillance excessive et disproportionnée des salariés via un logiciel de suivi d’activité – https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000051120331 ) :

Même lorsqu’elle répond à un intérêt légitime, il convient de s’assurer que la mise en place d’un tel outil ne porte pas une atteinte disproportionnée aux droits et libertés des personnes, eu égard aux finalités poursuivies (CNIL, Sanction SAN-2023-021 du 27 décembre 2023).

Si l’employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis (Cass. Soc., 23 juin 2021, n° 19-13.856), l’utilisation d’un tel dispositif de surveillance n’étant licite que lorsque ce contrôle ne peut pas être fait par un autre moyen (Cass. Soc., 19 décembre 2018, n°17-14.631).

Un dispositif de surveillance automatisée permanente des salariés (captures d’écran ou l’utilisation de keyloggers ) qui «  conduit à recenser informatiquement l’intégralité des temps d’interruption d’un salarié […] et à les cumuler sur la semaine, porte une atteinte excessive au droit à la vie privée et personnelle du salarié ainsi qu’à son droit à des conditions de travail qui respectent sa santé et sa sécurité » (CNIL, Sanction SAN-2023-021 du 27 décembre 2023).

Selon la CNIL, un dispositif de surveillance automatisée permanente des salariés n’apparait pas comme nécessaire pour l’atteinte de la finalité poursuivie (il existe des moyens alternatifs moins intrusifs pour évaluer la productivité) ; il est disproportionné au regard de la finalité (mesure du temps de travail) et il ne peut entrer dans les attentes raisonnables des salariés.

La CNIL sanctionne un tel dispositif permanent ou quasi-permanent qui instaure une surveillance particulièrement intrusive des salariés et pouvant conduire à la captation d’éléments d’ordre privé.

Join Our List To Stay Intouch

Stay in Touch and enim adminim veniam quis nostrud exercitation ullamco

© 2024 Olivier Ledru Avocat. Tous droits réservés.     Mentions légales   Réalisation: Media-Squad