Les données personnelles en entreprise
Module 2 / 5
2.1 Cartographie des données collectées sur les salariés
La plupart des entreprises sous-estiment le volume de données qu'elles collectent sur leurs salariés. Bien avant le poste de travail, le cycle commence dès le CV et ne s'achève qu'après le départ. Vue d'ensemble, étape par étape, des grandes catégories de traitements RH et opérationnels.
Le cycle de vie de la donnée salarié
D'un côté la candidature, de l'autre la fin du préavis : entre les deux, l'entreprise accumule des centaines de données. Ce panorama ne prétend pas être exhaustif — il vise à montrer l'ampleur du phénomène.
| Étape | Données typiquement collectées | Conservation indicative |
|---|---|---|
| Recrutement | CV, lettre de motivation, prétentions, tests, entretiens, références | 2 ans après dernier contact |
| Embauche | État civil, NIR, RIB, copie pièce ID, justificatif domicile, contrat, DPAE, mutuelle | Durée du contrat + 5 ans |
| Vie du contrat (RH) | Bulletins de paie, congés, formations, entretiens annuels, sanctions | 5 ans (paie) / 6 ans (DSN) |
| Outils opérationnels | Comptes informatiques, e-mail, badge, géoloc, vidéo, ERP, GED | Variable (1 mois à 5 ans) |
| Santé / Sécurité | Visites médicales, fiche d'aptitude, AT/MP, accidents | Min. 5 ans, jusqu'à 50 ans (CMR) |
| Sortie | Solde de tout compte, attestation France Travail, reçu, certificat | 5 ans (prescription prud'homale) |
Les durées indicatives reposent sur la doctrine CNIL et le Code du travail. Une obligation légale spécifique (URSSAF, DSN, DGFiP) peut imposer une conservation plus longue dans certains cas.
Les données invisibles : ce que produit le poste de travail
Un salarié connecté huit heures par jour génère une masse considérable de données techniques, souvent ignorées du périmètre RH. Pourtant, elles sont toutes des données personnelles au sens du RGPD.
Poste informatique
- Logs de connexion (heure, durée, IP)
- Historique de navigation web
- E-mails envoyés / reçus / archivés
- Documents créés et modifiés (métadonnées)
- Logs des applications (ERP, CRM, GED)
- Données de visioconférence (Teams, Zoom)
Site et terrain
- Badges d'entrée / sortie (horaires)
- Vidéosurveillance des locaux
- Géolocalisation véhicule de service
- Pointeuse, comptage de présence
- Téléphonie professionnelle (factures détaillées)
- Capteurs de production (industrie 4.0)
Contrôle de l'activité : ce que l'employeur peut (et ne peut pas)
L'employeur peut surveiller son personnel — mais dans des limites strictes posées par le Code du travail (Art. L1121-1, L1222-4) et la jurisprudence. Trois conditions cumulatives.
Information préalable
Du salarié et du CSE (avant la mise en place — pas après)
Proportionnalité
Adapté à l'objectif (sécurité, productivité, etc.) — pas de surveillance permanente sans motif
Finalité légitime
Sécurité des biens, des personnes, lutte contre la fraude — pas la simple curiosité
Ce qui est interdit
- Caméra filmant en permanence un poste de travail individuel (sauf manipulation d'argent / cas exceptionnels)
- Géolocalisation hors temps de travail ou pour évaluer la performance individuelle
- Keylogger ou logiciel espion enregistrant chaque frappe
- Lecture systématique du contenu des e-mails (sauf risque pour l'entreprise)
- Caméras dans les vestiaires, sanitaires, salles de pause
Ce qui est autorisé sous conditions
- Vidéosurveillance des entrées, parkings, zones de stockage (avec affichage)
- Suivi global de l'activité (volume d'appels, statistiques agrégées)
- Géolocalisation véhicule pour optimisation de tournée et sécurité
- Contrôle ponctuel d'usage informatique en cas de suspicion légitime
Le registre des traitements : la photographie de la conformité
L'article 30 du RGPD impose à toute entreprise de tenir un registre des activités de traitement. Il liste, pour chaque traitement (paie, recrutement, vidéosurveillance, gestion clients…) un ensemble d'informations standardisées.
Informations à renseigner par traitement
- Nom et coordonnées du responsable et du DPO
- Finalités du traitement
- Catégories de personnes concernées
- Catégories de données collectées
- Catégories de destinataires
- Transferts hors UE éventuels
- Durées de conservation
- Mesures de sécurité techniques et organisationnelles
Pourquoi c'est crucial
Le registre est le premier document demandé par la CNIL en cas de contrôle. Son absence — ou sa tenue défaillante — constitue à elle seule un manquement à l'article 30.
La CNIL met à disposition un modèle gratuit pour les structures de moins de 250 salariés sur cnil.fr — il n'y a aucune raison de ne pas en disposer.
Synthèse du chapitre
- →Le cycle de vie d'un salarié génère des données du CV au solde de tout compte
- →Les données techniques (logs, badge, vidéo) sont aussi des données personnelles
- →Tout contrôle de l'activité exige information préalable, proportionnalité et finalité légitime
- →Le registre des traitements (Art. 30) est obligatoire et premier document contrôlé