• Semaine Sociale Lamy, Nº 1962, 12 juillet 2021
  • RÉFLEXIONS
  • Traitements des données en matière RH : quels enjeux juridiques pour le « DRH connecté » ?
Semaine Sociale Lamy, 1962, 12-07-2021
Semaine Sociale Lamy

Traitements des données en matière RH : quels enjeux juridiques pour le « DRH connecté » ?

Traitements des données en matière RH : quels enjeux juridiques pour le « DRH connecté » ?

Mis à jour le 12/07/2021

RGPD. La question des données personnelles des salariés est au cœur des préoccupations des DRH qui doivent désormais appréhender sur le plan juridique cette question délicate. Nous faisons le point avec Sabine de Paillerets-Matignon

Portée

Crédit photo : Getty Images

Sabine de Paillerets-Matignon

Avocate associée, cabinet BCTG avocats

Maxime Stawkowski

Stagiaire au département Droit social, cabinet BCTG avocats

Alors que les ressources humaines (RH) ne cessent de recourir aux moyens informatiques dans le cadre de leurs activités (notamment pendant la phase de recrutement, la gestion des carrières et le suivi du temps de travail ou encore le contentieux), que les dispositifs de contrôle des salariés se multiplient, que le recours au télétravail s'amplifie à la faveur de la crise sanitaire et que la possibilité laissée aux salariés d'utiliser leurs propres outils dans le cadre du BYOD (Bring Your Own Device ou « prenez vos appareils personnels ») se démocratise, la question des données personnelles des salariés est au cœur des préoccupations des DRH qui doivent désormais appréhender sur le plan juridique cette question délicate.

En effet, l'employeur est amené à recueillir un nombre important de données à caractère personnel des salariés pour traiter notamment des questions relatives à la rémunération, aux déclarations sociales obligatoires, à la tenue du registre unique du personnel, à la gestion administrative du personnel, à l'organisation du travail, ou encore à l'action sociale qu'il prend en charge.

Afin de permettre à l'employeur de concilier la poursuite de ses activités RH avec le droit au respect de la vie privée de ses salariés ainsi que la protection de leurs données à caractère personnel, le règlement européen sur la protection des données (RGPD) est entré en application le 25 mai 2018, en vue d'assurer la conformité des obligations de l'employeur à cet égard.

Le RGPD encadre le traitement (collecte, enregistrement, utilisation, conservation, diffusion, effacement, etc.) des données à caractère personnel pour assurer la protection de la vie privée des personnes concernées, étant précisé qu'une « donnée personnelle » désigne toute information se rapportant à une personne physique identifiée ou identifiable (nom, adresse IP, données de santé, revenus, centres d'intérêt, date de naissance, situation familiale, etc.) (1) .

Dans le cadre de la mise en conformité instaurée par le RGPD, la direction des ressources humaines a un rôle clé qui doit le conduire à prêter une attention particulière dans le traitement des données à caractère personnel des salariés de l'entreprise.

La définition retenue par le RGPD est donc particulièrement large et suppose ainsi que la simple collecte et conservation, même non automatisées, d'informations se rapportant à des personnes physiques identifiables entraîne l'application des obligations qu'il énonce. Celui-ci prévoit en outre un partage des obligations et des responsabilités entre différents acteurs. Enfin, audelà de son rôle de protection de la vie privée des salariés, le RGPD tend à devenir un formidable et redoutable outil en matière probatoire devant la juridiction prud'homale.

1 QUELS PRINCIPES RESPECTER POUR ASSURER LA PROTECTION DES DONNÉES TRAITÉES AUX FINS DE GESTION RH ?

Il est essentiel en tout premier lieu pour le DRH de connaître et comprendre le contenu des règles relatives à la protection des données à caractère personnel. En effet, plusieurs grands principes sont applicables au nom de cette protection qui peuvent être regroupés dans les catégories indiquées ci-après.

Le principe de licéité (RGPD, art. 6)

Le principe de licéité selon lequel un traitement de données personnelles doit trouver son origine dans l'un des six fondements légaux énoncés par cet article. Ce point est important puisque le responsable du traitement doit indiquer aux personnes concernées le fondement légal de la collecte de données.

En matière de ressources humaines, il est le plus souvent possible de fonder les traitements de données personnelles soit sur l'exécution du contrat de travail (notamment pour la gestion de la paie), soit en raison de l'existence d'un texte légal (par exemple avec l'obligation de communiquer des informations salariales à l'administration fiscale), soit encore sur le fondement de la poursuite d'un intérêt légitime, ce dernier étant le plus fréquemment usité.

En outre, le principe de licéité et de finalité, impose à l'employeur d'informer individuellement les salariés, des traitements envisagés. Cette information peut se matérialiser soit dès l'embauche, par une stipulation contractuelle ou un avenant contractuel, soit en cours d'exécution, par une notice informative contre signature, avec avis des membres du CSE, dont le champ de compétences englobe les questions d'application du RGPD.

Le principe de minimisation, de proportionnalité et de pertinence (RGPD, art. 5)

Le principe de minimisation, de proportionnalité et de pertinence selon lequel les données collectées doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont collectées (2) . Autrement dit, les seules données collectées doivent être nécessaires au regard des objectifs poursuivis.

En application de ce principe, seules les informations utiles et pertinentes pour accomplir leurs missions doivent être demandées par le DRH aux salariés. Cependant, parfois, l'entreprise est amenée à traiter des données dites « sensibles » c'est-à-dire relatives notamment à l'activité syndicale, aux opinions politiques, à la religion, à l'origine ethnique ou encore à la santé. Dans une telle hypothèse et puisque ces données sont particulièrement à risques, des obligations particulières, dans le cadre d'un régime juridique de protection renforcé, sont applicables (3) .

En effet, il n'est pas possible de recueillir de données dites « sensibles » sauf dans certains cas et notamment, en ce qui concerne le domaine RH, lorsque la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée), situation, qui pourrait se présenter en matière de collecte de données de santé.

Le principe de limitation des finalités (RGPD, art. 5)

Le principe de limitation des finalités selon lequel les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

Le principe de la limitation de la durée de conservation (RGPD, art. 5)

Le principe de la limitation de la durée de conservation selon lequel une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier. La problématique des durées de conservation des données dans le domaine RH est particulièrement délicate, notamment en raison des multiples situations qui peuvent justifier qu'elles soient conservées (contentieux, contrôle Urssaf, contrôle de l'inspection du travail, maladie professionnelle, etc.) (4) . Aussi une même donnée peut parfois avoir plusieurs utilités successives ce qui implique donc des durées de conservation différentes. Dans cette perspective, certaines données qui ne sont plus utilisées au quotidien mais qui n'ont pas encore atteint leur durée limite de conservation pourront être archivées, par exemple parce qu'elles sont conservées afin d'être utilisées en cas de contentieux. Cet archivage devra être fait en bonne et due forme et ne devra pas se contenter de conserver les données en base active avec la simple mention du fait qu'elles sont archivées. Au contraire, les données archivées ne devront être accessibles qu'à un service spécifique chargé d'y accéder. En outre, un processus de gestion des archives devra être défini, tout comme le mode opératoire de destruction de celles-ci (5) .

La problématique des durées de conservation des données dans le domaine RH est particulièrement délicate, notamment en raison des multiples situations qui peuvent justifier qu'elles soient conservées (contentieux, contrôle Urssaf, contrôle de l'inspection du travail, maladie professionnelle, etc.)

Le principe de transparence (RGPD, art. 5)

Le principe de transparence selon lequel le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations (6) . Il se traduit par une obligation, à la charge de l'employeur, de fournir à ses salariés des informations concises et compréhensibles sur les objectifs poursuivis par le traitement (cf. principe de licéité), sur le destinataire des données, et enfin, sur les modalités d'exercice des droits des salariés.

Le principe de transparence peut se matérialiser par tout moyen de diffusion approprié, tel qu'un tableau d'affichage, une annexe RGPD au contrat de travail ou encore une charte informatique relative au traitement des données à caractère personnel (7) après consultation du CSE lorsqu'il existe.

Étant également précisé que, sur le fondement du principe de transparence, le salarié dispose d'un droit de s'opposer au traitement de ses données (sauf motifs légitimes et impérieux tels qu'une obligation légale ou la nécessaire collecte dans le cadre de l'exécution du contrat de travail), il peut également et discrétionnairement demander l'accès à celles-ci en exerçant son droit d'interrogation et son droit de communication.

Pour parer à cette éventualité, tous les organismes qui traitent des données à caractère personnel doivent mettre en place des mesures pour prévenir les violations et réagir de manière appropriée en cas d'incident

Le principe d'intégrité, de confidentialité et de sécurité (RGPD, art. 5)

Le principe d'intégrité, de confidentialité et de sécurité suppose que l'entreprise veille à ce que les données traitées soient bien protégées, par exemple, en changeant régulièrement les mots de passe ou en rendant automatique le système de verrouillage des sessions informatiques. Outre ces considérations techniques qui devraient être gérées par la direction des systèmes informatiques, une politique efficace devra être définie par la direction des RH. En ce sens, il faudra déterminer les membres du personnel dûment habilités à avoir accès aux données personnelles. Ce principe prend tout son sens dans la gestion d'informations particulières et donc à risque pour les salariés comme les coordonnées bancaires pour la paie ou encore les numéros de sécurité sociale pour les déclarations sociales. Ces mesures de sécurité pourront notamment faire l'objet de la rédaction d'une charte informatique à destination des membres du personnel et dans laquelle sera détaillé l'ensemble des règles afin de garantir la confidentialité des données collectées (8) .

Dans le prolongement de l'obligation de protection des données personnelles, est mise en œuvre une obligation de notification en cas de violation du traitement des données (9) . Une violation du traitement des données à caractère personnel pourrait être définie comme un incident de sécurité, d'origine malveillante ou non, se produisant de manière intentionnelle ou non et ayant comme conséquence de compromettre l'intégrité, la confidentialité ou la disponibilité de données personnelles (10) . À titre d'exemple, il pourrait s'agir de la perte d'une clef USB non sécurisée contenant des informations relatives aux salariés telles que leur adresse postale ou leur numéro de téléphone. En matière RH, les nombreuses communications des salariés peuvent exposer l'entreprise à de tels incidents.

Pour parer à cette éventualité, tous les organismes qui traitent des données à caractère personnel doivent mettre en place des mesures pour prévenir les violations et réagir de manière appropriée en cas d'incident. Ces obligations prévues par le RGPD ont pour objet d'éviter qu'une violation cause des dommages ou des préjudices aux organismes ainsi qu'aux personnes concernées (11) .

Dans l'hypothèse d'un incident de sécurité, d'une part, une notification doit être réalisée auprès de la CNIL dans les meilleurs délais et au mieux dans les 72 heures suivant la prise de connaissance de la violation, et contenir, si possible, les informations suivantes :

  • la nature de la violation ;
  • les catégories et le nombre de personnes concernées ;
  • les catégories et le nombre d'enregistrements de données concernées ;
  • une description des conséquences probables de la violation des données ;
  • une description des mesures prises ou envisagées pour en atténuer les conséquences et éviter qu'il ne se reproduise.

D'autre part, lorsque la violation des données est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne concernée, celle-ci doit être informée de la violation de ses données.

A toutes fins utiles, il est précisé que les violations doivent également être documentées en interne par une inscription au sein du registre des traitements (12) .

Le rôle du DRH qui endosse une casquette d'acteur du traitement des données dans cette hypothèse et qui doit veiller à la bonne application à la bonne application des règles du RGPD, devient particulièrement sensible.

2 QUELS RÔLES ET OBLIGATIONS RESPECTIFS POUR ASSURER LA PROTECTION DES DONNÉES

Le RGPD a érigé un principe général de responsabilité pour rendre effective la protection des données à caractère personnel. En vertu de ce principe, toute entité traitant des données personnelles est contrainte de mettre en œuvre des mécanismes et procédures internes afin d'être en mesure d'assurer et de démontrer, à tout instant, le bon respect des règles relatives à la protection des données ainsi que celles relatives à la sûreté effective des données personnelles traitées (13) . Il convient dès lors de déterminer les acteurs et coresponsables de l'application du RGPD.

Le responsable de traitement

Il est celui qui détermine les finalités et les moyens de traitement des données à caractère individuel, il s'agit de l'employeur qui est l'entité qui a juridiquement contracté avec les travailleurs d'entreprise.

Étant précisé que le responsable du traitement doit établir un « registre des traitements » dans lequel sera recensé l'ensemble des traitements mis en œuvre au sein de son entreprise et devra également élaborer une fiche de registre par traitement identifié (14) . Ce registre doit a minima comporter les informations suivantes :

  • les finalités du traitement ;
  • les catégories de personnes concernées ;
  • les catégories de données personnelles (financières, bancaires, identitaires, familiales, etc.) ;
  • les catégories de destinataires à qui les données seront communiquées ;
  • les transferts de données vers un tiers pays ou une organisation internationale ;
  • la durée de conservation des données ;
  • si possible, une description des mesures de sécurité techniques mises en œuvre.

Le registre des traitements devra impérativement être mis en place dans les entreprises de plus de 250 salariés. En dessous de ce seuil, une dispense est admise en dehors des cas où les traitements sont susceptibles de comporter un risque pour les droits et libertés des personnes, lorsque les traitements ne sont pas occasionnels (étant considérés comme non-occasionnels, la gestion de la paie ou encore la gestion des clients), et enfin lorsque les traitements portent sur des données sensibles (15) .

Le comité social et économique (CSE)

En raison de ses nombreuses actions, notamment dans le cadre de la gestion des activités sociales et culturelles (ASC), de l'administration du personnel, ainsi que des éventuelles enquêtes qu'il peut mener, il est évidemment concerné par l'application des obligations imposées par le RGPD. Étant précisé que les règles relatives au RGPD seront rarement appliquées au cours de l'exercice des prérogatives économiques du CSE dans la mesure où les données traitées ne sont pas, en principe, individuelles.

Une vigilance toute particulière doit être observée dans la mesure où même s'il ne participe pas aux votes, le président du CSE est pourtant coresponsable avec les autres membres du CSE de l'application du RGPD, dans la mesure où cela relève du fonctionnement interne du CSE. Aussi, le président du CSE devra, en tant qu'employeur, notamment veiller à ce que les salariés soient dûment informés de la transmission de leurs données au CSE mais également, sensibiliser les membres du CSE à l'importance du respect des principes du RGPD (16) .

Le prestataire IT ou sous-traitant

Il est celui qui traite des données à caractère personnel pour le compte du responsable du traitement, il s'agit par exemple de l'expert-comptable, du fournisseur du logiciel permettant le traitement de la paie ou encore du prestataire hébergeur des données RH.

Le délégué à la protection des données personnelles (Data protection officer ou DPO)

Les missions du DPO doivent couvrir l'ensemble des traitements utilisés dans son entreprise. Il est chargé :

  • d'informer et de conseiller le responsable du traitement ou le sous-traitant, ainsi que leurs employés ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • de conseiller l'organisme sur la réalisation d'une analyse d'impact relative à la protection des données et d'en vérifier l'exécution ;
  • de coopérer avec l'autorité de contrôle et d'être le point de contact de celle-ci.

Une vigilance toute particulière doit être observée dans la mesure où même s'il ne participe pas aux votes, le président du CSE est pourtant coresponsable avec les autres membres du CSE de l'application du RGPD

S'il doit conseiller et alerter le responsable du traitement, il n'est toutefois jamais personnellement responsable de la non-conformité des traitements mis en œuvre. Cette responsabilité incombe toujours au responsable du traitement lui-même ou au sous-traitant (17) .

La désignation d'un DPO est obligatoire dès lors que les entreprises effectueront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensible (18) . Pour mener sa mission à bien, le DPO doit agir en toute indépendance (protection contre les sanctions et absence de conflit d'intérêts), à cette fin, il peut éventuellement être extérieur à la société (19) .

Le DPO est celui qui devra procéder à une étude d'impact relative à la protection des données afin de permettre de déterminer avec certitude la nécessité du traitement, sa proportionnalité et de permettre d'aider à la gestion des éventuels risques pour les droits et les libertés des personnes (20) . À cet égard, du point de vue RH, le DPO doit être défini autant que possible avec précision.

Et le DRH ? Il ressort des précédents développements que même si la direction des ressources humaines a, dans le cadre de l'exercice de ses fonctions, pour mission d'encadrer et de protéger les données à caractère personnel des salariés de son entreprise, son rôle dans l'application des principes énoncés par le RGPD n'est pas clairement défini et délimité, cependant que l'on pourrait voir se dessiner dans l'immensité du règlement de protection des données une responsabilité croissante du DRH.

Si indéniablement la direction des RH, en tant que détentrice de nombreuses données à caractère personnel, devra faire le lien entre les différents acteurs et devra piloter la révision des outils de gestion RH (comme la charte informatique, les avenants contractuels ou encore le règlement intérieur) afin de respecter les obligations en matière de RGPD, elle doit prendre conscience que le caractère particulier du traitement des données à caractère personnel des salariés peut lui conférer un rôle spécifique auquel serait dévolue une responsabilité propre.

Outre le fait que la direction RH doive assurer le respect des règles relatives à la protection des données personnelles collectées et traitées, le RGPD devient peu à peu un outil redoutable en matière probatoire devant la juridiction prud'homale

Contrairement aux services juridiques et informatiques, la direction des RH ne pilote pas, à proprement parler, le projet de mise en œuvre des obligations RGPD puisque ses actions se limitent à coordonner ou sensibiliser les autres acteurs. Pour autant des questions se posent déjà comme celle de la répartition des pouvoirs au sein des délégations de pouvoirs et notamment de l'inclusion dans le périmètre de la délégation concernant le DHR d'une responsabilité en matière d'application du RGPD aux données à caractère personnel des salariés.

Le bon respect des règles relatives au RGPD est un exercice délicat pour le DRH qui peut se trouver confronté à des conflits d'intérêts internes à l'entreprise. Par exemple avec le service juridique dont la vision pourrait différer de la sienne à l'aune d'une situation par exemple où le salarié qui a bafoué les règles relatives au RGPD à l'égard d'autres salariés pourrait se trouver sous le feu des critiques du point de vue RH, cependant que le directeur juridique pourrait être confronté à une question de e-réputation qu'il ne souhaitera pas déclencher.

De tels enjeux qui sont loin d'être négligeables pour le DRH et vont s'accroître au fur et à mesure de l'application du RGPD et de son appréhension par le DRH et les salariés, doivent être anticipés à la faveur d'un terrain très conflictuel.

3 LES POINTS DE VIGILANCE À OBSERVER

Outre le fait que la direction RH doive assurer le respect des règles relatives à la protection des données personnelles collectées et traitées, le RGPD devient peu à peu un outil redoutable en matière probatoire devant la juridiction prud'homale.

• Pour mémoire, le RGPD permet aux salariés de jouer un rôle dans son application en ce qu'il leur octroie des droits renforcés tels qu'un droit d'accès à leurs données personnelles collectées, un droit de rectification et de limitation de celles-ci, un droit d'opposition et d'effacement, ainsi qu'un nouveau droit à la portabilité d'un employeur à un autre.

Selon ces droits renforcés, un salarié pourrait être amené, sur le fondement de son droit d'accès, à exiger que lui soit communiqué l'ensemble des données de connexion à son poste de travail. Ce qui lui permettrait d'établir la preuve, à l'occasion d'un éventuel contentieux, de son temps de travail et de lui permettre ainsi de solliciter le paiement d'heures supplémentaires (21) .

Qui plus est, l'employeur est contraint de répondre « dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes » (22) .

En l'absence de réponse, l'employeur pourra, soit faire l'objet d'une sanction administrative de la part de la CNIL (23) , soit d'une procédure juridictionnelle dans la mesure où cette carence pourra être qualifiée de fautive et emporter la réparation de l'intégralité du dommage subi (24) .

Étant tout de même précisé que le droit d'accès comporte des limites, c'est le cas notamment des droits et libertés d'autrui, dans la mesure où l'exercice du droit d'accès d'un salarié ne doit pas y porter atteinte. Ainsi, aucune atteinte ne peut être portée notamment au droit des tiers (seules ses données personnelles peuvent être communiquées), à la propriété intellectuelle (par exemple au droit d'auteur, lorsqu'il protège un logiciel) ou encore au secret professionnel (25) . Au-delà de ces limites, le droit d'accès ne doit pas être exercé de façon abusive par le salarié c'est-à-dire que sa demande doit être pertinente et proportionnée, à titre d'exemple, pourrait être qualifiée d'abusive, une demande de copie de l'intégralité des données personnelles d'un salarié sur l'ensemble de sa carrière.

• À l'instar de la théorie de la réversibilité du droit du travail, le RGPD peut également s'avérer être un puissant outil à l'usage de l'employeur et notamment dans le domaine disciplinaire. En ce sens, la violation, par un salarié, de son obligation de confidentialité et de sécurité des données personnelles pourra constituer une faute justifiant un licenciement. Pour ce faire, ce manquement devra initialement être prévu dans les contrats de travail, le règlement intérieur ou la charte informatique et l'employeur devra être en mesure d'apporter la démonstration de l'information préalable du salarié.

En outre, les données personnelles collectées au moyen de traitements conformes au RGPD constituent un moyen de preuve non négligeable pour limiter le risque de condamnation aux prud'hommes. Étant cependant précisé que lorsqu'un salarié invoque le RGPD pour contester la recevabilité des preuves apportées par l'employeur, même lorsque la preuve est obtenue au travers d'un traitement de données illicite, la Cour de cassation a estimé que celui-ci pouvait être admis dans la mesure où cette production est indispensable à l'exercice du droit à la preuve et que l'atteinte est proportionnée au but recherché (26) .

4 CONCLUSION

Compte tenu de l'ampleur de la tâche à accomplir mais également en raison du développement de l'arsenal des sanctions, l'application du RGPD a suscité de nombreuses inquiétudes pour la direction des ressources humaines. Tout l'enjeu réside dans la compréhension de la logique du RGPD qui implique un basculement d'un régime administratif de formalités préalables à un régime de conformité globale (27) . Pour parvenir à cette mise en conformité, la direction des ressources humaines doit pleinement assumer son rôle de coordination entre les différents acteurs mis en place par le RGPD ainsi qu'il doit définir une politique efficace en la matière.

Tout l'enjeu réside dans la compréhension de la logique du RGPD qui implique un basculement d'un régime administratif de formalités préalables à un régime de conformité globale

Le DRH - on le sait - tantôt sujet tantôt acteur du traitement des données à caractère personnel des salariés risque de voir sa responsabilité s'accroître au fur et à mesure de sa prise de conscience de l'importance et la spécificité du sujet du traitement des données à caractère personnel des salariés, de leur volume, et de la multiplicité des sujets à cet égard.

C'est une véritable prise de conscience de la part des DRH qui doit être faite à la faveur des évolutions technologiques qui bouleversent les modes de collaboration et de communication en entreprise.

(1)

L. Chabaud et A.-L. Cottin, L'essentiel à savoir sur le RGPD, Les Cahiers du DRH, no 260, 1er janv. 2019.

Retour au texte
(2)

Site de la CNIL.

Retour au texte
(3)

Idem.

Retour au texte
(4)

É. Dufour, Principes clés à respecter, Les Cahiers du DRH, no 270, 1er déc. 2019.

Retour au texte
(5)

Site de la CNIL.

Retour au texte
(6)

Idem.

Retour au texte
(7)

É. Dufour, Principes clés à respecter, précité.

Retour au texte
(8)

Site de la CNIL.

Retour au texte
(9)

RGPD, art. 33 et 34.

Retour au texte
(10)

Site internet de la CNIL.

Retour au texte
(11)

Idem.

Retour au texte
(12)

L. Chabaud et A.-L. Cottin, L'essentiel à savoir sur le RGPD, précité.

Retour au texte
(13)

Idem.

Retour au texte
(14)

RGPD, art. 30.

Retour au texte
(15)

L. Chabaud et A.-L. Cottin, L'essentiel à savoir sur le RGPD, précité.

Retour au texte
(16)

A. Probst, RGPD : une nécessaire vigilance s'impose, Les Cahiers du DRH, nos 273-274, 1er mars 2020.

Retour au texte
(17)

RGPD, art. 35 ; L. Chabaud et A.-L. Cottin, L'essentiel à savoir sur le RGPD, précité.

Retour au texte
(18)

« Information du CSE sur les traitements automatisés de gestion du personnel et obligations du RGPD », Lamy droit des représentants du personnel, mis à jour mars 2021.

Retour au texte
(19)

L. Chabaud et A.-L. Cottin, L'essentiel à savoir sur le RGPD, précité.

Retour au texte
(20)

L. Chabaud et A.-L. Cottin, L'essentiel à savoir sur le RGPD, précité ; Guide pratique éditée par la CNIL (PIA).

Retour au texte
(21)

F.-R. Lebatard et M. Bourguignon, Le RGPD : un nouvel arrivant dans le contentieux prud'homal, Village Justice, 9 oct. 2018.

Retour au texte
(22)

RGPD, art. 12.

Retour au texte
(23)

RGPD, art. 83.

Retour au texte
(24)

RGPD, art. 82.

Retour au texte
(25)

Site de la CNIL.

Retour au texte
(26)

Cass. soc., 25 nov. 2020, no 17-19.523, P + B + R + I.

Retour au texte
(27)

É. Dufour, Par où commencer ? Les Cahiers du DRH, no 270, 1er déc. 2019.

Retour au texte