Les RH doivent être très attentifs à l’information qui sera fournie aux collaborateurs. C’est un point essentiel car les salariés doivent pouvoir savoir à tout moment quels sont les traitements de données les concernant mis en place par leur employeur ainsi que les modalités pour exercer leurs droits. Dans les entreprises s’applique aussi le Code du travail, qui comporte des obligations similaires, en ce qui concerne la proportionnalité ou l’information des salariés par exemple. Ces deux législations sont complémentaires et indissociables. Sur le recrutement par exemple, l’article L 1221-8 du Code du travail indique que le candidat doit être informé sur les méthodes et les techniques d’aides au recrutement utilisées et que ces dernières doivent être pertinentes au regard de la finalité poursuivie. En parallèle, le RGPD impose que les candidats soient préalablement informés des traitements auxquels vont être soumises les données recueillies et qu’ils ne doivent concerner que des données pertinentes par rapport à l’objectif poursuivi conformément au principe de minimisation des données.

Un élément structurant en RH, c’est que le consentement du salarié ne peut pas être valablement recueilli. C’est une position constante de toutes les autorités chargées de la protection des données, y compris avant l’entrée en vigueur du RGPD. Cette impossibilité d’utiliser le consentement du salarié comme base légale d’un traitement de données tient à ce que le caractère libre du consentement puisse être vicié par le lien de subordination existant entre l’employé et l’employeur. L’un des considérants du RGPD précise à cet égard qu’en cas de déséquilibre manifeste entre les parties, le consentement doit être analysé avec de très grandes précautions. La CNIL a reçu de nombreuses plaintes de salariés indiquant que leur employeur « forçait » leur consentement. Pour l’entreprise, le risque est de se retrouver avec un traitement de données dépourvu de base légale, ce qui l’expose à des sanctions pouvant représenter au maximum 4 % du chiffre d’affaires ou 20 millions d’euros. Le consentement n’est pas la seule base légale que l’employeur peut utiliser : il y a aussi par exemple l’intérêt légitime ou encore l’obligation légale.

Les RH doivent être très vigilants sur le détournement de finalité qui constitue un manquement majeur en droit Informatique et libertés. La finalité d’un traitement détermine en effet notamment trois paramètres clefs : le type de données collectées, leurs durées de conservation et l’information des salariés. Les RH doivent donc être clairs sur ce qu’ils vont faire des données et plus particulièrement sur tout ce qui concerne le contrôle de l’activité des salariés. La Cour de cassation a indiqué qu’un employeur a le droit de contrôler la productivité des salariés mais pas à n’importe quel prix, pas si cela comporte une atteinte disproportionnée à leur vie privée, ce qui interdit la surveillance permanente. Un tel cas de figure expose aussi à un manquement au principe de minimisation dans la collecte des données. Dans le cas d’une vidéosurveillance destinée à assurer la sécurité des biens et des personnes, le son enregistrant tous les propos des salariés pose clairement problème, par exemple.

La mise à jour de la recommandation de la CNIL sur le recrutement devrait intervenir vers la fin 2019. Elle aura pour objectif d’indiquer la position de la CNIL sur l’utilisation des outils d’intelligence artificielle et des algorithmes dans le domaine du recrutement. Elle fixera également la position de la CNIL sur l’utilisation à des fins de recrutement des données mises sur les réseaux publics ouverts. Le RGPD, tout comme le Code du travail, exigent que les données recueillies lors du recrutement permettent uniquement d’apprécier la capacité à occuper l’emploi proposé ou les aptitudes professionnelles et doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles. Or en quoi les données récoltées sur un réseau social privé sont-elles de nature à établir cette adéquation ? Outre que l’usage de ces données peut déboucher sur une potentielle discrimination, il s’agit par ailleurs d’un cas de détournement de finalité. Ces données ont été diffusées sur les réseaux sociaux à des fins privées. Lorsque l’entreprise les récupère et les utilise dans un traitement dont la finalité est le recrutement, il y a un détournement de finalité.