La question de la publication des coordonnées professionnelles des employés sur le site internet d'une entreprise soulève des enjeux majeurs en matière de protection des données personnelles. Selon la réglementation en vigueur et les recommandations de la CNIL, cette pratique est autorisée sous certaines conditions strictes qui garantissent le respect des droits des salariés tout en répondant aux besoins légitimes de l'entreprise. Cette publication doit s'appuyer sur une base légale solide, respecter le principe de proportionnalité et faire l'objet d'une information transparente des collaborateurs concernés.
Intérêt légitime et nécessité de publication des coordonnées professionnelles
La publication des coordonnées professionnelles (ex. : nom, fonction, adresse e-mail ou numéro de téléphone professionnel) est autorisée si cela est nécessaire à l'activité de l'entreprise. Par exemple, pour permettre à des clients ou partenaires de contacter directement un employé dans le cadre de ses missions. Cette approche s'appuie sur la base légale de l'intérêt légitime, qui constitue l'une des six bases légales prévues par le RGPD. L'intérêt légitime suppose que les intérêts commerciaux ou opérationnels poursuivis par l'organisme ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.
Informations préalable exigée par le RGPD
Les employés doivent être informés de manière claire et transparente que leurs coordonnées professionnelles seront publiées, ainsi que des finalités de cette publication. Cette information peut être incluse dans une note interne, un règlement ou directement dans le contrat de travail. Le RGPD impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence permet aux personnes concernées de connaître la raison de la collecte des différentes données les concernant, de comprendre le traitement qui sera fait de leurs données et d'assurer la maîtrise de leurs données en facilitant l'exercice de leurs droits.
L'employeur doit transmettre plusieurs informations essentielles : l'identité et les coordonnées du responsable du traitement, les coordonnées du délégué à la protection des données le cas échéant, la finalité poursuivie par le traitement, la base légale justifiant le traitement, le caractère obligatoire ou facultatif de la fourniture de données personnelles, les destinataires des données personnelles, la durée de conservation des données et les droits de la personne sur ses données.
Respectez le principe de proportionnalité dans la publication des données
Seules les informations strictement nécessaires à l'objectif poursuivi doivent être publiées. Par exemple, il n'est pas justifié de publier des informations personnelles ou non pertinentes (comme une adresse personnelle ou un numéro de portable personnel). Ce principe découle directement des règles de collecte des données des salariés, où la CNIL rappelle que "l'employeur ne doit collecter que les données dont il a réellement besoin".
Dans le cadre de la gestion du personnel, l'employeur peut collecter des informations utiles à la gestion administrative du personnel, à l'organisation du travail ou à l'action sociale prise en charge par l'employeur. Toutefois, l'employeur ne peut révéler les coordonnées personnelles d'un salarié que si la loi ou une décision de justice le prévoit.
Limitez les données publiées aux informations strictement nécessaires
Bien que le consentement explicite ne soit pas requis, les employés peuvent exercer leur droit d'opposition s'ils estiment que la publication porte atteinte à leurs droits ou à leur vie privée. L'employeur devra alors évaluer la légitimité de cette opposition au regard des besoins professionnels. Le droit d'opposition fait partie des droits fondamentaux accordés aux personnes concernées par le RGPD, permettant de conserver la maîtrise de leurs données personnelles.
Faites la distinction entre coordonnées professionnelles et personnelles
Il est essentiel de distinguer les coordonnées professionnelles des données personnelles. Les coordonnées professionnelles constituent bien des données à caractère personnel car elles permettent d'identifier une personne physique. Toute information se rapportant à une personne physique identifiée ou identifiable peut être qualifiée comme donnée personnelle. L'identité (nom et prénom) d'un individu permet de l'identifier directement, et il en est de même du numéro de téléphone professionnel ou de l'adresse e-mail professionnelle.
Durée de conservation et mise à jour
La durée de conservation des données publiées doit être proportionnée à la finalité poursuivie. Les coordonnées professionnelles doivent être mises à jour régulièrement et supprimées du site internet lorsque l'employé quitte l'entreprise ou change de fonction. Cette obligation de mise à jour s'inscrit dans le principe de qualité des données, qui exige que les informations traitées soient exactes et tenues à jour.