Ai-je le droit de publier les coordonnées professionnelles de mes employés sur le site de l'entreprise sans leur accord ?

La question de la publication des coordonnées professionnelles des employés sur le site internet d'une entreprise soulève des enjeux majeurs en matière de protection des données personnelles. 

Selon la réglementation en vigueur et les recommandations de la CNIL, cette pratique est autorisée sous certaines conditions strictes qui garantissent le respect des droits des salariés tout en répondant aux besoins légitimes de l'entreprise. Cette publication doit s'appuyer sur une base légale solide, respecter le principe de proportionnalité et faire l'objet d'une information transparente des collaborateurs concernés.

Intérêt légitime et nécessité de publication des coordonnées professionnelles

La publication des coordonnées professionnelles (comme par exemple : nom, fonction, adresse e-mail ou numéro de téléphone professionnel) est autorisée si cela est nécessaire à l'activité de l'entreprise. 

Par exemple, pour permettre à des clients ou partenaires de contacter directement un employé dans le cadre de ses missions. Cette approche s'appuie sur la base légale de l'intérêt légitime, qui constitue l'une des six bases légales prévues par le RGPD. L'intérêt légitime suppose que les intérêts commerciaux ou opérationnels poursuivis par l'organisme ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.

Les conditions d'application de l'intérêt légitime

Pour fonder un traitement sur l'intérêt légitime, l'organisme traitant les données doit respecter certaines exigences strictes. 

L'organisme doit effectuer un équilibre délicat entre ses propres intérêts commerciaux ou opérationnels et les droits fondamentaux ainsi que les libertés des personnes concernées. Il doit également prendre en compte ce que ces personnes peuvent légitimement attendre concernant l'utilisation de leurs données personnelles.

L'intérêt légitime ne peut donc être considéré comme une base légale « par défaut ». Il requiert au contraire un examen attentif de la part de l'organisme et le suivi d'une méthodologie rigoureuse. Cette base légale concerne les traitements mis en œuvre par des organismes privés qui ne portent pas une atteinte importante aux droits et intérêts des personnes concernées.

Informations préalables exigées par le RGPD

Les employés doivent être informés de manière claire et transparente que leurs coordonnées professionnelles seront publiées, ainsi que des finalités de cette publication. Cette information peut être incluse dans une note interne, un règlement ou directement dans le contrat de travail. Le RGPD impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. 

Cette obligation de transparence permet aux personnes concernées de connaître la raison de la collecte des différentes données les concernant, de comprendre le traitement qui sera fait de leurs données et d'assurer la maîtrise de leurs données en facilitant l'exercice de leurs droits.

Contenu obligatoire de l'information

L'employeur doit transmettre plusieurs informations essentielles conformément aux exigences du RGPD :

• L'identité et les coordonnées du responsable du traitement
• Les coordonnées du délégué à la protection des données le cas échéant
• La finalité poursuivie par le traitement
• La base légale justifiant le traitement
• Le caractère obligatoire ou facultatif de la fourniture de données personnelles
• Les destinataires des données personnelles
• La durée de conservation des données
• Les droits de la personne sur ses données

Modalités pratiques d'information

Cette obligation d'information peut être remplie de manière globale selon la jurisprudence, ce qui facilite la mise en œuvre pour l'employeur. L'information peut être communiquée lors de la collecte des données, mais aussi de manière continue sur les droits des salariés une fois les données personnelles collectées. En cas de violation de données personnelles ou lors de l'exercice de leurs droits, les salariés doivent également être informés.

Respectez le principe de proportionnalité dans la publication des données

Seules les informations strictement nécessaires à l'objectif poursuivi doivent être publiées. 

Par exemple, il n'est pas justifié de publier des informations personnelles ou non pertinentes (comme une adresse personnelle ou un numéro de portable personnel). Ce principe découle directement des règles de collecte des données des salariés, où la CNIL rappelle que "l'employeur ne doit collecter que les données dont il a réellement besoin".

Dans le cadre de la gestion du personnel, l'employeur peut collecter des informations utiles à la gestion administrative du personnel, à l'organisation du travail ou à l'action sociale prise en charge par l'employeur. Toutefois, l'employeur ne peut révéler les coordonnées personnelles d'un salarié que si la loi ou une décision de justice le prévoit.

Limitez les données publiées aux informations strictement nécessaires

Bien que le consentement explicite ne soit pas requis, les employés peuvent exercer leur droit d'opposition s'ils estiment que la publication porte atteinte à leurs droits ou à leur vie privée. L'employeur devra alors évaluer la légitimité de cette opposition au regard des besoins professionnels. Le droit d'opposition fait partie des droits fondamentaux accordés aux personnes concernées par le RGPD, permettant de conserver la maîtrise de leurs données personnelles.

Faites la distinction entre coordonnées professionnelles et personnelles

Il est essentiel de distinguer les coordonnées professionnelles des données personnelles. Les coordonnées professionnelles constituent bien des données à caractère personnel car elles permettent d'identifier une personne physique. Toute information se rapportant à une personne physique identifiée ou identifiable peut être qualifiée comme donnée personnelle. L'identité (nom et prénom) d'un individu permet de l'identifier directement, et il en est de même du numéro de téléphone professionnel ou de l'adresse e-mail professionnelle.

Exemples de données autorisées et interdites

Dans le processus de recrutement comme dans la gestion courante du personnel, certaines données sont strictement interdites. 

L'employeur ne peut pas collecter ou publier des informations relatives aux membres de la famille du salarié, s'il souhaite avoir des enfants, ou des données sensibles révélant l'origine raciale, les opinions politiques, religieuses ou les appartenances syndicales. Seules les informations nécessaires pour vérifier la capacité du salarié à occuper son emploi peuvent être traitées.

Exercice du droit d'opposition par les salariés

Le droit d'opposition peut être exercé par le salarié seulement si le traitement est justifié par un intérêt légitime. L'employeur doit faire droit à cette opposition à moins que n'existent des motifs légitimes et impérieux qui vont prévaloir sur les droits et libertés du salarié. Toutefois, l'employeur ne sera pas tenu de faire droit à cette demande si le traitement est nécessaire à l'exécution du contrat de travail.

Pour exercer ce droit, le salarié doit généralement indiquer "des raisons tenant à sa situation particulière". L'organisme est tenu de prouver qu'il a des motifs "légitimes et impérieux" qui lui imposent de continuer à utiliser les données malgré la demande d'opposition.

Durée de conservation et mise à jour

La durée de conservation des données publiées doit être proportionnée à la finalité poursuivie. Les coordonnées professionnelles doivent être mises à jour régulièrement et supprimées du site internet lorsque l'employé quitte l'entreprise ou change de fonction. Cette obligation de mise à jour s'inscrit dans le principe de qualité des données, qui exige que les informations traitées soient exactes et tenues à jour.

Les obligations de l'employeur en tant que responsable de traitement

L'employeur, en tant que responsable de traitement des données personnelles, doit respecter plusieurs obligations fondamentales. Il doit assurer le respect des principes du RGPD, tenir un registre des traitements, sécuriser les données à caractère personnel et mettre en place une procédure de violation de données personnelles.

Le registre des traitements

L'obligation de tenir un registre des traitements s'applique différemment selon la taille de l'entreprise. Pour les entreprises de moins de 250 salariés, la tenue du registre est obligatoire lorsque l'entreprise procède à des traitements non occasionnels, susceptibles de comporter un risque pour les droits et libertés des personnes, ou portant sur des données sensibles. À partir de 250 salariés, la tenue d'un registre des traitements est obligatoire dans tous les cas.

Les mesures de sécurité

L'employeur doit assurer la sécurité des données face aux risques de pertes, piratages, ou tout facteur susceptible d'entraîner la destruction, la perte, l'altération, la divulgation non autorisée des données. Les violations de données personnelles susceptibles de porter atteinte aux droits et libertés des salariés doivent être signalées sous un délai de 72h maximum à la CNIL.

Les droits des salariés et leur exercice

Les salariés bénéficient de l'ensemble des droits informatiques et libertés prévus par le RGPD. Ces droits incluent le droit d'information lors de la collecte, le droit d'accès, de rectification, d'effacement, à la limitation du traitement, à la portabilité des données, d'opposition, et de ne pas faire l'objet d'une décision fondée sur un traitement automatisé.

Le droit d'accès renforcé

Récemment, la CNIL a actualisé sa doctrine concernant le droit d'accès des salariés à leurs données personnelles, notamment aux courriels professionnels. Cette mise à jour intervient après une intensification des sanctions en 2024, le droit d'accès constituant une thématique de contrôle prioritaire de la CNIL. Les salariés peuvent demander l'accès à leurs données sans justification de motif, et l'accès doit être gratuit pour la première copie.

Une question sur la publication de coordonnées professionnelles sur votre site ?

Notre équipe chez Inkivari est à votre disposition pour toute interrogation concernant la gestion des données personnelles.