Écrit le 07/08/2025
Lecture : 8 minutes
En tant qu’employeur, vous pouvez être amené à collecter des informations concernant vos salariés afin de procéder aux recrutements, calculer les horaires de travail ou encore établir la fiche de paie. Toutefois, la collecte de ces informations est strictement encadrée par la loi. Quelles règles devez-vous respecter ? On vous répond.
Collecte des données lors du processus de recrutement : quelles sont les limites ?
À l’occasion d’un recrutement, vous pouvez solliciter de nombreuses informations concernant de potentielles recrues. Toutefois, selon les dispositions de l’article L. 1221-6 du code du travail, sachez que les informations que vous êtes en droit de demander se limitent à celles nécessaires pour vérifier la capacité du candidat à occuper l’emploi que vous proposez.
Ainsi, vous ne pouvez pas questionner le candidat sur les points suivants :
- son numéro de sécurité sociale et ses coordonnées bancaires (sauf dans le cas spécifique des entreprises de travail temporaire en leur qualité d’employeur),
- des informations relatives aux membres de sa famille,
- s’il souhaite avoir des enfants,
- ses mensurations, poids, couleur des cheveux, etc., sauf pour certains types de postes particuliers (mannequins, pilotes de course, jockeys, etc.) : l’annonce publiée par le recruteur devra spécifier les caractéristiques recherchées.
Il est également interdit de collecter et de conserver des données sensibles, c’est-à-dire des informations qui, directement ou indirectement, font apparaître la prétendue origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales, les informations relatives à la santé ou à la vie sexuelle du candidat.
Par ailleurs, seules les personnes participant au processus de recrutement peuvent avoir accès aux informations personnelles recueillies sur les candidats.
Enfin, si une candidature n’est pas retenue mais que vous souhaitez conserver les informations récoltées à cette occasion (curriculum vitae, lettre de motivation, coordonnées, etc.), vous devez en avertir le candidat, qui peut à cette occasion s’y opposer.
Si vous obtenez son accord, les informations collectées ne peuvent pas être conservées indéfiniment par le recruteur. Dans son guide du recrutement, la Commission nationale de l'informatique et des libertés (CNIL) précise que le recruteur doit définir une durée de conservation de ces informations en amont. Celle-ci doit être cohérente et justifiée en fonction de l’objectif poursuivi par le traitement mis en œuvre.
Collecte des données servant à la gestion du personnel : quelles sont les règles à respecter ?
Afin de mener à bien la gestion courante du personnel (paie, contrat, sécurité), vous pouvez recueillir des informations personnelles concernant vos employés.
Ces informations peuvent être de plusieurs natures :
- relevé d’identité bancaire afin d’assurer la paie du salarié,
- taux d’imposition dans le cadre de l’impôt à la source,
- copie des diplômes obtenus correspondant au niveau de qualification du poste,
- coordonnées d’un proche pouvant servir de contact en cas d’urgence touchant le salarié, etc.
Concernant ces données, la CNIL rappelle que « l’employeur ne doit collecter que les données dont il a réellement besoin, et ne doit le faire qu’à partir du moment où ce besoin se concrétise ».
Il est de la responsabilité de l’employeur de contrôler l’accès à ces données, afin que seules les personnes habilitées, telles que les ressources humaines, puissent en prendre connaissance.
Par ailleurs, ces informations ont une durée de conservation limitée. Elles sont conservées le temps de la présence du salarié dans votre entreprise.
Une fois le salarié parti, certaines doivent être conservées au-delà, afin de répondre à vos obligations comptables, sociales ou fiscales. C’est notamment le cas des documents relatifs à la paie ou au contrat de chaque salarié que vous êtes tenu de conserver pendant cinq ans.
Collecte des données liées à la sécurité : quel encadrement ?
Horaires de travail de vos salariés
En tant qu’employeur, vous pouvez mettre en place des outils vous permettant de calculer le temps de travail effectif des salariés.
Toutefois, les instances du personnel ainsi que tous les employés doivent être informés du déploiement d’un outil permettant la mesure du temps de travail.
De plus, ne peuvent avoir accès à ces informations que le comité social et économique (article L.3171-2 du Code du travail), si présent dans l'entreprise, les personnes chargées de la gestion du personnel, de la paie ou encore de la sécurité du bâtiment.
Par ailleurs, ces informations doivent être conservées pendant cinq ans maximum.
En savoir plus sur le contrôle des horaires sur le lieu de travail
Courriels et historique de recherche
Si vous mettez à disposition de vos salariés des outils informatiques afin de mener à bien leurs missions, les dossiers, courriels et historiques de recherche sont considérés, a priori, comme ayant un caractère professionnel.
Aussi, vous êtes autorisé à en prendre connaissance.
Néanmoins, ces contrôles doivent se faire dans le respect de la vie privée de chaque salarié, qui doit notamment être informé des finalités poursuivies par ces contrôles.
Par ailleurs, un courriel qui aurait comme objet « personnel » ou « privé » ne peut être consulté par l’employeur en présence de l’employé ou après l’avoir appelé.
Enfin, la CNIL rappelle que l’usage de logiciels permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur, aussi appelés « keyloggers », est illicite, sauf lorsqu’il répond à un impératif exceptionnel de sécurité.
Vidéosurveillance
La vidéosurveillance sur les lieux de travail est strictement encadrée.
- Les caméras peuvent être installées aux entrées, sorties, voies de circulation, ou zones où sont entreposées des marchandises ou biens de valeur.
- La surveillance continue des salariés à leur poste de travail est interdite, sauf circonstances exceptionnelles liées par exemple à la manipulation de fonds ou à la sécurité.
- Les zones de pause, de repos, toilettes sont interdites à la vidéosurveillance.
- Les locaux syndicaux et les accès menant uniquement à ces locaux ne peuvent pas être filmés.
Dans tous les cas : les salariés doivent être informés de ces dispositifs et de leurs finalités. De plus, seules les personnes habilitées par l’employeur, dans le cadre de leurs fonctions, peuvent visionner les images enregistrées.
En savoir plus sur les règles liées à la vidéosurveillance et vidéoprotection au travail
Contrôle biométrique
Le recours à la biométrie pour contrôler l’accès (empreinte digitale, reconnaissance faciale) est lui aussi contrôlé.
- Vous devez justifier le besoin d’un dispositif biométrique. S’il existe une solution moins intrusive, elle doit être privilégiée.
- Vous devez garantir la maîtrise de gabarit en privilégiant le stockage des données sous maîtrise exclusive de la personne concernée.
- Toute mise en place doit être documentée et justifiée.
Consultez le règlement type biométrie sur les lieux de travail de la CNIL [PDF- 512.17 Ko]
Géolocalisation des salariés
La géolocalisation appliquée aux véhicules de fonction doit respecter plusieurs conditions :
- elle doit répondre à un objectif légitime : sécurité, optimisation des tournées, gestion logistique,
- elle ne doit pas servir à réaliser un contrôle permanent et intrusif des salariés,
- les salariés doivent pouvoir désactiver la géolocalisation en dehors de leurs heures de travail pour garantir leur vie privée,
- les finalités et modalités doivent être communiquées clairement à l’ensemble des salariés concernés.
En savoir plus sur les règles encadrant la géolocalisation des véhicules des salariés
Enregistrement des conversations téléphoniques
L’enregistrement des conversations téléphoniques, comme celui des vidéoconférences ou captures d’écran, est strictement réglementé.
- Il est interdit sans information et consentement préalable des personnes enregistrées, sauf exception justifiée (sécurité, preuve en cas de litige).
- L’objectif doit être légitime et proportionné, et les données doivent être conservées de façon limitée dans le temps.
- Toute surveillance doit respecter les droits fondamentaux à la vie privée et à la confidentialité.
À savoir
Une analyse d’impact sur la protection des données (AIPD) doit être réalisée en cas de risque élevé pour les droits et libertés des personnes concernés. De plus, les entreprises traitant à grande échelle des données sensibles ou effectuant des suivis systématiques doivent nommer un délégué à la protection des données, aussi appelé Data Protection Officer (DPO), dont le rôle est de vous informer et de vous conseiller.
Traitement de données : quelles sont les obligations ?
Toutes les entreprises, quelle que soit leur taille, sont dans l’obligation de tenir un registre des traitements, dès lors qu’elles traitent des données personnelles.
Le registre des activités de traitement contient l’ensemble des informations relatives aux différents traitements de données personnelles mis en place par l’entreprise.
Ce document de recensement et d’analyse est prévu par l’article 30 du règlement général sur la protection des données (RGPD) et participe à la documentation de la conformité.
Cas particulier
Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Elles doivent inscrire au registre les seuls traitements de données suivants :
- les traitements non occasionnels tels que la gestion de la paie ou la gestion des clients,
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes, tels que les systèmes de géolocalisation ou de vidéosurveillance,
- les traitements qui portent sur des données sensibles telles que les données de santé.
En savoir plus sur le registre des activités de traitement
Quelle sanction risquez-vous en cas de non-respect des règles de collecte des données ?
Le non-respect des règles liées à la collecte et à la protection des données personnelles des salariés expose l’employeur à des sanctions sévères.
- En cas de détournement des données (utilisation à d’autres fins que celles prévues), de collecte frauduleuse des données personnelles ou de défaut d’information, les peines peuvent aller jusqu’à cinq ans de prison et 300 000 euros d’amende. (articles 226-16 à 226-24 du code pénal)
- La CNIL peut également prononcer des sanctions administratives lourdes, incluant des amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros en cas de manquements importants. (article 83 du RGPD)
Ressources complémentaires
- Guide recrutement : les fondamentaux en matière de protection des données personnelles et questions-réponses [PDF – 1 379 Ko]
- Les règles pour la gestion du personnel sur le site de la CNIL
- L’accès aux locaux et le contrôle des horaires sur le lieu de travail sur le site de la CNIL
- Le contrôle de l’utilisation d’Internet et de la messagerie électronique sur le site de la CNIL
- Comment gérer les données personnelles de son entreprise en conformité avec le RGPD ? sur Francenum.gouv
- Article L1221-6 du Code du travail relatif au recrutement
- Article L1132-1 du Code du travail sur le principe de non-discrimination
- Article L1121-1 du Code du travail relatif aux droits et libertés dans l'entreprise
- Article L1222-4 du Code du travail relatif à l'information préalable du salarié
- Articles 226-16 à 226-24 du Code pénal sur les sanctions pénales en cas de collecte frauduleuse ou détournement de données.
- Article 30 du RGPD sur le Registre des activités de traitement
- Article 83 du RGPD relatif aux sanctions administratives en cas de non-respect des règles de collecte et protection des données.
