La gestion de l’adresse de travail engage des règles précises sur les données personnelles. Les obligations du responsable et du sous-traitant se retrouvent dans le registre RGPD imposé par le règlement.
La confidentialité des courriels professionnels et la sécurité informatique demandent des choix documentés et proportionnés. Selon la nature des finalités, le consentement ou un autre fondement légal doit être clairement tracé, pour guider les obligations pratiques.
A retenir :
- Registre RGPD complet et tenu à jour obligatoire
- Adresse de travail documentée dans les fiches de traitement
- Mesures de sécurité informatique proportionnées et documentées
- Information des salariés et droits d’accès clairement précisés
Registre RGPD et adresse de travail : obligations pour l’employeur
Partant de ces éléments, l’employeur doit formaliser chaque traitement lié à l’adresse de travail. Selon la CNIL, une fiche par activité permet d’identifier finalités, catégories et durées de conservation. Ce document facilite aussi la gestion des droits et la démonstration de la conformité.
Champs obligatoires du registre :
- Nom et coordonnées du responsable
- Finalités du traitement et catégories de données
- Durée de conservation et critères associés
- Mesures de sécurité techniques et organisationnelles
Champ
Description
Exemple
Responsable
Identification de l’entité responsable du traitement
Nom de la société et contact DPD
Finalités
Objectifs poursuivis par le traitement des adresses
Gestion du personnel et paie
Catégories de données
Types de données collectées et concernées
Identité, contact, localisation
Durée
Délai de conservation ou critères de détermination
Durées adaptées selon finalité
« J’ai établi notre registre et cela a clarifié les responsabilités internes et les priorités »
Marie L.
La tenue du registre favorise l’analyse des transferts et des relations avec les fournisseurs. Ce point appelle un examen précis de la sous-traitance et des garanties associées, pour réduire les risques juridiques et techniques.
Sous-traitance et transferts : portée pour l’adresse de travail
En conséquence, les relations avec les prestataires exigent une documentation contractuelle précise et traçable. Selon le Ministère de l’Économie, il convient de distinguer registre du responsable et registre du sous-traitant. La vigilance porte notamment sur les transferts hors Union européenne et les garanties imposées.
Clauses contractuelles essentielles :
- Nom et coordonnées du client responsable
- Nature et finalités des traitements réalisés
- Mesures de sécurité et audits possibles
- Conditions de transfert et garanties contractuelles
Pour illustrer, un prestataire d’hébergement doit indiquer la localisation des serveurs et les sous-traitants impliqués. Selon la CNIL, ces informations figurent parmi les éléments à consigner pour chaque activité significative. La documentation contractuelle sert aussi de preuve lors d’un contrôle administratif.
« En tant que DPD, j’ai utilisé le registre pour prioriser les risques de sous-traitance »
Olivier P.
La bonne tenue des contrats limite l’exposition aux transferts risqués et prépare les audits. Le développement suivant examine plus en détail les garanties techniques et juridiques applicables.
Registre du sous-traitant : contenu spécifique
Ce H3 précise le lien entre la sous-traitance et les exigences de traçabilité du registre. Pour chaque activité réalisée pour un client, la fiche doit recenser les opérations concrètes et les sous-traitants utilisés. Selon Juritravail, cette séparation facilite la gestion des responsabilités contractuelles et opérationnelles.
Situation
Exigence
Preuve à conserver
Transfert vers pays tiers
Identification du destinataire et garanties
Clauses contractuelles ou décision d’adéquation
Sous-traitant secondaire
Liste des entités et finalités associées
Accord écrit et audit réalisation
Service d’envoi d’emails
Description des opérations réalisées pour le client
Fiche opérationnelle par service
Maintenance informatique
Mesures d’accès et journalisation
Procédure d’accès et logs
Garanties pour les transferts hors Union européenne
Ce H3 met en relation les transferts et les garanties contractuelles attendues. Les options principales incluent clauses contractuelles types, décisions d’adéquation ou garanties supplémentaires. L’objectif est de démontrer que les droits des personnes restent protégés malgré le transfert.
Pour approfondir ces notions, une vidéo explicative peut aider les responsables et DPD à mieux comprendre leurs obligations.
Voici une ressource vidéo pédagogique :
Information des salariés, consentement et sécurité informatique
À la suite des garanties, la phase d’information et le recueil du consentement deviennent prioritaires pour les traitements liés à l’adresse de travail. Les salariés doivent recevoir une information claire sur l’usage de leurs coordonnées et sur les droits exercés. Cette exigence renforce la confiance et la conformité documentaire de l’organisation.
Points d’information obligatoires :
- Identité du responsable et coordonnées de contact
- Finalités du traitement et fondement juridique
- Durées de conservation et critères applicables
- Modalités d’exercice des droits et recours possibles
Le recueil du consentement n’est pas toujours requis si un autre fondement légal s’applique, par exemple l’exécution d’un contrat. Selon la CNIL, l’information préalable reste systématique, même lorsque le fondement repose sur une obligation légale. La sécurité informatique complète ces obligations par des mesures techniques et organisationnelles adaptées.
« Nous avons revu nos mentions d’information et réduit la collecte des adresses inutiles »
Lucas N.
Consentement et limites
Ce H3 relie l’information au régime du consentement et à ses limites pratiques pour l’adresse professionnel. Le consentement doit être libre, spécifique, éclairé et manifeste pour être valable. En pratique, d’autres bases juridiques peuvent s’appliquer pour le traitement des adresses professionnelles.
« L’effort d’information a nettement réduit les demandes de suppression injustifiées »
Sophie N.
Sécurité informatique et conservation
Ce H3 met l’accent sur la liaison entre conservation limitée et mesures de sécurité informatique. Les politiques internes doivent définir les durées et les dispositifs de protection des adresses, comme l’accès restreint et le chiffrement. Selon la CNIL, la consignation de ces choix dans le registre facilite les réponses aux audits et demandes d’information.
Source : CNIL, « Le registre des activités de traitement », CNIL, 13 avril 2018 ; Ministère de l’Économie, « Collecte des données de vos salariés », economie.gouv.fr ; Juritravail, « RGPD : l’obligation d’information des salariés », Juritravail.