Notre entreprise fait partie d’un grand groupe de plus de 250 salarié·es. Cela implique des obligations légales renforcées sur la gestion des données personnelles. Depuis 2018, le RGPD (Règlement Général sur la Protection des Données) impose à toutes les entreprises de respecter la vie privée, y compris celle des salarié·es. Au travail, cela concerne tout ce qui permet de vous identifier : vos horaires, vos mails, vos performances, vos absences, vos données de santé. L’entreprise doit vous informer sur ce qu’elle collecte, pourquoi, et comment elle les utilise. Ces règles ne sont pas optionnelles. Pourtant, dans la pratique, ces droits sont souvent ignorés. Des données sont parfois utilisées pour évaluer, sanctionner ou priver un salarié de prime, sans l’avoir prévenu. Et sous prétexte de “confidentialiel”, certaines décisions disciplinaires échappent à toute discussion, alors qu’elles reposent sur des données qu’on ne vous a même pas déclarées. Ce n’est pas légal. Le RGPD protège contre ce type de dérives. Il vous donne des droits : accès à vos données, rectification, opposition, suppression. Et si ces droits ne sont pas respectés, vous avez des recours. Ce n’est pas un sujet technique réservé aux RH : c’est un outil de défense, concret, pour chaque salarié·e.
Dans un groupe de plus de 250 salarié·es, comme le nôtre, la loi ne laisse aucune place au flou. Le RGPD impose que chaque salarié·e soit informé·e, de manière claire et compréhensible, de l’utilisation de ses données personnelles.
Cela signifie que l’entreprise doit vous dire :
Quelles données elle collecte sur vous (ex. : horaires, productivité, mails, absences, santé, etc.)
Pourquoi elle les collecte (ex. : gestion RH, suivi des absences, sécurité…)
Combien de temps elle les garde
Qui y a accès (ex. : RH, managers, prestataires…)
Et surtout, si elles sont utilisées pour vous évaluer, vous sanctionner ou vous priver de prime
Cette information doit être transmise à chaque salarié, pas cachée dans un coin d’intranet ou dans une note confidentielle. Il ne suffit pas d’un DPO au niveau du groupe : le salarié doit recevoir une information directe, dans un langage simple, sur ses droits et sur les traitements qui le concernent.
Le RGPD impose à l’entreprise de désigner un Délégué à la Protection des Données, qu’on appelle aussi DPO (pour Data Protection Officer). Ce DPO peut être rattaché au groupe, comme c’est le cas ici, mais l’obligation reste la même : chaque salarié doit être informé de qui il est, de son rôle, et de comment le contacter.
Le DPO est chargé de :
Veiller au respect du RGPD,
Conseiller l’entreprise sur ses obligations,
Être le contact direct des salarié·es ou de toute personne qui souhaite exercer ses droits.
Si vous ne savez pas qui est le DPO, ni comment le joindre, alors l’entreprise ne respecte pas ses obligations d’information.
Cela peut paraître anodin, mais en cas de problème (sanction injuste, données mal utilisées, erreur RH…), c’est lui qui est censé protéger vos droits. Encore faut-il savoir qu’il existe…
Le RGPD ne sert pas qu’à encadrer les pratiques des entreprises. Il vous donne à vous, salarié·e, des droits concrets que vous pouvez faire valoir à tout moment.
Vous avez d’abord le droit d’être informé·e de façon claire, ce qui n’est souvent pas fait. Vous pouvez aussi exercer, à tout moment, les droits suivants :
Droit d’accès : vous pouvez demander à l’entreprise toutes les données personnelles qu’elle détient sur vous. Cela inclut vos horaires, vos évaluations, vos mails, vos historiques de pointage, vos données RH, etc.
Droit de rectification : si des données sont fausses ou incomplètes (ex. : une erreur dans votre dossier, un faux motif disciplinaire), vous pouvez exiger qu’elles soient corrigées.
Droit d’opposition : vous pouvez refuser que certaines données soient utilisées, par exemple pour un affichage de performance, un scoring individuel, ou un traitement automatisé injustifié.
Droit à l’effacement : dans certains cas, vous pouvez demander la suppression de données qui ne sont plus légitimes ou nécessaires (ex. : une ancienne sanction conservée sans justification).
Droit de limitation : vous pouvez bloquer temporairement l’utilisation de certaines données, le temps qu’un litige soit réglé ou qu’une vérification ait lieu.
Sanction fondée sur un signalement “confidentiel”
Un salarié reçoit une sanction disciplinaire, mais l’employeur refuse de dire qui a signalé les faits. On parle de “retours” ou de “remontées” anonymes, sans preuve identifiable.
C’est une violation du RGPD. Toute donnée utilisée pour une sanction doit être claire, traçable et accessible à la personne concernée.
Reproches verbaux sans trace écrite
Lors d’un entretien, un salarié reçoit des reproches pour son comportement ou son implication, sans qu’aucun écrit ne formalise ces critiques.
Si ces propos influencent une décision (prime, évolution, sanction), ils deviennent des données personnelles. Le RGPD impose qu’elles soient documentées et consultables.
Prime retirée sans justification claire
Un salarié n’obtient pas sa prime car on lui reproche un comportement ou une absence, sans qu’aucun critère ni donnée ne soit communiqué par écrit. Si une prime dépend de données personnelles (présence, résultats, attitude), les critères doivent être transparents et le salarié doit pouvoir y accéder.
Accès non autorisé aux données personnelles
Le RGPD interdit strictement ce type d’accès. Seules des personnes identifiées et autorisées peuvent accéder à des données sensibles. Quotas de productivité : l’accès aux données est strictement encadré Les salarié·es savent généralement s’ils atteignent ou non leur quota de production. Ils ont une idée des objectifs attendus, et voient les conséquences (prime ou non, remarques, pression). Mais ce que dit le RGPD, c’est que ces données sont personnelles. Le suivi individuel des performances (nombre de colis, cadence, erreurs) est un traitement de données personnelles. Et donc, leur accès est strictement réglementé. Le salarié concerné a le droit d’accéder à ses propres données : résultats détaillés, relevés, calculs…
Mais ces données ne doivent pas être consultées par n’importe qui : seul un personnel habilité (manager direct, RH, DPO) peut y accéder, et uniquement si cela est justifié.
Utilisation des badgeuses sans information préalable
Qui a le droit de consulter les données de badge ?
Les données de badge ne peuvent pas être consultées librement. Leur accès est strictement réservé à des personnes : habilitées par écrit (ex : RH, direction), et formellement déclarées dans le registre RGPD de l’entreprise.
Cela signifie que : Une technicienne logistique n’a pas le droit de consulter les horaires de son équipe si elle n’est pas officiellement habilitée, Un agent de maîtrise, un superviseur ou même un manager doit être expressément autorisé par l’entreprise pour y accéder, Le salarié concerné a, lui, le droit d’y accéder à tout moment, sur simple demande. Le RGPD interdit que les données de badge soient utilisées ou montrées à d’autres personnes que celles autorisées, même en cas de “simple remarque” ou de “petit contrôle informel”.
Comment faire valoir vos droits : le plus simple et le plus sûr
Vous avez le droit de savoir quelles données personnelles l’entreprise détient sur vous, comment elles sont utilisées, et de demander une correction ou une explication si quelque chose vous semble injuste.
Mais dans la pratique, ce n’est pas toujours simple de faire la demande soi-même.
La solution la plus directe : passer par un représentant du personnel ou syndical
Vous pouvez confier votre demande à un élu du CSE ou à un représentant syndical.
C’est souvent la solution la plus rapide et la plus sécurisée, surtout si la RH freine ou vous fait des réponses floues.
Il vous suffit de lui donner une autorisation écrite et signée (un simple papier suffit).
Avec ça, le représentant peut :
Faire la demande d’accès à vos données à votre place,
Exiger les documents RH ou les fichiers de suivi vous concernant,
Relancer officiellement la RH si elle ne répond pas,
Contacter directement le DPO du groupe,
Et si besoin, saisir la CNIL en votre nom.
Ce que dit la loi :
L’entreprise a 1 mois pour répondre, c’est une obligation.
Et si elle ne le fait pas, le représentant a le droit de poursuivre la démarche à l’étape suivante.
Vous n’avez pas à être seul·e
Le RGPD n’est pas un sujet technique : c’est un outil pour se défendre.
Et grâce à un représentant, vous pouvez exercer vos droits sans vous exposer.
Ce site est protégé par la loi n°2022-401 du 21 mars 2022 (loi Waserman).
Il entre dans le cadre du droit d’alerte, et vise à documenter des faits graves affectant les droits, la santé ou la sécurité des salariés.
Conformément à la loi, aucune mesure de représailles ou tentative d’entrave ne peut être exercée à l’encontre de la personne à l’origine de cette initiative.
