Qu’en est-il du recueil du consentement des salariés et des adhérents ?

Le principe général est le suivant : tout traitement de données à caractère personnel doit reposer sur (au moins) une base légale. Les bases légales pour un traitement de données à caractère personnel sont les suivantes :

  • le consentement,
  • le respect d’une obligation légale,
  • l’exécution d’un contrat auquel la personne concernée est partie,
  • la sauvegarde de la vie de la personne,
  • la réalisation d’une mission de service public,
  • l’intérêt légitime du responsable de traitement.

Dans la plupart des situations, le consentement n’est pas la seule base légale et il peut lui en être substitué une autre. On peut aussi conjuguer plusieurs bases légales pour une même activité de traitement. Par exemple, les données qui constituent le dossier de l’usager relèvent de l’obligation légale qui est faite aux ESMS de disposer d’un tel dossier. Il n’est donc pas pertinent de demander le consentement. Par ailleurs, deux problèmes peuvent se poser :

  • un consentement doit être « éclairé, libre, spécifique et univoque », ce qui peut être compliqué avec des personnes vulnérables,
  • un consentement se donne et se retire ; or, si vous ne disposez pas des données des personnes accompagnées, vous ne pouvez tout simplement pas les accompagner.

Dans le champ des RH, les juristes de la CNIL estiment que la relation de subordination qui définit le contrat de travail rend toute demande de consentement nulle et non avenue. En effet, l’exécution du contrat de travail suppose que l’employeur collecte et traite des données à caractère personnel de ses employés. De ce point de vue, recourir au consentement pour la totalité du traitement des données RH est un non-sens.

Concernant les bénévoles et les administrateurs, le consentement est une base légale intéressante, car les données traitées ne sont en général pas sensibles et les personnes sont volontaires pour participer à la vie associative. Un formulaire ou une clause de recueil de consentement peut être indiqué.

Enfin, ne pas confondre le recueil du consentement (base légale possible mais pas forcément celle que l’on choisit pour tel ou tel traitement) et l’obligation d’informer les personnes concernées du fait que l’on traite leurs données personnelles. Autrement dit, il n’est pas toujours nécessaire de recueillir le consentement, mais il est obligatoire d’informer les personnes. Enfin on aura garde dans le secteur social et médico-social à ne pas confondre le consentement au traitement de données à caractère personnel avec le consentement à rechercher obligatoirement du côté du patient ou de l’usager au sens du Code de l’Action Sociale et des Familles (article L 311-3) et du Code de la Santé Publique (article L1111-4).

Les commentaires sont fermés.