Le RGPD a maintenant plusieurs années d'existence. La plupart des PME ont fait quelque chose — une mention légale sur le site, une politique de confidentialité, peut-être une formation. Et beaucoup pensent que c'est réglé.
Ce qui est moins souvent traité, c'est la gestion des données des salariés eux-mêmes. Les données RH, les emails professionnels, les fichiers stockés sur les ordinateurs et les téléphones de l'entreprise. C'est pourtant là que les obligations sont les plus concrètes — et les risques les plus immédiats.
Ce que le RGPD impose sur les données salariés
Un salarié est une personne dont vous traitez les données personnelles. Nom, prénom, adresse, salaire, évaluations, arrêts maladie, historique de congés — tout ça entre dans le périmètre du RGPD. Et les obligations qui s'appliquent sont les mêmes que pour les données clients : finalité légitime, durée de conservation limitée, sécurité adaptée, droit d'accès respecté.
Sur la durée de conservation, c'est là que beaucoup de PME sont en défaut sans le savoir. Les bulletins de salaire doivent être conservés cinquante ans ou jusqu'aux 75 ans du salarié. Les contrats de travail, cinq ans après la fin du contrat. Mais les emails professionnels d'un salarié parti ? Ils n'ont pas vocation à rester accessibles indéfiniment. La CNIL recommande une durée maximale d'un an après le départ, sauf procédure judiciaire en cours.
En pratique, dans beaucoup de PME, les boîtes mail d'anciens salariés restent ouvertes pendant des mois — parfois parce que "on a besoin de voir les anciens échanges", parfois parce que personne n'a pensé à les fermer. C'est une non-conformité.
Les appareils professionnels et les données salariés
Un iPhone ou un MacBook professionnel contient des données personnelles du salarié — et des données de l'entreprise. Quand le salarié part, ces deux catégories doivent être traitées différemment.
Les données de l'entreprise doivent être effacées. C'est clair. Mais les données personnelles du salarié — ses photos s'il utilisait l'appareil à titre personnel, ses contacts personnels — ne peuvent pas être supprimées sans son accord. Le RGPD protège aussi le salarié de son employeur.
C'est pour ça que la distinction entre wipe complet et wipe sélectif dans un MDM a une dimension légale, pas juste technique. Sur un appareil personnel utilisé à des fins professionnelles, on efface uniquement ce qui appartient à l'entreprise. Sur un appareil appartenant à l'entreprise, le wipe complet est justifié. Cette distinction doit être documentée dans votre politique BYOD si vous en avez une.
La surveillance des salariés : où est la limite
C'est un sujet que les dirigeants abordent souvent avec prudence, et à raison. Le droit du travail et le RGPD encadrent strictement ce qu'un employeur peut surveiller sur les outils professionnels de ses salariés.
Ce qui est autorisé : savoir qu'un salarié utilise un appareil professionnel, vérifier que les politiques de sécurité sont respectées, détecter des anomalies de connexion. Un MDM peut vous dire qu'un appareil est hors conformité sans vous donner accès aux fichiers personnels du salarié.
Ce qui ne l'est pas, ou qui nécessite des conditions très strictes : lire les emails personnels d'un salarié, surveiller son activité en temps réel sans l'en informer, accéder à ses fichiers personnels même sur un appareil professionnel.
La règle de base : tout dispositif de surveillance doit être porté à la connaissance des salariés, documenté dans le règlement intérieur ou une charte informatique, et proportionné à l'objectif poursuivi. Un MDM qui gère les applications professionnelles sans accéder aux données personnelles est parfaitement légal. Un keylogger installé à l'insu du salarié ne l'est pas.
La charte informatique : le document que personne n'a
La charte informatique, c'est le document qui définit les règles d'utilisation des outils informatiques de l'entreprise — ce qui est autorisé, ce qui ne l'est pas, ce que l'employeur peut surveiller et dans quelles conditions. Elle doit être annexée au règlement intérieur pour avoir une valeur opposable.
Dans les PME de moins de 50 salariés, elle est souvent absente. Et sans elle, les procédures disciplinaires liées à un usage abusif des outils professionnels sont difficiles à faire valoir — et les dispositifs de surveillance, même légitimes, peuvent être contestés.
Chez Cynera, quand on met en place un MDM pour un nouveau client, on les oriente systématiquement vers la rédaction d'une charte informatique si elle n'existe pas. Ce n'est pas notre cœur de métier — on travaille avec des avocats spécialisés pour ça — mais c'est la pièce qui manque souvent pour que le dispositif technique soit juridiquement solide.
Ce que ça change concrètement dans votre organisation
Traiter correctement les données salariés sous le prisme du RGPD, ça implique quelques décisions pratiques.
Définir une durée de conservation pour les boîtes mail des anciens salariés et l'automatiser — pas juste la décider. Documenter qui a accès aux données RH et s'assurer que cet accès est révoqué quand la personne change de poste ou quitte l'entreprise. Avoir une procédure d'effacement des appareils au départ du salarié, avec un certificat d'effacement pour les données sensibles. Et informer les salariés de ce que l'entreprise peut voir sur leurs outils professionnels.
Rien de tout ça n'est insurmontable. Mais ça demande d'y avoir réfléchi avant qu'un salarié parte en mauvais termes et se retourne vers la CNIL.