Main Menu

TRANSMISSION DE DOCUMENTS À DES TIERS DANS LE CADRE DE LA RGPD

Découvrez notre fiche juridique n°22 !

Les entreprises peuvent être sollicitées par des tiers (administration fiscale, organismes de sécurité sociale, clients…), pour obtenir des informations, de différente nature, concernant les salariés intérimaires.

Les employeurs sont soumis à une obligation de secret professionnel et au respect du règlement général de protection des données (RGPD). Ils ne peuvent donner d’information à caractère secret, sous peine de voir leur responsabilité engagée.

Ils sont donc tenus d’empêcher la divulgation des données personnelles de leurs salariés à des tiers qui ne seraient pas autorisés à les obtenir.

Toutefois, la loi accorde à certains tiers, un droit de communication des données personnelles, sans pouvoir opposer le secret professionnel.

Une distinction doit donc être faite selon « l’identité » du tiers demandeur, selon qu’il s’agit d’un tiers autorisé à obtenir les informations réclamées et d’un tiers non autorisé.
Dans ce dernier cas, l’employeur peut s’opposer à la demande du tiers, au nom du respect de la vie privée de ses salariés.

DÉFINITION D’UNE DONNÉE PERSONNELLE

Une donnée « à caractère personnel » est définie comme toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (art. 4 du RGPD).

L’adresse personnelle du salarié, sa situation familiale, son numéro de sécurité sociale ou son salaire constituent des données personnelles.

RESPONSABILITÉ DE L’EMPLOYEUR

Le principe est celui de la protection de la vie privée (art. 9 C. civ). Ce principe est applicable aux salariés qui peuvent l’opposer à leur employeur.

Par conséquent, un employeur est lié par la règle du secret professionnel : il lui est interdit de révéler une information à caractère secret, sous peine de sanctions pénales.

Un employeur est donc responsable de la sécurité des données personnelles dont il dispose. Il doit prendre les mesures nécessaires pour garantir la confidentialité de ces données et empêcher leur divulgation à des tiers qui ne seraient pas autorisés à en recevoir communication.

Toutefois, la loi reconnaît un droit de communication des données concernant les salariés à certains tiers, sans pouvoir opposer le secret professionnel.

En revanche, en l’absence de texte lui conférant un droit de communication, un tiers n’est pas légitime à recevoir, de l’employeur, des informations à caractère personnel sur un salarié. A défaut, une telle communication peut constituer une violation de sa vie privée dont l’employeur serait responsable. Un employeur peut donc engager sa responsabilité s’il transmet des informations, susceptibles de porter atteinte à la vie privée du salarié, à un tiers non autorisé.

DÉSIGNATION D’UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES ET OBLIGATION DU RESPONSABLE DE TRAITEMENT

Toute entreprise dont l’activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » doit obligatoirement désigner un délégué à la protection des données (DPO) – art. 37 du RGPD et G29 relatif à la protection des données .

Il a pour rôle de veiller à la conformité du traitement des données personnelles opéré par l’entreprise. Conformément aux dispositions du RGPD, il a pour obligation :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Au regard de RGPD, la CNIL rappelle qu’il incombe deux obligations au responsable de traitement recevant une demande de transmission par un tiers : il doit veiller à se conformer aux dispositions légales et garantir la sécurité des données à caractère personnel traitées.

Conformément aux articles 5-1-f et 32 du RGPD, la CNIL restreint cette transmission aux seuls tiers habilités ou autorisés par une disposition légale ou réglementaire. Elle impose alors une procédure stricte aux entreprises :

  • Il doit vérifier l’existence d’un fondement légal ou réglementaire autorisant la demande et la communication de données des salariés concernés,
  • Il doit procéder à la vérification de la qualité de l’organisme à l’origine de la demande et du périmètre des informations ciblées,
  • Il doit sécuriser la communication des données ou les modalités d’accès par le tiers autorisé.

À défaut de respecter ces exigences, l’entreprise s’expose à des conséquences légales conséquentes donnant lieu à une transmission de documents à des tiers non autorisées :

  • atteinte aux droits et libertés des personnes concernées (articles 33 et 34 du RGPD), en matière de droit à réparation (article 82 du RGPD) ;
  • sanctions et mesures correctrices par la CNIL (article 83 et 84 du RGPD) ;

Le non-respect de ces exigences imposées par la CNIL peut engager la responsabilité pénale du responsable de traitement de l’entreprise concernée (art. 226-13 C. pén).

Les tiers autorisés

L’administration fiscale

L’administration fiscale dispose d’un droit de communication des documents détenus par certaines personnes ou organismes, pour contrôler les déclarations fiscales souscrites par les salariés. Ce droit de communication peut porter sur des informations relatives à des personnes non nommément désignées (art. L. 81 du Livre des procédures fiscales).

Tout employeur doit communiquer à l’administration fiscale, sur sa demande, les documents sur lesquels sont enregistrés les paiements des salaires (art. L. 82 B du Livre des procédures fiscales). En principe, l’employeur doit conserver un double des bulletins de paie remis aux salariés pendant 5 ans (art. L. 3243-4 CT).

En pratique, l’employeur doit les conserver, pendant au moins 6 ans, puisqu’il doit pouvoir les communiquer, pendant ce délai, à tout agent de l’administration fiscale qui les lui demande (art. 86 CGI).

Le refus de communication expose l’ETT à une amende de 10 000 € et à 1 500 € pour chaque document sans que le total des amendes puisse être supérieur à 50 000 € (art. 1734 CGI).

Les organismes de sécurité sociale

Afin de lutter contre la fraude, les organismes de sécurité sociale bénéficient d’un droit de communication leur permettant d’obtenir des informations et des documents auprès des entreprises (art. L. 114-19 CSS, circ. 21 juillet 2011, CC QPC n° 2019-789 du 14 juin 2019).

Ce droit de communication bénéficie :

  • aux agents des organismes de sécurité sociale (CPAM, CNAV et CAF) pour contrôler la sincérité et l’exactitude des déclarations réalisées ou l’authenticité des pièces produites en vue de l’attribution et du paiement de prestations sociales. Ce droit de communication peut leur permettre également de recouvrer des prestations indûment versées.
  • aux agents de contrôle (URSSAF et caisses de MSA) pour contrôler l’application de la législation de sécurité sociale par les employeurs et pour rechercher les infractions au travail dissimulé.

Les employeurs sont visés par ce droit de communication.

  • Les organismes de sécurité sociale (CPAM, CNAV, CAF) peuvent vérifier  les informations relatives :
    • aux ressources ;
    • au domicile, à la résidence en France ou à l’étranger ;
    • à la régularité du séjour ;
    • à l’état civil, au statut matrimonial ;
    • à la composition de la famille ;
    • à la condition d’isolement ;
    • à l’existence d’un logement ;
    • aux coordonnées financières.
  • Les organismes de contrôle (URSSAF, MSA) peuvent demander tout document et l’accès à tout support nécessaire à l’exercice de leur contrôle, selon leur propre besoin d’information.

Le droit de communication des organismes de sécurité sociale peut s’accompagner de la prise immédiate de copie et d’extraits des documents sollicités.

En revanche, aucun échange d’information par voie dématérialisée ne doit être mis en œuvre et aucun fichier ne doit être constitué.

En principe, les organismes de sécurité sociale doivent, préalablement, s’adresser à l’assuré, l’allocataire ou le cotisant pour obtenir l’information demandée. Toutefois, l’organisme peut saisir directement un employeur, en cas notamment de refus exprès de l’assuré, de défaut de présentation par celui-ci des pièces justificatives demandées, et en cas de fraude.

Ce droit de communication peut porter sur des informations relatives à des personnes non nommément désignées. L’exercice de ce droit est limité aux seuls agents agréés et assermentés faisant partie d’une cellule dédiée hébergée par l’URSSAF.

Le refus de répondre au droit de communication est puni d’une pénalité de 1 500 € par cotisant, assuré ou allocataire concerné, sans que le total de la pénalité puisse être supérieur à 10 000 €. Lorsque la demande porte sur des personnes non-identifiées, la pénalité est portée à 5 000 € pour chaque demande, dès lors que tout ou partie des documents ou renseignements sollicités n’est pas communiqué (art. L. 114-19 CSS).

Pôle emploi

Pôle emploi dispose d’un droit d’accès aux informations auprès des administrations sociales et fiscales uniquement, dans le cadre d’un contrôle de la recherche d’emploi (art. L. 5312-1, L. 5426-1, Article R. 5426-2 et L. 5426-9 CT et cf. recueil des procédures de la CNIL relatif aux tiers autorisés).

Les autorités judiciaires

Les autorités judiciaires bénéficient un droit de communication étendu.

En matière d’infraction pénale, des informations peuvent être sollicitées, auprès des employeurs, au stade d’une enquête ou d’une instruction pénale (art. 60-1 et 81 du Code de procédure pénale).

Si un salarié d’une ETT fait l’objet d’une enquête ou d’une mesure d’instruction ou de mise en examen, tout document utile à l’enquête ou à l’instruction, ordonné par l’autorité compétente, doit être transmis.

Le refus de transmettre les éléments sollicités dans le cadre d’une enquête pénale expose l’employeur à des sanctions pénales.

LES TIERS PRIVÉS SONT NON AUTORISÉS

Les tiers privés, notamment les clients, ne bénéficient d’aucun droit de communication des données personnelles des salariés.

En l’absence de textes les autorisant à accéder à ce type de données, un refus de communication peut leur être opposé au nom du droit au respect de la vie privée et du RGPD.

En ce qui concerne les huissiers de justice, ils disposent, en matière de paiement direct des pensions alimentaires, d’un droit d’interrogation des administrations sur l’adresse du débiteur, l’identité et l’adresse de son employeur et l’existence d’un établissement détenteur de sommes d’argent. Les huissiers de justice disposent également de la possibilité d’interroger les services gestionnaires des comptes bancaires.

L’employeur n’est pas concerné par ce droit de communication, en matière de paiement direct des pensions alimentaires.

Téléchargez la fiche

Nos publications similaires

LE DÉDOUANEMENT DES MARCHANDISES À L’IMPORT

PRIME DE PARTAGE DE LA VALEUR

LE DÉDOUANEMENT DES MARCHANDISES À L’EXPORT

Toutes nos publications
Agence
Suivez-nous
Linkedin Instagram
Candidats
Entreprises

Agence région Parisienne

60 rue de la Chaussée d'Antin
75009 Paris
01.44.55.14.00

Agence région Rhône-Alpes

22 rue de Bonnel
69003 Lyon
04.72.84.53.53