Une ASBL peut-elle publier les noms de ses salariés sur son site web ?
Réponse courte
La publication des noms des salaries sur le site web d'une ASBL constitue un traitement de donnees personnelles soumis au RGPD et a la loi du 1er aout 2018. L'ASBL doit disposer d'une base legale valide : soit le consentement libre et eclaire du salarie (art. 6.1.a RGPD), soit l'interet legitime de l'employeur (art. 6.1.f RGPD), sous reserve d'une mise en balance avec les droits du salarie. L'interet legitime est souvent plus approprie car le consentement en contexte de travail peut etre conteste en raison du desequilibre de pouvoir.
Le salarie doit etre informe de maniere transparente de la finalite, de la duree de publication et de ses droits d'opposition, de rectification et d'effacement. La publication doit etre limitee aux informations strictement necessaires : nom, fonction et adresse professionnelle. Les donnees doivent etre supprimees dans un delai raisonnable apres la fin du contrat ou sur demande du salarie. La CNPD peut sanctionner les manquements par des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires.
Définition
La publication des noms des salariés sur un site web est un traitement de données à caractère personnel au sens de l'art. 4 du RGPD. Ce traitement implique la diffusion publique d'informations identifiantes sur Internet, accessible sans restriction, et relève des dispositions européennes et nationales en matière de protection des données. Voir aussi la fiche sur publication des indicateurs de performance sociale.
Conditions d’exercice
Les conditions suivantes doivent être respectées.
| Condition | Détail |
|---|---|
| Base légale | Intérêt légitime (art. 6.1.f RGPD) ou consentement libre (art. 6.1.a RGPD) |
| Information | Information complète du salarié sur la finalité et ses droits (art. 13-14 RGPD) |
| Proportionnalité | Publication limitée aux informations strictement nécessaires |
| Droit d'opposition | Garantie du droit d'opposition du salarié (art. 21 RGPD) |
| Durée limitée | Publication maintenue uniquement pendant la durée de la relation de travail |
| Sécurité | Mesures techniques de protection des données publiées |
Modalités pratiques
La mise en oeuvre suit les étapes ci-dessous.
| Étape | Détail |
|---|---|
| Analyse d'impact | Évaluation de la nécessité et de la proportionnalité de la publication |
| Information | Remise au salarié d'une notice d'information conforme aux art. 13-14 RGPD |
| Registre | Inscription du traitement dans le registre des activités de traitement (art. 30 RGPD) |
| Minimisation | Limitation aux informations professionnelles essentielles (nom, fonction, contact professionnel) |
| Retrait | Suppression des données dans un délai raisonnable après la fin du contrat ou sur demande |
Pratiques et recommandations
Privilégier la publication des seules informations professionnelles nécessaires : nom, fonction et adresse électronique professionnelle.
Informer chaque salarié individuellement et par écrit de la publication prévue, de sa finalité et de ses droits avant toute diffusion.
Mettre en place une procédure de retrait rapide permettant de supprimer les données d'un salarié dans un délai raisonnable après sa demande.
Supprimer systématiquement les informations des salariés dont le contrat de travail a pris fin.
Voir aussi la fiche sur engagement de confidentialité pour les salariés.
Documenter les analyses de proportionnalité et les décisions prises pour démontrer la conformité en cas de contrôle de la CNPD.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD, art. 6 | Bases légales du traitement des données personnelles |
| RGPD, art. 13-14 | Information des personnes concernées |
| RGPD, art. 21 | Droit d'opposition |
| Loi du 1er août 2018 | Organisation de la protection des données au Luxembourg |
| Loi du 7 août 2023 | Régime juridique des ASBL |
Note
La CNPD luxembourgeoise peut sanctionner les manquements au RGPD par des amendes significatives. L'ASBL doit être en mesure de démontrer sa conformité à tout moment, conformément au principe de responsabilisation (accountability) du RGPD. L'absence de procédure de retrait constitue un manquement caractérisé.