Articles

cookies

Les États membres ont approuvé hier un mandat de négociation en vue de la révision des règles « ePrivacy » sur la base du texte suivant, à soumettre au Parlement : https://lnkd.in/eAEw2H8

Le projet de règlement ePrivacy, dans sa dernière version, contient notamment les règles suivantes au sujet des cookies et traceurs :

1) L’équipement terminal d’un utilisateur pouvant contenir des informations très personnelles, l’utilisation des capacités de traitement et de stockage et la collecte d’informations à partir de l’appareil ne seront autorisées qu’avec le consentement de l’utilisateur ou ou dans des cas très précis prévus par le règlement.

2) Le fait de subordonner l’accès à un site web au consentement à l’utilisation de cookies à d’autres fins en tant que solution alternative à un « verrou d’accès payant » (cookie-or-pay-wall) sera autorisé si l’utilisateur est en mesure de choisir entre cette offre et une offre équivalente du même fournisseur qui n’implique pas le consentement aux cookies.

3) Un utilisateur final pourra donner son consentement, dans ses paramètres de navigation, à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs.

Les données personnelles des salariés doivent, comme toute autre catégorie de données à caractère personnel, être conservées pendant une durée « qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »[1]. Cette règle, dont la méconnaissance peut être lourdement sanctionnée[2] s’applique notamment aux données figurant sur les bulletins de paie, notamment lorsqu’ils sont sous forme électronique.

L’article L. 3243-4 du Code du travail, issu de la loi n°2009-526 du 12 mai 2009, prévoit une durée de conservation du « double des bulletins » ou des « bulletins de paie remis aux salariés sous forme électronique ». Cette durée est une durée de cinq ans. Notons que cette durée de cinq ans n’est nullement une durée absolue à ne pas dépasser, même pour les bulletins de paie sur support papier, puisque ces documents sont également des pièces comptables qui, en tant que telles, doivent, selon l’article L. 123-22 du Code de commerce, être conservées par l’employeur pendant une durée de 10 ans à compter de la clôture des comptes annuels.

Mais il s’avère que la durée de cinq ans de l’article L. 3243-4 du Code du travail n’est désormais plus applicable aux bulletins de paie sous forme électronique, même s’ils étaient visés par ce texte en 2009.

 

Qu’est-ce qu’un bulletin de paie sous forme électronique ?

Selon l’article L. 3243-2 du code du travail « Sauf opposition du salarié, l’employeur peut procéder à la remise du bulletin de paie sous forme électronique, dans des conditions de nature à garantir l’intégrité, la disponibilité pendant une durée fixée par décret et la confidentialité des données ainsi que leur accessibilité dans le cadre du service associé au compte mentionné au 2° du II de l’article L. 5151-6 ».

Il résulte de ce dernier texte, dans sa rédaction actuelle, que « chaque titulaire d’un compte personnel d’activité » […] a « accès à […] un service de consultation de ses bulletins de paie, lorsqu’ils ont été transmis par l’employeur sous forme électronique dans les conditions mentionnées à l’article L. 3243-2 ».

En pratique, il s’agit de bulletins de paie émis nativement sous forme dématérialisée[3]

Un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés devait en déterminer les modalités.

 

Les durées de conservation du bulletin de paie sous forme électronique

Le décret n° 2016-1762 du 16 décembre 2016, rendu après avis de la CNIL, a finalement fixé les règles suivantes[4] :

L’employeur arrête les conditions dans lesquelles il garantit la disponibilité pour le salarié du bulletin de paie émis sous forme électronique :

  • soit pendant une durée de cinquante ans ;
  • soit jusqu’à ce que le salarié ait atteint l’âge mentionné au dernier alinéa de l’article L. 1237-5, augmenté de six ans (schématiquement 75 ans).

Il ressort, implicitement mais nécessairement, des dispositions réglementaires applicables et notamment de l’article D. 3243-7 du Code du travail que le point de départ des durées qui viennent d’être rappelées est l’émission du bulletin de paie sous forme électronique.

 

De quelle durée de conservation parle-t-on pour les bulletins de paie sous forme électronique ?

Comme le rappelle la CNIL[5], il convient, pour chaque catégorie de données, de définir une durée de conservation :

  • en base active,
  • le cas échéant en archivage intermédiaire,
  • et, le cas échéant (beaucoup plus rarement), en archivage définitif.

Quel événement constitue le point de départ de la conservation du bulletin ? La date de son émission ou de son enregistrement en base active ? La date de son archivage (archivage intermédiaire) ?

Dans le référentiel GRH de la CNIL[6], la CNIL répond à ces questions, en retenant que le bulletin de paie « en version dématérialisée » est conservé :

  • 1 mois en base active,
  • 50 ans en archivage intermédiaire (simplification des règles énoncées par l’article D. 3243-8 du Code du travail).

 

Une conservation jusqu’à la date de liquidation des droits à la retraite ?

Les caisses de retraite complémentaire demandaient, avant 2016, aux employeurs de délivrer à leurs salariés ou anciens salariés des pièces justificatives leur permettant de déterminer et de justifier leurs droits à la retraite.

Au demeurant, la CNIL[7] considérait, en 2004, que si les motifs des absences ne devaient pas être conservés au-delà du temps nécessaire à l’établissement des bulletins de paie, « les informations nécessaires à l’établissement des droits du personnel (droits à la retraite..) », pouvaient être « conservées sans limitation de durée ».

L’on en déduisait, en pratique, l’obligation, pour les employeurs, de conserver les bulletins de paie jusqu’à la date de liquidation des droits à la retraite.

Si cette pratique n’a jamais été validée par un texte législatif ou réglementaire, la très longue durée de conservation des bulletins de paie sous forme électronique vient, en quelque sorte, la valider a posteriori.

Pascal ALIX, avocat associé et DPO externe

 

[1] Article 5. 1 e) du RGPD

[2] Article 83.5 du RGPD

[3] D’où le nom du décret n° 2016-1762 du 16 décembre 2016 « relatif à la dématérialisation des bulletins de paie et à leur accessibilité dans le cadre du compte personnel d’activité »

[4] Article D. 3243-8 du Code du travail

[5] https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees

[6] https://www.cnil.fr/fr/publication-du-referentiel-relatif-la-gestion-des-ressources-humaines

[7] délibération n°2004-097 de la CNIL du 9 décembre 2004 décidant la dispense de déclaration des traitements de gestion des rémunérations mis en oeuvre par les personnes morales de droit privé (dispense n° 002)