Si votre employeur fait cela avec votre fiche de paie, il est dans l'illégalité
Depuis 2017, la dématérialisation des fiches de paie s'est largement démocratisée dans les entreprises françaises. Cette pratique offre de nombreux avantages, tant pour les employeurs que pour les salariés, en termes de praticité et d'économies (pas de mise sous pli, ni d'affranchissement et pas de papier). Cependant, elle pose problème dans certains cas, notamment lorsque les règles relatives à la protection des données personnelles ne sont pas respectées.
En effet, la loi autorise la dématérialisation des fiches de paie depuis plusieurs années maintenant. L'article L3243-2 du Code du travail prévoit que "sauf opposition du salarié, l'employeur peut procéder à la remise du bulletin de paie sous forme électronique, dans des conditions de nature à garantir l'intégrité, la disponibilité pendant une durée fixée par décret et la confidentialité des données." Autrement dit, l'accord du salarié n'est plus nécessaire, sauf s'il s'y oppose expressément. L'employeur doit cependant s'assurer que le système mis en place garantit la sécurité et la confidentialité des données.
C'est là qu'intervient le Règlement Général sur la Protection des Données (RGPD). Ce texte européen, entré en application en mai 2018, vise à renforcer la protection des données à caractère personnel des citoyens de l'Union européenne. Il s'applique à toutes les entreprises qui collectent, traitent et stockent des données personnelles, y compris donc dans le cadre de la gestion de la paie. Le RGPD impose un certain nombre d'obligations aux employeurs, comme la sécurisation de leurs données, la limitation de la durée de conservation...
Parmi les règles à respecter, il y a notamment l'interdiction d'envoyer les fiches de paie par email. En effet, la messagerie électronique, même professionnelle, n'est pas considérée comme un moyen de communication suffisamment sécurisé pour transmettre des données aussi sensibles qu'un bulletin de salaire. Celui-ci contient en effet de nombreuses informations personnelles (nom, prénom, adresse, numéro de sécurité sociale, rémunération...) dont la divulgation pourrait porter atteinte à la vie privée du salarié. Un simple envoi à un mauvais destinataire ou le piratage d'une boîte mail peuv ent suffire à exposer ces données.
De plus, les employeurs qui envoient les fiches de paie par mail s'exposent à des sanctions de la Cnil (Commission Nationale de l'Informatique et des Libertés). En principe, la Cnil demandera d'abord une mise en conformité avant de les sanctionner, mais en l'absence de mesures correctrices apportées, elle peut user de son pouvoir de sanction. Pour les cas les plus graves comme le détournement de données de manière illicite, elle peut mettre une amende allant jusqu'à 300 000 euros et 5 ans d'emprisonnement.