L'Explication Prémisse
Cet article signifie que le Code du travail renvoie à un décret en Conseil d'État pour préciser, de façon concrète, quelles informations peuvent être communiquées et sous quelles garanties les données à caractère personnel doivent être protégées. Autrement dit, le texte de loi pose le principe mais laisse au pouvoir réglementaire le soin de définir les catégories d'informations communicables, les destinataires autorisés, les mesures techniques et organisationnelles (sécurisation, conservation, accès) et les modalités pratiques auxquelles employeurs et tiers doivent se conformer — en complément des règles générales de protection des données (RGPD, recommandations de la CNIL).
Une entreprise doit transmettre à un prestataire externe la liste des salariés inscrits à une formation (nom, poste, adresse mail, éventuellement besoins d'aménagement). Le décret précisera quelles données exactes peuvent être transmises, si des justificatifs médicaux peuvent l'être, quelles mesures de sécurité sont exigées (fichier chiffré, accès restreint), la durée de conservation par le prestataire, et l'obligation de signer un contrat de sous-traitance conforme au RGPD. L'employeur devra donc n'envoyer que les champs autorisés, sécuriser l'envoi (par exemple fichier chiffré), informer les salariés et vérifier que le prestataire respecte les conditions prévues par le décret.
- L'article délègue au décret en Conseil d'État la précision des informations communicables et des conditions de protection des données : le texte lui-même ne donne pas tous les détails pratiques.
- Les dispositions du décret sont obligatoires; employeurs et tiers doivent s'y conformer en plus des règles générales (RGPD, décisions de la CNIL).
- Le décret doit préciser : catégories d'informations transmissibles, destinataires autorisés, finalités légitimes, durées de conservation et mesures de sécurité exigées.
- Principe de minimisation : seules les données strictement nécessaires à la finalité doivent être communiquées.
- Mesures techniques et organisationnelles (chiffrement, contrôles d'accès, journalisation, contrats de sous-traitance) seront exigées selon le décret.
- Obligation d'information des personnes concernées : les salariés doivent être informés des communications les concernant, conformément au RGPD et aux précisions réglementaires.
- Vérifier les obligations avant toute transmission : formalités contractuelles (clauses de sous-traitance), évaluation des risques et garanties du destinataire.
- Le non-respect du décret et des règles de protection des données peut entraîner des sanctions administratives (CNIL) et des conséquences en droit du travail (contentieux, sanctions disciplinaires).