Une entreprise peut publier un organigramme sur son site internet avec les noms, prénoms et lignes professionnelles de ses employés, mais cela doit être conforme au RGPD. Voici les points clés à respecter :
1. Base légale du traitement
La diffusion de ces informations sur un site internet constitue un traitement de données personnelles, qui doit reposer sur une base légale conforme au RGPD :
✅ Intérêt légitime de l’entreprise (ex : transparence, communication avec les clients et partenaires).
✅ Consentement des employés (recommandé, surtout si les données sont accessibles au public).
❌ Obligation légale ne s’applique pas (aucune loi n’oblige une entreprise à publier un organigramme).
Recommandation : obtenir le consentement des salariés avant publication, même si l’intérêt légitime peut être invoqué.
2. Proportionnalité et minimisation des données
L’entreprise doit s’assurer que les informations publiées sont strictement nécessaires et pertinentes.
✅ Informations acceptables :
- Nom et prénom
- Poste occupé
- Service ou département
- Adresse e-mail professionnelle
- Ligne téléphonique professionnelle
❌ Informations à éviter (sauf accord explicite) :
- Données personnelles sensibles (ex : âge, photo, situation familiale)
- Numéro de téléphone personnel
- Adresse personnelle
Recommandation : Limiter l’accès à cet organigramme (ex : publication sur un intranet ou une zone protégée du site).
3. Droit d’opposition et mise à jour
Les employés doivent être informés de la mise en ligne de l’organigramme et de leur droit d’opposition s’ils ne souhaitent pas y figurer (article 21 du RGPD).
Actions à mettre en place :
- Informer les salariés avant publication
- Leur permettre de demander la suppression/modification de leurs informations
- Mettre à jour régulièrement l’organigramme (ex : départs, changements de poste)
4. Sécurisation et accès aux données
Si l’organigramme est destiné à un usage interne, il est recommandé de :
- Le publier sur un intranet sécurisé plutôt qu’en accès public
- Limiter l’accès aux employés et partenaires autorisés
- Mettre en place des mesures de sécurité (ex : authentification)
Conclusion
✔ Possible, mais sous conditions : base légale, minimisation des données et droit d’opposition des employés.
✔ Recommandé : obtenir le consentement et privilégier une diffusion restreinte (ex : intranet).
✔ À éviter : publier des données non nécessaires ou sensibles sans accord.
Si besoin, je peux vous aider à rédiger une note d’information RGPD à destination des salariés sur ce sujet !