Employeurs, êtes-vous réellement en conformité avec la protection des données de vos salariés ? (eu)
Europe > Droit privé > Droit européen > Protection des données personnelles
Bruzzo Dubucq , Cabinet d’Aix en Provence
Août 2018
Si jusqu’ici la directive 95/46/CE régissait la règlementation relative au traitement des données des personnes physiques sur le sol européen, il faudra compter avec de
nouvelles dispositions à partir du 25 Mai 2018.
En effet, le Règlement Général sur la Protection des Données adopté le 14 Avril 2016 par l’Union Européenne constituera la nouvelle norme de référence dès son entrée en vigueur.
L’objectif visé par ce texte est une harmonisation maximale de la réglementation relative à la protection des données personnelles au sein des Etats membres de l’Union Européenne.
Selon la Commission Nationale Informatique et Libertés, une donnée personnelle est « une donnée qui se rapporte à une personne physique, qui peut être identifiée quel que soit le moyen utilisé. »
Ainsi, il peut s’agir de données directement ou indirectement identifiantes, ou encore d’un recoupement d’informations.
Ce que disait la législation…
Depuis la loi « Informatique et Libertés » du 6 Janvier 1978, la collecte des données personnelles des salariés par leurs employeurs doit répondre à cinq critères :
- Finalité,
- Pertinence,
- Conservation,
- Respect des droits des personnes,
- Sécurité.
Concrètement, la directive européenne de 1995 en la matière reprend les dispositions de la loi précitée.
Ainsi, s’il est possible de recueillir des données au sein des entreprises et de les conserver afin de faciliter le traitement comptable ou la tenue des registres du personnel, l’usage d’outils informatiques à cet effet a posé de nouvelles problématiques relatives à leur utilisation internes et externes à la structure, ainsi qu’à leur stockage.
C’est ici qu’interviennent les consignes mises en place par la CNIL [1] afin d’y répondre au mieux.
Une obligation d'information
Dans un premier temps, le dirigeant est obligé d’informer ses salariés sur l’existence d’un traitement de leurs données personnelles.
Celui-ci doit impérativement être nécessaire et proportionné au but recherché par l’employeur, ainsi qu’à l’intérêt de l’entreprise.
A titre d’exemple, la géolocalisation d’un véhicule professionnel n’est uniquement possible que s’il s’agit de répondre à une exigence de sécurité du personnel, ou à des fins d’optimisation de la gestion du temps de travail.
L'accès à l'information
Concernant la consultation des fichiers et dossiers personnels, la jurisprudence opère une distinction nette entre contenu professionnel et personnel.
Il n’est plus nécessaire de revenir sur le principe du secret des correspondances posé par l’arrêt Nikon en 2001 qui depuis affirme qu’il est strictement interdit à un employeur de consulter les mails échangés par ses salariés sur leur lieu de travail, même s’ils sont envoyés depuis un poste professionnel.
En revanche, à défaut d’être identifié de manière comme claire et non-équivoque comme personnel, un dossier ou fichier peut être consulté par un employeur.
En outre, l’employeur ne pourra examiner un dossier à caractère personnel que sur demande expresse de sa part, et en présence du salarié concerné.
Le traitement des données personnelles
D’autres obligations incombent à l’employeur en matière de traitement des données personnelles de leurs salariés.
Notamment, il leur est interdit de mettre en copie automatique tous les messages envoyés par un salarié.
De même, la conservation de l’historique d’un salarié est limitée à six mois de stockage, et ne peut se faire à distance ou dans un Etat étranger, même s’agissant d’un Etat membre de l’Union Européenne.
Un tel stockage doit être justifié et légitime, le salarié devant nécessairement en être informé au préalable.
Il peut par ailleurs s’y opposer, s’il fait état d’un motif valable. En tout état de cause, l’ouverture d’une enquête concernant un salarié fait tomber les obligations susvisées à l’égard de l’employeur qui, s’il y contrevenait, s’exposerait à des poursuites pour entrave à la justice.
Ainsi, l’utilisation et la conservation des données personnelles d’un salarié par son employeur sont strictement encadrées.
Tout usage abusif de celles-ci peut être invoqué à l’occasion d’un contentieux, d’où la nécessité d’évaluer les changements qu’opèrera le règlement Européen fraîchement adopté en la matière.
Ce qui a changé eà compter du 25 mai 2018…
Le « traitement des données dans les relations de travail » est encadré par l’article 88 du Règlement Général sur la Protection des Données (RPGD).
Celui-ci dispose que les Etats membres pourront prévoir des règles spécifiques au traitement des données des employés couvrant l’intégralité de la relation de travail.
Il convient, selon son deuxième alinéa, de « porter une attention toute particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail. »
L’Union Européenne incite ici les Etats membres à intervenir en matière de droit du travail, que ce soit par l’adoption de textes de lois, ou par la conclusion de conventions collectives.
Les dispositions de règlement adopté en 2016 vont ainsi très certainement être modifiées afin de s’adapter aux modèles sociaux de chaque Etat.
La minimisation des données
De même, l’article 5 paragraphe 1 du Règlement énonce le principe de minimisation des données, c’est-à-dire le fait que « les données à caractère personnel doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Pour autant, ce même principe est déjà présent aux articles L1221-6 et L1221-9 du Code du travail ! Il s’agit donc ici de la simple réitération d’une substance déjà connue en droit français.
Le consentement du salarié
Toutefois, l’article 88 du RPGD sonne le retour du consentement du salarié à l’utilisation de ses données personnelles, sous certaines conditions. Il autorise ainsi les Etats membres à préciser les cas dans lesquels l’accord du salarié sera requis en matière de traitement, de stockage ou d’échange de ses données personnelles.
Mais attention, nombre d’auteurs contestent une telle mesure.
En effet, quand le traitement est fondé sur le consentement du salarié, le responsable de traitement doit pouvoir donner la preuve que celui-ci a été donné de manière claire et non-équivoque. Cet accord doit être rendu librement, c’est-à-dire qu’il doit être exempt de vices [2] ; la personne ayant consenti au traitement de ses données par l’employeur doit donc avoir pu être en mesure de le refuser ou de retirer son consentement, sans risque de subir un préjudice.
Or, le lien de subordination qui lie un salarié à son employeur semble faire obstacle en partie, sinon totalement, au libre consentement de l’intéressé ! La porte semble ici grande ouverte au contentieux.
En tout état de cause, l’article 6 du Règlement offre tout de même la possibilité à l’employeur de traiter les données personnelles d’un salarié sans que l’accord de ce dernier soit requis dans deux hypothèses :
- Si le traitement est nécessaire à l’exécution du contrat de travail d’une part,
- Si l’employeur justifie d’un intérêt légitime d’autre part.
Ainsi, bien que le Règlement Général sur la Protection des Données tende à harmoniser les législations européennes en la matière à fins de simplifications et de réductions des coûts, il semble que l’intervention individuelle de chaque Etat membre afin d’en spécifier l’affectation en droit du travail en repousse l’application réelle concernant le traitement des données personnelles des salariés.
Dans cette même veine, il est fort probable que les efforts de l’Union pour orchestrer les législations européennes sur ce point soient fortement entamés, voire occultés, par les multiples précisions individuelles que les Etats membres sont appelés à y apporter.