La protection des données personnelles en situation de travail

Si le RGPD n’est pas né récemment, son socle actuel réside dans le règlement européen de 2016 applicable depuis le mois de mai 2018. Il a pour vocation d’uniformiser le droit applicable dans l’Union européenne et pour les citoyens de l’Union européenne en responsabilisant les acteurs pour une application en quelque sorte « en adulte ». 

La logique du règlement général sur la protection des données repose sur l’accountability, c’est à dire l'obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données, le renforcement des droits et des sanctions et l’étendue de son champ d’application.

Son champ d’application est très large. Le règlement s’applique à tout traitement de données personnelles effectué par un RT (responsable des traitements) ou un ST (sous-traitant) afin de couvrir toutes les situations. Il concerne à la fois les traitements : 

• opérés par des RT ou des ST établis sur le territoire de l’UE (critère de l’établissement),
• qui visent des résidents de l’UE (critère de ciblage) et donc où que soit l’opérateur dans le monde. 

On entend par « données personnelles » des données nominatives ou non, dès lors qu’elles permettent d’identifier des personnes. Les sanctions peuvent atteindre jusqu’à 4% du chiffre d’affaires[1].

Six principes de la protection des données ont été retenus : 

• la licéité : tout traitement de données n’est licite que s’il repose sur une « base légale » définie par le RT ;
• la finalité : les DCP (données à caractère personnel) contenues dans un traitement ne sont recueillies et traitées que pour un usage déterminé et légitime, préalablement défini ;
• la minimisation : seules les données pertinentes et nécessaires au regard des objectifs poursuivis doivent être traitées ;
• la durée limitée de conservation, les données ne peuvent être conservées de façon indéfinie dans les fichiers dès lors qu’elles présentent un caractère identifiant ;
• la sécurité, le RT devant prendre les mesures nécessaires pour garantir l’intégrité et la confidentialité des données ;
• le droit des personnes : toute personne dont les données sont utilisées dans un traitement dispose d’un droit d’accès, de rectification et d’opposition.

Quelques précisons complémentaires sont à apporter : 

Concernant la finalité, un usage du traitement précisément déterminé s’entend avec un objectif précis.

Une durée de conservation limitée signifie une durée raisonnable au regard des objectifs (qui peut aller jusqu’à plusieurs décennies), explicite et d’application stricte.

Garantir l’intégrité et la confidentialité des données concerne aussi les résultats des traitements. Le principe de sécurité ne s’applique qu’aux personnes directement concernées par l’objectif (la finalité), par exemple, les personnes en charge du recrutement, et non pas les collègues de bureau (on peut citer des exemples de sujets sensibles et intimes : travailleur en situation de handicap, supplément familial, et…).

Concernant le droit des personnes, l’argument du consentement est un véritable faux ami. Le consentement doit être libre et éclairé. La possibilité de le refuser doit demeurer de façon certaine et sans aucune conséquence, même légère, même différée. Par exemple, le consentement peut être donné le lundi et être refusé le mardi.

Le principe d’économie doit présider s’agissant des données elles-mêmes et de leurs traitements. Le RGPD pose l’interdiction de traiter des données sensibles (religion, orientation sexuelle ou politique, santé…). Par construction, il autorise de nombreuses exceptions (par ex lorsque le consentement de l’individu est loyalement possible).

Enfin, pour information, le droit à la portabilité n’est pas encore très utilisé. 
 

[1] La CNIL a reçu 17000 plaintes en 2021

De nombreux traitements sont concernés à travers le recrutement, la gestion du personnel, du temps de travail, des compétences, des carrières, la gestion de la paye et des déclarations sociales obligatoires, les mécanismes de contrôle de l’activité…

De très nombreux abus sont constatés à l’occasion de l’organisation du télétravail. 

Un salarié peut même s’opposer à ce que son adresse électronique voire même son nom soient disponibles sur le site Internet de son entreprise (avec dans le cas d’espèce l’existence d’une condamnation à une mesure d’éloignement d’un conjoint violent).

Avec l’expérience d’un certain nombre de situations rencontrées, trois écueils sont à éviter : 

• Le premier consiste à exclure les données traitées en raison de leur caractère « professionnel ».  L’argument est « tué dans l’œuf » dès lors que les données sont personnelles et permettent de remonter clairement jusqu’à l’individu.
• Le deuxième est de se fonder sur le consentement des salariés pour demander « tout et n’importe quoi » alors que la personne concernée n’a pas vraiment la liberté d’y consentir ou de refuser son consentement en raison des conséquences qu’impliquent son lien de subordination avec l’employeur. On peut citer des exemples concernant la surveillance des salariés en télétravail, leur géolocalisation (sans utilité avérée). Dans 99% des cas, le consentement ne sera pas valable.
• Troisième écueil, un employeur considère que le libre accès à certaines données (par ex via Internet, les réseaux sociaux…) justifie qu’il est libre de les utiliser. Il convient de toujours se mettre à la place de la personne concernée. 

Concernant le contrôle des activités d’un salarié, il est autorisé s’il répond aux trois conditions suivantes : le contrôle doit être encadré, proportionné et adéquat. 

Trois dimensions sont à prendre en compte :

• la recherche d’un équilibre entre vie privée du salarié et contrôle légitime de l’employeur ;
• la porosité de la frontière vie privée/vie professionnelle ;
• la conciliation entre plusieurs cadres juridiques, la place des contentieux prudhommaux et celle du dialogue social dont il faut souligner l’importance car, de sa qualité dépendra la confiance.

Toujours est-il que le contrôle de la vie privée au travail n’est pas admis. Avec l’arrêt Nikon du 2 octobre 2001, la Chambre sociale de la Cour de Cassation a consacré l’existence d’une « vie privée résiduelle » sur le temps de travail et par conséquent le respect de l’intimité de la vie privée des salariés sur leur lieu de travail. 

Les mentions « personnel » (mot à éviter) ou « privé » ou « confidentiel » dans un mail ou dans son objet sont recommandées. Quoi qu’il en soit, si un employeur découvre un contenu à caractère privé, il doit sur le champ cesser de le lire et ne jamais envisager de l’exploiter de quelque manière que ce soit. Que l’appareil utilisé (micro, téléphone…) soit professionnel ne change rien à l’affaire. 

Des abus ont maintes fois été relevés : bracelets électroniques, la collecte d’informations sur les interactions sociales pendant le week-end, …. 

Le règlement interdit les décisions totalement automatisées, à l’exception de trois cas : 

1. Si le droit national l’autorise (ce qui n’est pas le cas en droit du travail en France) ;
2. Si le consentement a été recueilli (avec la question du vice du consentement précédemment évoqué) ;
3. Si cela est nécessaire à la conclusion et/ou à l’exécution du contrat de travail. 

Les algorithmes auto-décisionnels ont un problème avec le RGPD, lequel est vraiment peu compatible avec l’IA.

Par exemple, la plateforme Parcoursup a été autorisé par la CNIL. Dans la pratique, hormis s’il y avait plusieurs dizaines de milliers de candidatures, on n’automatisera jamais la décision.

Une machine ne peut prendre une décision… humaine. Le règlement est en ce sens un réel garde-fou.