Accueil Actualités juridiques du village Droit Social Santé et sécurité au travail : harcèlement, stress, obligations de (...)

Les nouvelles obligations de l’employeur en matière de protection des données personnelles des salariés.

Par Emmanuelle Destaillats, Avocat.

Dans le prolongement de notre dernier article consacré aux principales obligations des employeurs consécutives à l’entrée en vigueur du règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (RGPD), nous poursuivons notre étude, cette fois-ci en ce qui concerne les nouvelles obligations de l’employeur vis-à-vis de ses salariés en matière de protection des données personnelles.

Ces nouvelles obligations, qui s’ajoutent à celles déjà prévues par la Loi n°78-17 Informatiques et Libertés du 6 janvier 1978, (bientôt modifiée par un projet de loi actuellement soumis au contrôle du Conseil constitutionnel), portent notamment sur la protection des données des salariés et à l’information de ces derniers sur les traitements effectués dans l’entreprise.

Afin de garantir aux salariés le respect de leurs droits, le règlement européen leur offre des possibilités de recours accrues et étoffe l’arsenal de sanctions qui peuvent être prononcées par la CNIL.

Nous étudierons donc ici les nouvelles obligations de l’employeur en matière :

  • D’information des salariés sur le traitement de leurs données personnelles, et d’une éventuelle violation de celles-ci ; (A)
  • D’accès des salariés à ces données ; (B)

Nous aborderons enfin les possibilités de recours offertes aux salariés et des sanctions encourues par l’employeur. (C)

A- L’information des salariés sur les traitements et éventuelles violations de leurs données personnelles.

L’employeur ne doit pas recueillir le consentement exprès de ses salariés pour mettre en œuvre la plupart des traitements de données personnelles dans son entreprise. Toutefois, il doit leur fournir une information claire et intelligible sur ces traitements.

En cas de violation des données personnelles, l’employeur est tenu d’en informer la CNIL et, sous certaines conditions, les personnes concernées.

L’ensemble de ces informations ont pour objectif de permettre aux salariés de faire valoir leurs droits plus facilement.

L’information et le recueil préalable du consentement des salariés sur les traitements de leurs données personnelles.

L’employeur doit-t-il nécessairement recueillir le consentement de son salarié avant la mise en œuvre de tout traitement de ses données personnelles ?

En principe, le traitement de données personnelles n’est licite qu’à condition que la personne concernée y ait consenti préalablement. [1]

Toutefois, le recueil du consentement de la personne concernée n’est pas nécessaire, notamment :

  • Lorsque le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • Lorsque le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis ;
  • Lorsque le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Dans le cadre de l’exécution d’un contrat de travail avec un employeur de droit privé, le consentement du salarié ne doit donc logiquement pas être requis pour les traitements de données personnelles courants tels que la gestion de la paie, les déclarations sociales ainsi que les dispositifs de contrôle de l’activité des salariés.

Certains traitements de données nécessitent en revanche le consentement du salarié, lorsqu’il n’est pas susceptible de correspondre à l’une des hypothèses d’exception prévues par le règlement.

A titre d’exemple, l’utilisation d’une photographie d’un salarié à des fins publicitaires ou promotionnelles n’est ni nécessaire au respect d’une obligation légale pour l’employeur, ni à l’exécution du contrat de travail (sauf stipulation contraire) ou a priori nécessaire aux intérêts légitimes de l’entreprise.

L’employeur doit informer les salariés des traitements de données personnelles pratiqués dans l’entreprise.

En revanche, les employés doivent être informés du traitement de leurs données personnelles de façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples", «  par écrit ou par d’autres moyens y compris, lorsque cela sera approprié, par voie électronique ». [2]

Ces informations peuvent être «  fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble , facilement visible, compréhensible et clairement lisible, du traitement prévu.  » [3]

Cette information peut donc se faire sur plusieurs supports tels que le règlement intérieur de l’entreprise, note de service ou encore le contrat de travail et contient, de manière non exhaustive :

  • L’identité et les coordonnées du responsable de traitement, et le cas échéant, du représentant du responsable de traitement ;
  • Le cas échéant, les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement  ;
  • Lorsque le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, (qui est un cas de dispense du consentement de la personne concernée visé précédemment), la description de ces intérêts ;
  • Les destinataires ou catégories de destinataires des données ;
  • La durée de conservation de ces données ;
  • L’existence des droits d’accès, de rectification, d’opposition, de portabilité, de limitation ou d’effacement des données, ou de retrait de son consentement ;
  • Le droit d’introduire une réclamation auprès de la CNIL.  [4]

Lorsque l’employeur recueille de manière indirecte des données personnelles, l’information doit être complétée par les catégories de données personnelles collectées indirectement et la source de provenance de ces données. [5]

L’employeur doit notifier à la CNIL et aux personnes concernées les violations de données à caractère personnel.

Le règlement européen responsabilise l’employeur : il doit assurer la sécurité et la confidentialité des données qu’il traite et, à défaut, avertir la CNIL et les personnes concernées de toute violation de ces données.

L’employeur est tenu de protéger les données personnelles traitées.

L’employeur est tenu par le règlement de mettre en œuvre, à tout moment, toutes les mesures techniques et organisationnelles en vue de garantir la protection des données personnelles traitées. [6]

Il est bien sûr tenu compte, pour l’appréciation du respect de cette obligation, de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques.

A titre d’exemple de mesures de sécurité prises par l’employeur, il peut être cité la sécurité physique des serveurs, des lieux et des dispositifs informatiques mais également le contrôle de l’accès aux données (procédures d’habilitation permettant un cloisonnement des données, chiffrement des données…).

En cas de violation des données personnelles, l’employeur doit en avertir la CNIL et les personnes concernées.

Cette obligation de protection des données est dorénavant d’autant plus importante qu’en cas de violation des données à caractère personnel, le responsable de traitement doit notifier cette violation :

  • A la CNIL dans les 72 heures, si la violation est susceptible d’engendrer un risque pour les droits et libertés d’une personne physique. [7]
  • A la personne concernée dans les meilleurs délais, si la violation est susceptible d’engendrer un risque élevé pour ses droits et libertés. [8]

L’appréciation du caractère « élevé » du risque, condition de notification à la personne concernée, fera sans aucun doute l’objet d’une jurisprudence soutenue.

Cette notification à la personne concernée n’est toutefois pas obligatoire si l’employeur a procédé avant la violation à un chiffrement des données, ou a pris des mesures ultérieures à la violation garantissant que le risque élevé n’est plus susceptible de se matérialiser.

En tout état de cause, si cette notification exige des efforts disproportionnés, elle est remplacée par une communication publique permettant une information des personnes concernées « tout aussi efficace ».

L’ensemble des droits à l’information dont bénéficient les salariés ont pour but de leur permettre d’agir sur leurs données, que cela soit en demandant à l’employeur d’exercer leurs droits ou en actionnant des recours contre lui.

B- Les droits des salariés sur leurs données personnelles.

Outre l’information et le recueil préalable, le cas échéant, du consentement de ses salariés, l’employeur doit en effet également veiller au respect de leurs droits, qui sont nombreux.

Les personnes concernées par un traitement de leurs données personnelles disposent en effet :

  • D’un droit d’accès à leurs données ; Le texte dispose qu’en cas d’exercice ce droit, «  le responsable du traitement fournit à la personne concernée une copie des données à caractère personnel faisant l’objet du traitement  ».

Ce droit d’accès peut donc, par exemple, servir un salarié désireux de récupérer un certain nombre de documents le concernant afin de pouvoir constituer un dossier en vue d’une saisine du Conseil de prud’hommes. [9]

  • D’un droit de rectification des données la concernant qui seraient inexactes ; [10]
  • Sous certaines conditions, d’un droit à l’effacement de leurs données ; [11]

L’employeur n’est tenu de faire droit à cette demande d’effacement que lorsqu’elle est fondée par certains motifs, à savoir :

  • Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • La personne concernée a retiré son consentement, lorsque ce traitement est basé sur ce consentement ;
  • La personne concernée s’est opposée au traitement de ses données à des fins de prospection ;
  • Lorsque les données ont été recueillies sans consentement pour des motifs légitimes poursuivis par le responsable du traitement ou par un tiers (Article 6 du règlement RGPD), la personne concernée s’est opposé à leur traitement pour des raisons tenant à sa situation particulière.

Le responsable de traitement est alors tenu d’effacer ces données, à moins qu’il ne justifie de motifs légitimes impérieux qui prévalent sur les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

  • Les données ont fait l’objet d’un traitement illicite ;
  • Les données doivent être effacées pour respecter une obligation légale ;
  • Les données ont été collectées dans le cadre d’une offre de service à destination de mineurs.

L’employeur peut dans tous les cas s’opposer à l’effacement des données, lorsque ce traitement est nécessaire notamment pour respecter une obligation légale ou à la constatation, à l’exercice ou à la défense de droits en justice. [12]

  • D’un droit à la limitation du traitement ; [13]
  • D’un droit à la limitation du traitement ; [14]
  • D’un droit à la portabilité de ses données ; [15]
  • D’un droit d’opposition au traitement des données. [16]

Ce droit d’opposition, qui contraint le responsable à ne plus traiter les données personnelles, peut s’exercer pour les motifs suivants :

  • Lorsque les données ont été recueillies sans son consentement pour des motifs légitimes poursuivis par le responsable du traitement ou par un tiers [17], la personne concernée peut s’opposer à leur traitement pour des raisons tenant à sa situation particulière. Le responsable de traitement est tenu d’y faire droit, à moins qu’il ne justifie alors de motifs légitimes impérieux qui prévalent sur les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
  • Lorsque les données personnelles sont traitées à des fins de prospection.

Tout employé peut saisir son employeur pour exercer les droits qu’il détient sur ses données personnelles, et sa demande doit être suivie d’une réponse dans un délai d’un mois. Lorsque les demandes sont complexes et nombreuses, ce délai peut être prolongé de deux mois, auquel cas le responsable de traitement en informe la personne concernée. [18]

Lorsque l’employeur agit en violation d’une des dispositions du règlement ou ne répond pas à la demande d’exercice d’un droit d’un salarié, il s’expose à un recours de sa part et à des sanctions prononcées par la CNIL.

C - Les futurs recours offerts aux salariés et les sanctions encourues par l’employeur.

Toute personne s’estimant victime d’un manquement au règlement européen dispose de différentes voies de recours. L’employeur risque également le prononcé de mesures correctrices et d’amendes prononcées par la CNIL.

Actions et recours des personnes concernées par le traitement.

En cas de violation de ses droits, résultant du règlement européen, le salarié dispose, comme toute personne concernée par un traitement de données personnelles, de recours administratifs et juridictionnels, qui peuvent prendre la forme :

  • D’une réclamation portée à la CNIL  ; [19]
  • D’un recours juridictionnel à l’encontre d’une décision prise par la CNIL ;  [20]
  • D’un recours juridictionnel à l’encontre du responsable de traitement ou de son sous-traitant ; [21]

Toute action peut être intentée contre un responsable du traitement ou un sous-traitant devant les juridictions de l’État dans lequel le responsable du traitement dispose d’un établissement. Contre une entreprise privée, elle peut également être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle. [22]

Lorsque les droits relatifs aux données personnelles ont été violés dans le cadre d’un traitement effectué en exécution ou à l’occasion d’un contrat de travail, la compétence d’une telle action doit logiquement ressortir du Conseil de prud’hommes.

Un salarié peut donc saisir le Conseil d’une demande tendant à faire respecter ses droits sur ses données personnelles, et obtenir, s’il en justifie, réparation d’un préjudice subi. [23]

Le règlement permet en outre à la personne concernée de « mandater certains organismes ou associations d’intérêt publics actifs dans le domaine de la protection des droits et libertés des personnes pour qu’ils introduisent une réclamation ou obtenir une réparation en son nom ». [24]

Les organisations syndicales représentatives peuvent jouer ce rôle de représentation.

 [25]

Les organisations syndicales représentatives étaient d’ores et déjà désignées, depuis la Loi n° 2016-1547 « de modernisation de la justice » du 18 novembre 2016 pour exercer des actions de groupe en faveur de salariés subissant un dommage du fait d’une violation des dispositions de la Loi n°78-17 Informatique et Libertés du 6 janvier 1978. [26]

Il doit être noté que ces actions de groupe peuvent, par ailleurs, désormais tendre à l’obtention de dommages et intérêts de réparation du préjudice subi par les salariés, alors qu’elles ne pouvaient auparavant tendre « exclusivement (qu’)à la cessation du manquement ». [27]

Les différents acteurs ayant participé au traitement mis en cause et responsables du dommage sont tenus d’assumer la réparation du préjudice dans sa totalité, afin de garantir à la personne concernée une réparation effective.

Il incombe ultérieurement à la personne condamnée de réclamer auprès des autres acteurs la part de la réparation correspondant à leur part de responsabilité. [28]

Les sanctions administratives encourues par l’employeur en cas de manquement aux obligations édictées par le règlement.

Outre les différents recours menés par les personnes concernées, la CNIL est habilitée à prononcer des « mesures correctrices » à l’encontre des entreprises ayant commis un manquement aux obligations édictées par le règlement, notamment : [29]

  • Prononcer un avertissement ;
  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l’effacement des données.

Selon l’infraction constatée, des amendes administratives particulièrement lourdes peuvent être également prononcées. Leur montant peut ainsi aller jusqu’à 10 ou 20 millions d’euros, ou de 2 à 4% de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. [30]

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

29 votes

Notes :

[17Article 6 du règlement RGPD