Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

RGPD : L’analyse d’impact et la nébuleuse des relations de travail.

Par Karim Stephen de Medeiros, Juriste.

1ere Publication

L’amoindrissement des frontières entre vie privée et vie professionnelle par l’intermédiation des TIC impose de porter une attention particulière au traitement des données à caractère personnel des employés. A cet égard, l’établissement d’une analyse d’impact (aussi appelée "Privacy Impact Assesment", ou PIA) peut s’avérer particulièrement utile pour sécuriser les opérations de traitement. Pour simplifier les démarches des responsables de traitement, la CNIL a établi une liste d’opérations devant faire l’objet d’une analyse d’impact qui a récemment été publiée au Journal Officiel. Aussi, il convient de faire le point sur le PIA pour les traitements intéressant les relations de travail.

Présentation du contexte.

L’entrée en vigueur du « RGPD » (le règlement) a engendré la suppression de l’essentiel des formalités préalables à accomplir auprès des autorités de contrôle nationales (ie. La CNIL en France). En contrepartie, le concept d’accountability a été érigé au rang de principe, imposant aux responsables de traitement de respecter et de démontrer à tout moment le respect de la nouvelle réglementation [1].

La cristallisation d’anciens droits et la consécration de nouveaux dans un instrument juridique de l’autorité d’un règlement marque la volonté du législateur européen d’harmoniser le régime applicable en matière de traitement des « données à caractère personnel » (« DCAP ») dans l’Union européenne. Il en résulte que les autorités de contrôle nationales ont vu leurs prérogatives modifiées au profit d’institutions européennes telles que le « Comité Européen à la Protection des Données » (le « CEPD », qui n’est autre que l’institutionnalisation du « G29 »), désormais garant, en partie, de l’application cohérente du RGPD entre les États membres.

Toutefois, l’harmonisation souhaitée par le législateur européen n’est pas absolue, en particulier s’agissant des relations de travail. En effet, le règlement a laissé aux États membres et aux acteurs de la négociation collective, via une clause d’ouverture en son énigmatique article 88, la possibilité d’adopter des règles plus spécifiques en matière de protection des droits et libertés pour les traitements portant sur les DCAP des « employés » (notion non définie par le règlement). Les dispositions légales des États membres devaient être notifiées à la Commission européenne le 25 mai 2018 au plus tard. La France ne s’est pas emparée de cette opportunité. Il n’en reste pas moins que le RGPD prend en compte les spécificités du droit des relations de travail propre à chaque État membre.

Dans ce contexte, l’une des manifestations les plus remarquables du principe d’accountability consiste pour l’employeur agissant en tant que responsable de traitement à effectuer, en principe avant leur mise en œuvre, une analyse d’impact des types de traitements ou, s’ils présentent des risques similaires, d’ensembles d’opérations de traitements de DCAP susceptibles d’engendrer un risque élevé sur les droits et libertés des employés. Il devra ensuite consulter la CNIL dans certains cas, et notamment si des risques résiduels sont avérés après celle-ci [2].

Cette analyse est parfois appelée « étude d’impact sur la vie privée » (« EIVP »), probablement par confusion entre les notions de « privacy » et de « vie privée » [3].

Toutefois, les répercussions du traitement des DCAP dépassent le cadre de cette dernière, comme le souligne le CEPD [4] Ainsi, il sera ici utilisé l’expression « Privacy Impact Assesment » (ou « PIA ») en référence à l’analyse d’impact.

Les critères de l’analyse d’impact établis par le CEPD.

La principale difficulté de l’établissement du PIA consiste à identifier les traitements à risque élevé, aucune définition n’en étant donnée dans le règlement.

Tout au plus, le texte précise, sans que cela soit exhaustif, que l’analyse d’impact est requise dans les cas suivants [5] :
« a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
b) le traitement à grande échelle de données sensibles ou de condamnation pénales et de données relatives à des infractions ;
c) la surveillance systématique à grande échelle d’une zone accessible au public. »

Par exception, les traitements reposant sur la base juridique d’un État de l’Union consistant au respect d’une obligation légale ou à l’exécution d’une mission d’intérêt public n’ont pas à faire l’objet d’une analyse d’impact dès lors que (1) le droit de l’État membre en question réglemente l’opération de traitement et (2) que la base juridique a elle-même fait l’objet d’un PIA généralisé dans le cadre de son adoption. Le règlement laisse toutefois la possibilité aux Etats de l’UE d’en décider autrement, même si ces conditions sont réunies.

Plus particulièrement, le CEPD s’est chargé d’établir une liste de critères permettant de déterminer les cas d’établissement d’une analyse d’impact [6].

Ainsi, lorsqu’au moins deux des critères suivants sont réunis, il est fort probable qu’un PIA soit nécessaire :

  • L’évaluation ou la notation, y compris les activités de profilage ;
  • La prise d’une décision automatisée avec effet juridique ou effet similaire significatif ;
  • La surveillance systématique des personnes concernées ;
  • La gestion des catégories particulières de données, des données relatives à des condamnations pénales et à des infractions ou des données hautement personnelles ;
  • Le traitement à grande échelle de DCAP ;
  • Le croisement ou combinaison d’ensembles de DCAP ;
  • Le traitement des données relatives à des personnes vulnérables ;
  • L’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles ;
  • L’exercice par les personnes concernées d’un droit ou du bénéfice d’un service ou d’un contrat.

Dans les relations de travail, il pourra systématiquement être constaté au moins un de ces critères : celui du traitement des données des employés, ces derniers étant considérés comme des personnes vulnérables.

En outre, une analyse de certains des autres critères conduit à appréhender l’établissement très fréquent d’un PIA pour les traitements de DCAP dans les relations de travail. C’est le cas par exemple du critère de l’évaluation et de la notation (qui peut concerner la pratique du « ranking » des salariés), de celui de la surveillance systématique (qui peut être rapproché du contrôle de l’activité professionnelle) ou des traitements de « données sensibles » (appellation donnée par la pratique au traitement de données particulières visées notamment à l’article 9 du RGPD).

Il est à préciser qu’il a été laissé à la CNIL la possibilité de publier une liste d’opérations de traitements requérant un PIA [7], cette liste doit, en tout état de cause, être communiquée au CEPD. Par ailleurs, elle doit être soumise au mécanisme dit « du contrôle de cohérence » dès lors que les activités de traitements qu’elle contient sont « liées à une offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union », ce qui ne semble pas, en principe, concerner les traitements de données dans les relations de travail, et laisse donc une certaine marge de manœuvre en la matière au droit des États membres.

Un projet de liste, sur lequel le CEPD a rendu un avis le 25 septembre 2018, permettait d’entrevoir ce que la CNIL envisageait à cet égard, mais n’avait pas été publié, laissant les acteurs du traitement des données dans l’expectative [8].

La CNIL dévoile enfin sa liste finale dans sa délibération « n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquels une analyse d’impact relative à la protection des données est requise », publiée le 6 novembre 2018 au Journal officiel [9].

Les traitements soumis au PIA dans les relations de travail.

Conformément à l’avis du CEPD, il est précisé que cette liste ne peut que compléter les critères dégagés par ce dernier, sans être exhaustive. Plus spécifiquement, la CNIL énonce les types de traitements soumis à l’analyse d’impact en fonction des critères dégagés par le Comité.

S’agissant des traitements intéressant principalement les relations de travail, il est, sans surprise, indiqué que les opérations suivantes doivent faire l’objet d’un PIA :

  • Les traitements de données biométriques aux fins de reconnaissance unique d’une personne concernée et les données génétiques des employés doivent être soumis au PIA, ceux-ci reposant sur deux critères : le traitement des données des personnes vulnérables et le traitement de données sensibles. Notons qu’ici, la CNIL ne fait que suivre l’avis du CEPD précisant que le traitement des données biométriques ou génétiques ne justifie pas nécessairement une analyse d’impact s’il n’est pas conjugué à un autre critère ;
  • Les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines. C’est le cas, par exemple, de la pratique du « ranking », évoquée supra, permettant l’évaluation et la notation des employés ;
  • Les traitements ayant pour finalité de surveiller de manière systématique l’activité des employés ;
  • Les traitements relatifs aux alertes professionnelles ;
  • Les traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre.

L’analyse de cette liste amène à constater qu’elle contient des opérations de traitements déjà particulièrement encadrées par le droit du travail, celles-ci étant susceptibles de porter atteinte à la vie privée, voire à la santé des employés. On notera également l’usage du terme « employés » par la CNIL, qui coïncide avec la terminologie de l’article 88 du règlement et semble recouvrir une réalité plus large que celle de « salariés ».

Aussi, le G29 considère que le terme « employé » désigne le travailleur de manière large, peu importe la nature de la relation de travail, ce qui peut concerner le traitement des données des travailleurs indépendants [10].

Partant de ce constat, il pourrait être judicieux d’adopter, par une réglementation interne ou par accord ou convention collectifs, une conception extensive de la notion d’employé, comme cela a été le cas en Allemagne avec la « Bundesdatenschutzgesetz » (la « BDSG »), loi générale sur la protection des données prise sur le fondement de l’article 88, pour laquelle le terme « employé » désigne également le stagiaire, le candidat à l’embauche, etc.

Une prise en compte des délibérations antérieures de la CNIL pour les traitements n’étant pas soumis au PIA ?

Au surplus, l’autorité de contrôle nationale peut également adopter une liste de traitements n’étant pas soumis au PIA. A cet égard, il convient de rappeler que nombre de délibérations en matière de relations de travail ont été adoptées antérieurement au règlement par la CNIL pour les traitements qu’elle considère comme les plus courants et les moins attentatoires aux droits et libertés des personnes concernées. C’est le cas par exemple de la norme simplifiée n°46, relative à la gestion du personnel dans les secteurs publics et privés [11].

Ces délibérations sont aujourd’hui, certes, dépourvues de force contraignante, mais leur élaboration reposait sur les grands principes du droit du traitement des données personnelles, qui ont été repris par le RGPD.

Partant, il est légitime de se demander si la CNIL tiendra compte de ses anciennes délibérations dans la mise en œuvre des contrôles. Aussi, le temps nous dira si elle s’en inspirera pour établir la liste des traitements n’étant pas soumis au PIA. A titre d’illustration, il est toutefois à mentionner que l’autorité de contrôle belge précise dans son projet de liste qu’il n’existe pas, sous certaines conditions, d’obligation de réaliser une analyse d’impact pour les traitements concernant uniquement les données nécessaires à « l’administration des salaires de personnes en service ou actives pour le compte du responsable du traitement », et ceux concernant exclusivement « l’administration du personnel en service ou actif pour le compte du responsable du traitement » [12].

Au demeurant, la norme simplifiée n°46 mentionnait « l’évaluation professionnelle des personnels, dans le respect des dispositions législatives, réglementaires ou conventionnelles qui la régissent, à l’exclusion des dispositifs ayant pour objet l’établissement du profil psychologique des employés » parmi les finalités courantes ne présentant pas de risque élevé.

Or, la liste de la CNIL précise que sont soumis au PIA « les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines », sans faire de distinction entre les types de profils.

Partant, il semble que la CNIL considère désormais que tous les traitements consistant en un profilage de l’employé à des fins de ressources humaines présentent des risques élevés, et plus seulement le profilage psychologique.

Le recueil de l’avis des employés ou de leurs représentants.

Enfin, le point 9 de l’article 35 du règlement précise que le PIA nécessite de demander l’avis du DPO [13] ainsi que celui des personnes concernées (et nécessairement des employés en ce qui concerne les relations de travail) ou de leurs « représentants ».
Dans les structures à effectif modeste, il peut être aisé de recueillir l’avis des travailleurs, notamment via des enquêtes ou des réunions, ce qui pourrait être l’occasion de redonner vitalité au droit d’expression direct des salariés [14] et de les sensibiliser au droit du traitement des DCAP.

En revanche, dans les plus grandes structures, ce procédé pourrait rapidement présenter ses limites en termes de commodité. Dans de telles organisations, il sera plus simple de recueillir l’avis des Institutions Représentatives du Personnel. Néanmoins, il n’est pas précisé qui sont les « représentants » évoqués à l’article 35 ni par quels moyens ils peuvent l’être, bien que l’on puisse imaginer qu’il s’agisse, pour ce qui est des relations de travail, des représentants du personnel, du moins lorsqu’ils existent.

En conclusion.

Il est en conclusion regrettable que le législateur ne se soit pas emparé des dispositions de l’article 88 pour encadrer le traitement des DCAP des employés par un régime clair et spécifique, a fortiori en raison de l’éclatement des sources du droit en la matière. Cela aurait sans doute levé nombre d’incertitudes et d’hésitations et aurait été une formidable occasion de sensibiliser davantage les acteurs de la négociation collective et, plus largement, des ressources humaines à la nouvelle réglementation.

Toutefois, possibilité demeure d’établir un régime particulier par accords ou conventions collectifs, ce qui pourrait servir à clarifier des notions et points de droit souvent flous.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

47 votes

Notes :

[1Point 2 de l’article 5, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

[2Article 36 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

[4G29 Avis WP248 du 4 octobre 2017, lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé, p.7.

[5Article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

[6G29 Avis WP248 du 4 octobre 2017, lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé, p.4.

[7Point 4 de l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

[8Opinion 9/2018 on the draft list of the competent supervisory authority of France regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR).

[9Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.

[10G29 Avis WP 249 2/2017 sur le traitement des données sur le lieu de travail, 8 juin 2017, p. 4

[11Délibération n°2005-002 du 13/01/2005 portant adoption d’une norme destinée à simplifier l’obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels. Modifiée par délibération n°2005-277 du 17 novembre 2005.

[12Pour plus de précisions sur ces conditions, voir le projet de recommandation d’initiative concernant l’analyse d’impact relative à la protection des données et la consultation préalable (CO-AR-2016-004).

[13Pour un exposé du statut du DPO, voir : https://www.cnil.fr/fr/le-delegue-la-protection-des-donnees-dpo.

[14Article L.1228-1 du Code du travail.