Accueil Actualités juridiques du village Droit Social TIC et Droit du travail

RGPD et données RH : le consentement des salariés n’est pas nécessaire (ni pertinent) !

Par Camille-Antoine Donzel, Avocat.

Avis aux DRH : le consentement de vos salariés n’est pas le fondement adéquat au traitement de leurs données à caractère personnel.

Le 25 mai 2018, est entré en application le Règlement Général sur la Protection des Données ("RGPD") à caractère personnel.

Outre l’harmonisation des règlementations existant dans les pays de l’UE, le RGPD donne au droit des données personnelles une visibilité plus accrue, notamment au regard du montant très élevée des sanctions à la clé (RGPD, art. 83).

Souvent appréhendées comme un sujet d’ordre administratif, relevant de la compétence de l’IT, voire au mieux du service juridique, les données à caractère personnel des salariés apparaissent désormais comme un véritable enjeu de la politique RH de l’entreprise. La CNIL a d’ailleurs annoncé sur son site qu’elle porterait "plus particulièrement son attention, pour 2018, sur trois grandes thématiques", parmi lesquelles "les traitements liés au recrutement" (https://www.cnil.fr/fr/quelles-thematiques-prioritaires-et-quelle-strategie-de-controle-pour-2018).

Sur le plan juridique, la conformité d’un traitement des données à caractère personnel recueillies auprès des salariés de l’entreprise aux règles édictées par le RGPD suppose notamment que ledit traitement repose sur l’un des fondements prévus par le texte. Ainsi, le traitement doit-il :

  • soit reposer sur le consentement des personnes concernées au traitement de leurs données pour une ou plusieurs finalités spécifiques ;
  • soit être nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci ;
  • soit être nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • soit être nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • soit être nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • soit enfin être nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant (RGPD, art. 6) ; Le traitement pouvant reposer sur un ou plusieurs de ses fondements selon les données qui en relèvent.

A cet égard, si l’entrée en application du RGPD a fait couler beaucoup d’encre, elle a également fait naître l’idée que tout traitement de données à caractère personnel devait désormais impérativement reposer sur le consentement exprès des personnes dont les données sont traitées.

Or, rien n’est moins vrai, surtout en ce qui concerne les données RH.

En effet, sur le plan juridique, il convient de relever que le traitement des données à caractère personnel des salariés peut reposer a minima sur deux fondements bien établis :
(i) d’une part, l’exécution d’un contrat auquel le salarié est partie (i.e. le contrat de travail) ;
(ii) d’autre part, les obligations légales qu’a l’employeur vis-à-vis de ses salariés (déclaration d’embauche, souscription d’une mutuelle etc.).

Le recueil du consentement des salariés préalablement au traitement de leurs données à caractère personnel n’apparaît donc pas nécessaire au regard des fondements susvisés, qui peuvent être valablement utilisés par les services RH.

Mais aussi, le consentement apparaît inadéquat à trois égards.

Sur le plan pratique d’une part, en ce qu’il supposerait, en cas de refus, que l’entreprise ne traite pas les données à caractère personnel de ses salariés - ce qui serait problématique.

Sur le plan des relations sociales d’autre part, l’entreprise qui se verrait refuser le consentement d’un ou plusieurs salariés au traitement de leurs données à caractère personnel devrait alors ensuite se prévaloir d’un autre fondement au traitement desdites données, avec la conséquence de faire comprendre à ses salariés que leur consentement n’a finalement que peu de valeur...

Sur le plan juridique enfin, en ce que le "G29" (qui regroupe l’ensemble des « CNI » en Europe) considère en tout état de cause que le consentement n’est valable que si la personne concernée a eu la possibilité d’effectuer un véritable choix et n’a pas été mise devant le fait accompli (Document de travail relatif à une interprétation commune des dispositions de l’article 26, paragraphe 1, de la directive 95/46/CE du 24 octobre 1995), ce qu’il estime ne pas être le cas dans la relation employeur-salarié :
«  À cet égard, le groupe de travail tient à attirer l’attention sur les difficultés particulières qui pourraient surgir pour considérer le consentement d’une personne concernée comme donné librement dans une relation d’emploi, en raison du lien de subordination entre l’employeur et le salarié. Dans ce contexte, un consentement valable signifie que le salarié doit avoir une possibilité réelle de refuser son consentement sans subir un préjudice ou de le retirer ultérieurement s’il change d’avis.
Dans de telles situations de dépendance hiérarchique, le refus ou les réserves d’un salarié à l’égard d’un transfert pourraient en effet lui causer un préjudice moral ou matériel, ce qui est tout à fait contraire à la lettre et à l’esprit de la législation européenne en matière de protection des données personnelles. Le groupe de travail reconnaît toutefois l’existence de cas où il est opportun que l’employeur s’appuie sur un consentement, par exemple dans une organisation internationale où les salariés souhaitent tirer profit de possibilités offertes dans un pays tiers.
En conséquence, le groupe de travail invite les employeurs à ne pas se fonder uniquement sur le consentement de leurs salariés pour le transfert de leurs données, sauf dans les cas où il est avéré que les salariés ne subiraient aucune conséquence s’ils ne souhaitaient pas donner leur consentement à un transfert ou si, après l’avoir donné, ils souhaitaient le retirer, dans le cas où ce serait possible.
 »

Ainsi, en cas de contrôle de la CNIL, celle-ci pourrait remettre en cause le bien-fondé du traitement, et demander à l’entreprise de justifier d’un autre fondement.

En conséquence, chers DRH, vous vous éviterez bien des difficultés en excluant toute référence au consentement des salariés lors de la mise en place d’un traitement de leurs données à caractère personnel.

Camille-Antoine DONZEL
Avocat
Cabinet Fromont-Briens

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

120 votes