Blog Données personnelles
La gestion des ressources humaines et le Règlement européen sur la protection des données personnelles
Le Règlement européen sur la protection des données (RGPD) [1] du 27 avril 2016 comporte un chapitre IX intitulé « Dispositions relatives à des situations particulières de traitement »
Ces dispositions énumèrent les traitements de données pour lesquels les Etats membres peuvent prévoir des exemptions ou des dérogations aux principes posés par le règlement. C’est notamment le cas des traitements qui concernent la liberté d’expression et d’information, l’accès du public aux documents officiels, les traitements du numéro d’identification national, et en particulier, les traitements de données dans le cadre des relations de travail.S’agissant de ces derniers, chaque Etat devra notifier à la Commission européenne au plus tard le 25 mai 2018 — date d’entrée en application du Règlement européen - les dispositions légales qu’il adopte et toute modification ultérieure.
Il convient de noter également que le G29 a publié le 8 juin 2017 un avis [2] sur les traitements de données au travail adaptant les principes qui doivent gouverner les relations au travail au développement massif des outils numériques.
Les règles plus spécifiques laissées aux Etats membres
Le principe
L’article 88 du règlement laisse la possibilité aux Etats membres de définir des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail.
La latitude ainsi laissée aux Etats membres est large puisqu’elle concerne les traitements réalisés aux fins notamment, de recrutement, de l’exécution du contrat de travail (respect des obligations fixées par la loi ou par des conventions collectives) et de la gestion, la planification et l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, ainsi qu’aux fins de la résiliation de la relation de travail.
Ainsi, le droit national peut prévoir des règles plus spécifiques pour assurer la protection des droits et libertés des personnes concernées, protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées.
Les moyens
C’est par l’adoption de mesures appropriées et spécifiques que les Etats pourront adapter leur législation en portant une attention particulière : … « à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle et surveillance sur le lieu de travail ». Ces mesures pourront être inscrites dans la loi ou au moyen de conventions collectives. La nouvelle loi Informatique et Libertés du 6 janvier 1978, dont le texte devrait être prochainement discuté au Parlement, comportera donc probablement des dispositions spécifiques relatives au traitement de données à caractère personnel dans la gestion des ressources humaines.
Mais ces mesures appropriées pourront également être inscrites dans le code du travail.
En outre, il est intéressant de noter le recours aux conventions collectives comme source de droit en matière de protection des données personnelles. Cette référence renforce la place donnée aux outils contractuels dans le domaine de la protection des données personnelles et illustre la mise en œuvre du nouveau principe d’accountability qui vise à responsabiliser les acteurs eux-mêmes dans la façon d’appliquer les principes de protection des données personnelles. Comme pour les codes de conduite, les acteurs peuvent décider ensemble des règles applicables et d’un référentiel commun permettant de garantir les droits et libertés de la personne concernée.
En France, la CNIL a d’ores et déjà développé une doctrine importante sur la protection des données personnelles au travail. Elle a notamment développé des guides méthodologiques et fiches synthétiques sur ces traitements prenant en compte le développement de nouvelles technologies comme le contrôle de l’usage d’internet, de la messagerie, le BYOD, la géolocalisation, la biométrie ou la vidéosurveillance. Elle a à cet effet annoncé qu’elle poursuivait ce travail de simplification et d’adaptation aux nouvelles règles européennes en particulier sur les systèmes d’information des ressources humaines.
Le maintien des principes et des obligations du règlement européen
Le RGDP prévoit de nouvelles obligations qui s’appliqueront à l’ensemble des responsables de traitement et sous-traitants dès le 25 mai 2018.
Si les Etats membres peuvent prévoir des règles plus spécifiques dans le domaine des relations de travail, de nombreuses obligations prévues par le règlement restent bien sûr applicables à ces traitements.
Par exemple, l’obligation du responsable de traitement de tenir à jour un registre des traitements, ou l’obligation de communication d’une violation des données à caractère personnel à l’autorité de contrôle et à la personne concernée constituent des éléments importants pour le responsable de traitement.
Les droits de la personne concernée, ici le salarié, sont également renforcés et renouvelés incluant notamment le droit à la limitation du traitement, l’encadrement du recours au profilage et le droit d’accès désormais assorti de délais.
Le rôle du consentement dans les relations de travail ne sera pas modifié puisque si sa place est renforcée dans le Règlement européen, c’est à la condition qu’il puisse être exprimé, sans ambiguïté, considéré comme explicitement et librement exprimé, ce qui n’est pas le cas lorsque la relation présente un déséquilibre significatif.
C’est notamment le cas de la relation du contrat de travail, caractérisée par le lien de subordination entre l’employé et son employeur. Dans ce cas, le consentement ne peut servir de base légale au traitement.
L’avis du G29 du 8 juin 2017 sur les traitements de données au travail intègre les dispositions du nouveau Règlement et rappelle la nécessaire prise en compte des principes suivants :
- les employeurs doivent toujours avoir à l’esprit le respect des principes fondamentaux de protection des données personnelles, quelle que soit la technologie utilisée ;
- le contenu des communications électroniques réalisées à partir de locaux professionnels bénéficient de la même protection fondée sur des droits fondamentaux, comme toute communication ;
- il est hautement improbable que le consentement puisse servir de base légale au traitement des données au travail à moins que les employés puissent refuser sans qu’il y ait de conséquence négative ;
- l’exécution d’un contrat et l’intérêt légitime peuvent être parfois invoqués, dès lors que le traitement est strictement nécessaire pour la réalisation d’un intérêt légitime et qu’il se conforme aux principes de proportionnalité et de subsidiarité ;
- les employés doivent être effectivement informés des mesures de surveillances mises en place :
- tout transfert international de données relatives à des employés doit avoir lieu uniquement lorsqu’un niveau de protection suffisant est assuré.
Les responsables de traitement dans le secteur des relations de travail et leurs sous-traitants devront donc demain respecter les principes et obligations du nouveau Règlement européen mais également intégrer dans leurs pratiques toutes les règles spécifiques adoptées dans le droit du travail national ainsi que les dispositions que la nouvelle loi Informatique et Libertés sera susceptible de comporter sur le sujet ainsi que la doctrine qui sera dégagée par la Commission.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[2] Opinion 2/2017 on data processing at work