Dans le prolongement de notre dernier article consacré aux principales obligations des employeurs consécutives à l’entrée en vigueur du règlement européen n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (RGPD), Siléas Avocats poursuit son étude, cette fois-ci en ce qui concerne les nouvelles obligations de l’employeur vis-à-vis de ses salariés en matière de protection des données personnelles.
Ces nouvelles obligations, qui s’ajouteront à celles déjà prévues par la Loi n°78-17 Informatiques et Libertés du 6 janvier 1978, porteront notamment sur la protection des données des salariés et à l’information de ces derniers sur les traitements effectués dans l’entreprise.
Afin de garantir aux salariés le respect de leurs droits, le règlement européen leur offrira des possibilités de recours accrues et étoffera l’arsenal de sanctions qui peuvent être prononcées par la CNIL.
Nous étudierons donc ici les nouvelles obligations de l’employeur à compter du 25 mai 2018 en matière:
- D’information des salariés sur le traitement de leurs données personnelles, et d’une éventuelle violation de celles-ci ; (A)
- D’accès des salariés à ces données ; (B)Nous aborderons enfin les futures possibilités de recours offertes aux salariés et des sanctions encourues par l’employeur. (C)
A- L’information des salariés sur les traitements et éventuelles violations de leurs données personnelles
L’employeur ne devra pas recueillir le consentement exprès de ses salariés pour mettre en œuvre la plupart des traitements de données personnelles dans son entreprise. Toutefois, il devra leur fournir une information claire et intelligible sur ces traitements.
En cas de violation des données personnelles, l’employeur sera à compter du 25 mai 2018 tenu d’en informer la CNIL et, sous certaines conditions, les personnes concernées.
L’ensemble de ces informations ont pour objectif de permettre aux salariés de faire valoir leurs droits plus facilement.
L’information et le recueil préalable du consentement des salariés sur les traitements de leurs données personnelles
L’employeur devra-t-il nécessairement recueillir le consentement de son salarié avant la mise en œuvre de tout traitement de ses données personnelles ?
En principe, le traitement de données personnelles ne sera licite qu’à condition que la personne concernée y ait consenti préalablement.
Toutefois, le recueil du consentement de la personne concernée ne sera pas nécessaire, notamment :
- Lorsque le traitement sera nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
- Lorsque le traitement sera nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis ;
- Lorsque le traitement sera nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent alors les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Dans le cadre de l’exécution d’un contrat de travail avec un employeur de droit privé, le consentement du salarié ne devra donc logiquement pas être requis pour les traitements de données personnelles courants tels que la gestion de la paie, les déclarations sociales ainsi que les dispositifs de contrôle de l’activité des salariés.
Certains traitements de données nécessiteront en revanche le consentement du salarié, lorsqu’il ne sera pas susceptible de correspondre à l’une des hypothèses d’exception prévues par le règlement.
A titre d’exemple, l’utilisation d’une photographie d’un salarié à des fins publicitaires ou promotionnelles ne sera ni nécessaire au respect d’une obligation légale pour l’employeur, ni à l’exécution du contrat de travail (sauf stipulation contraire) ou a priori nécessaire aux intérêts légitimes de l’entreprise.
L’employeur devra informer les salariés des traitements de données personnelles pratiqués dans l’entreprise
En principe, le traitement de données personnelles ne sera licite qu’à condition que la personne concernée y ait consenti préalablement.
Toutefois, le recueil du consentement de la personne concernée ne sera pas nécessaire, notamment :
- Lorsque le traitement sera nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
- Lorsque le traitement sera nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis ;
- Lorsque le traitement sera nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent alors les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Dans le cadre de l’exécution d’un contrat de travail avec un employeur de droit privé, le consentement du salarié ne devra donc logiquement pas être requis pour les traitements de données personnelles courants tels que la gestion de la paie, les déclarations sociales ainsi que les dispositifs de contrôle de l’activité des salariés.
Certains traitements de données nécessiteront en revanche le consentement du salarié, lorsqu’il ne sera pas susceptible de correspondre à l’une des hypothèses d’exception prévues par le règlement.
A titre d’exemple, l’utilisation d’une photographie d’un salarié à des fins publicitaires ou promotionnelles ne sera ni nécessaire au respect d’une obligation légale pour l’employeur, ni à l’exécution du contrat de travail (sauf stipulation contraire) ou a priori nécessaire aux intérêts légitimes de l’entreprise.
L’employeur devra informer les salariés des traitements de données personnelles pratiqués dans l’entreprise
En revanche, les employés devront être informés du traitement de leurs données personnelles de façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples », « par écrit ou par d’autres moyens y compris, lorsque cela sera approprié, par voie électronique ».
Article 12 alinéa 1 du règlement RGPD
Ces informations pourront être « fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. »
Article 12 alinéa 7 du règlement RGPD
Cette information pourra donc se faire sur plusieurs supports tels que le règlement intérieur de l’entreprise, note de service ou encore le contrat de travail et contiendra, de manière non exhaustive :
- L’identité et les coordonnées du responsable de traitement, et le cas échéant, du représentant du responsable de traitement;
- Le cas échéant, les coordonnées du délégué à la protection des données ;
- Les finalités du traitement auxquelles seront destinées les données à caractère personnel ainsi que la base juridique du traitement ;
- Lorsque le traitement sera nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, (qui est un cas de dispense du consentement de la personne concernée visé précédemment), la description de ces intérêts ;
- Les destinataires ou catégories de destinataires des données;
- La durée de conservation de ces données ;
- L’existence des droits d’accès, de rectification, d’opposition, de portabilité, de limitation ou d’effacement des données, ou de retrait de son consentement ;
- Le droit d’introduire une réclamation auprès de la CNIL.
Lorsque l’employeur recueillera de manière indirecte des données personnelles, l’information devra être complétée par les catégories de données personnelles collectées indirectement et la source de provenance de ces données.
Il est donc dans l’intérêt de chaque employeur de produire dès à présent des affichages, notes de service contenant une telle information ou de l’intégrer dans leur règlement intérieur.
L’employeur devra notifier à la CNIL et aux personnes concernées les violations de données à caractère personnel
Le règlement européen responsabilise l’employeur : il devra assurer la sécurité et la confidentialité des données qu’il traitera et, à défaut, avertir la CNIL et les personnes concernées de toute violation de ces données.
L’employeur sera tenu de protéger les données personnelles traitées
L’employeur sera tenu par le règlement de mettre en œuvre, à tout moment, toutes les mesures techniques et organisationnelles en vue de garantir la protection des données personnelles traitées.
Il sera bien sûr tenu compte, pour l’appréciation du respect de cette obligation, de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques.
A titre d’exemple de mesures de sécurité prises par l’employeur, il peut être cité la sécurité physique des serveurs, des lieux et des dispositifs informatiques mais également le contrôle de l’accès aux données (procédures d’habilitation permettant un cloisonnement des données, chiffrement des données…).
En cas de violation des données personnelles, l'employeur devra en avertir la CNIL et les personnes concernées
Cette obligation de protection des données sera dorénavant d’autant plus importante qu’en cas de violation des données à caractère personnel, le responsable de traitement devra notifier cette violation :
- A la CNIL dans les 72 heures, si la violation est susceptible d’engendrer un risque pour les droits et libertés d’une personne physique
- A la personne concernée dans les meilleurs délais, si la violation est susceptible d’engendrer un risque élevé pour ses droits et libertés.
L’appréciation du caractère « élevé » du risque, condition de notification à la personne concernée, fera sans aucun doute l’objet d’une jurisprudence soutenue. En tout état de cause, si cette notification exigera des efforts disproportionnés, elle sera remplacée par une communication publique permettant une information des personnes concernées « tout aussi efficace ».
Cette notification à la personne concernée ne sera toutefois pas obligatoire si l’employeur aura procédé avant la violation à un chiffrement des données, ou aura pris des mesures ultérieures à la violation garantissant que le risque élevé n’est plus susceptible de se matérialiser.
L’ensemble des droits à l’information dont bénéficieront les salariés auront pour but de leur permettre d’agir sur leurs données, que cela soit en demandant à l’employeur d’exercer leurs droits ou en actionnant des recours contre lui.
B- Les droits des salariés sur leurs données personnelles
Outre l’information et le recueil préalable, le cas échéant, du consentement de ses salariés, l’employeur devra en effet également veiller au respect de leurs droits, qui sont nombreux.
Les personnes concernées par un traitement de leurs données personnelles disposeront en effet :
1°) D’un droit d’accès à leurs données ;
Le texte dispose qu’en cas d’exercice ce droit, « le responsable du traitement fournira à la personne concernée une copie des données à caractère personnel faisant l’objet du traitement ».
Ce droit d’accès pourra donc, par exemple, servir un salarié désireux de récupérer un certain nombre de documents le concernant afin de pouvoir constituer un dossier en vue d’une saisine du Conseil de prud’hommes.
2°) D’un droit de rectification des données la concernant qui seraient inexactes ;
3°) Sous certaines conditions, d’un droit à l’effacement de leurs données ;
L’employeur ne sera tenu de faire droit à cette demande d’effacement que lorsqu’elle sera fondée par certains motifs, à savoir :
- Les données ne seront plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
- La personne concernée aura retiré son consentement, lorsque ce traitement est basé sur ce consentement ;
- La personne concernée se sera opposé au traitement de ses données à des fins de prospection ;
- Lorsque les données auront été recueillies sans consentement pour des motifs légitimes poursuivis par le responsable du traitement ou par un tiers (Article 6 du règlement RGPD), la personne concernée se sera opposé à leur traitement pour des raisons tenant à sa situation particulière.
- Le responsable de traitement sera alors tenu d’effacer ces données, à moins qu’il ne justifie de motifs légitimes impérieux qui prévalent sur les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
- Les données auront fait l’objet d’un traitement illicite ;
- Les données devront être effacées pour respecter une obligation légale ;
- Les données auront été collectées dans le cadre d’une offre de service à destination de mineurs.
L’employeur pourra dans tous les cas s’opposer à l’effacement des données lorsque ce traitement sera nécessaire notamment pour respecter une obligation légale ou à la constatation, à l’exercice ou à la défense de droits en justice.
4°) D’un droit à la limitation du traitement ;
5°) D’un droit à la portabilité de ses données ;
6°) D’un droit d’opposition au traitement des données.
Ce droit d’opposition, qui contraindra le responsable à ne plus traiter les données personnelles, pourra s’exercer pour les motifs suivants :
- Lorsque les données auront été recueillies sans son consentement pour des motifs légitimes poursuivis par le responsable du traitement ou par un tiers (Article 6 du règlement RGPD), la personne concernée pourra s’opposer à leur traitement pour des raisons tenant à sa situation particulière. Le responsable de traitement sera tenu d’y faire droit, à moins qu’il ne justifie alors de motifs légitimes impérieux qui prévalent sur les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
- Lorsque les données personnelles seront traitées à des fins de prospection.
Tout employé pourra saisir son employeur pour exercer les droits qu’il détiendra sur ses données personnelles, et sa demande devra être suivie d’une réponse dans un délai d’un mois. Lorsque les demandes seront complexes et nombreuses, ce délai pourra être prolongé de deux mois, auquel cas le responsable de traitement en informera la personne concernée.
Article 12 alinéa 3 du règlement RGPD
Lorsque l’employeur agira en violation d’une des dispositions du règlement ou ne répondra pas à la demande d’exercice d’un droit d’un salarié, il s’exposera à un recours de sa part et à des sanctions prononcées par la CNIL.
C - Les futurs recours offerts aux salariés et les sanctions encourues par l’employeur
Toute personne s’estimant victime d’un manquement au règlement européen disposera de différentes voies de recours. L’employeur risquera également le prononcé de mesures correctrices et d’amendes prononcées par la CNIL.
Actions et recours des personnes concernées par le traitement
En cas de violation de ses droits, résultant du règlement européen, le salarié disposera, comme toute personne concernée par un traitement de données personnelles, de recours administratifs et juridictionnels, qui pourront prendre la forme :
- D’une réclamation portée à la CNIL ;
- D’un recours juridictionnel à l’encontre d’une décision prise par la CNIL ;
- D’un recours juridictionnel à l’encontre du responsable de traitement ou de son sous-traitant ;
Toute action pourra être intentée contre un responsable du traitement ou un sous-traitant devant les juridictions de l’Etat dans lequel le responsable du traitement dispose d’un établissement. Contre une entreprise privée, elle pourra également être intentée devant les juridictions de l’Etat membre dans lequel la personne concernée a sa résidence habituelle.
Lorsque les droits relatifs aux données personnelles auront été violés dans le cadre d’un traitement effectué en exécution ou à l’occasion d’un contrat de travail, la compétence d’une telle action devra logiquement ressortir du Conseil de prud’hommes.
Un salarié pourra donc saisir le Conseil d’une demande tendant à faire respecter ses droits sur ses données personnelles, et obtenir, s’il en justifie, réparation d’un préjudice subi.
Le règlement permettra en outre à la personne concernée de « mandater certains organismes ou associations d’intérêt publics actifs dans le domaine de la protection des droits et libertés des personnes pour qu’ils introduisent une réclamation ou obtenir une réparation en son nom ».
Les organisations syndicales représentatives pourront jouer ce rôle de représentation.
Les organisations syndicales représentatives étaient d’ores et déjà désignées, depuis la Loi n° 2016-1547 « de modernisation de la justice » du 18 novembre 2016 » pour exercer des actions de groupe en faveur de salariés subissant un dommage du fait d’une violation des dispositions de la Loi n°78-17 Informatique et Libertés du 6 janvier 1978.
Article 43 ter de la loi n° 78-17 Informatique et Libertés du 6 janvier 1978
Il doit être noté que ces actions de groupe pourront, par ailleurs, désormais tendre à l’obtention de dommages et intérêts de réparation du préjudice subi par les salariés, alors qu’elles ne pouvaient auparavant tendre « exclusivement (qu’)à la cessation du manquement ».
Article 16 A du projet de loi d’adaptation de la Loi Informatiques et Libertés du 6 janvier 1978
Les différents acteurs ayant participé au traitement mis en cause et responsables du dommage seront tenus d’assumer la réparation du préjudice dans sa totalité, afin de garantir à la personne concernée une réparation effective.
Il incombera ultérieurement à la personne condamnée de réclamer auprès des autres acteurs la part de la réparation correspondant à leur part de responsabilité.
Les sanctions administratives encourues par l’employeur en cas de manquement aux obligations édictées par le règlement
Outre les différents recours menés par les personnes concernées, la CNIL sera habilitée à prononcer des « mesures correctrices » à l’encontre des entreprises ayant commis un manquement aux obligations édictées par le règlement, notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données.
Selon l’infraction constatée, des amendes administratives particulièrement lourdes pourront être également prononcées. Leur montant pourra ainsi aller jusqu’à 10 ou 20 millions d’euros, ou de 2 à 4% de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.