Nombreuses sont les entreprises qui ont mis en place l’une ou l’autre mesure de contrôle de leur personnel, qu’il s’agisse de la présence de caméras de surveillance ou d’un contrôle de l’utilisation des outils informatique.
Ces mesures de contrôles impliquent nécessairement des traitements de données à caractère personnel relatives aux travailleurs (telles que les images enregistrées, les sites internet consultés, les petits manquements constatés …). Les employeurs devront donc examiner leur conformité avec le RGPD.
En effet, le RGPD impose au responsable de traitement d’identifier la base juridique de chaque traitement. Les bases possibles sont identiques à celles prévues par la règlementation actuelle. Cependant, depuis mai 2018, cette précision devra être incluse dans les informations à fournir aux personnes concernées, et donc aux travailleurs. Or, à l’heure actuelle, peu d’employeurs ont identifié la base juridique qui sous-tend leurs traitements de données. Le temps presse donc !
Heureusement, le CEPD a apporté des précisions importantes au sujet des traitements de données à caractère personnel des travailleurs, et notamment au sujet des bases légales de traitement.
Le consentement ne peut servir à justifier le contrôle
Il est peu probable qu’un travailleur (voire une personne travaillant en freelance) puisse refuser ou retirer sans conséquence négative une autorisation de traitement que sollicite son employeur. Le CEPD exclut donc quasiment que le consentement puisse être libre.
Les employeurs qui avaient jusqu’ici sollicité le consentement de leurs travailleurs par le biais du contrat de travail, ou d’un avenant, doivent donc forcément identifier une autre base juridique au traitement de données.
L’exécution d’un contrat ne recouvre pas les mesures de contrôle
Cette base juridique ne recouvre que les traitements de données qui ressortent de l’exécution du contrat au sens strict, tels que le paiement des salaires. Le CPED en exclut les expressément les mesures de contrôle des travailleurs.
Obligation légale
Cette base juridique recouvre notamment les traitements de données exigés par les lois fiscales et sociales. On peut penser aux fiches fiscales que doivent compléter les employeurs, telles la fiche 281.1, aux déclarations DIMONA ou encore à l’enregistrement des présence sur les chantiers via CheckInAtWork.
Par contre, aucune loi n’oblige un employeur à contrôler l’utilisation faite des outils informatiques ni à procéder à aucun autre contrôle … Le contrôle des travailleurs ne pourra donc pas être justifié par une obligation légale.
Intérêt légitime
Les intérêts légitimes d’un employeur peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux du travailleur ne prévalent. Le CEPD admet expressément que la nécessité de procéder à un contrôle des travailleurs relève de la protection légitime par l’employeur de ses intérêts économiques, commerciaux et financiers.
Le CEPD reconnaît que, pour autant que le contrôle soit proportionné et subsidiaire par rapport à d’autres mesures, cet intérêt légitime est supérieur à celui du travailleur au respect de sa vie privée. La balance des intérêts en présence devra malgré tout être effectuée très prudemment, comme vient de le rappeler la Cour européenne des droits de l’homme dans l’affaire Barbulescu/Roumani.
Mission d’intérêt public
Si les choses semblent dès lors claires concernant le secteur privé, elles le sont moins pour le secteur public. En effet, les autorités publiques dans l’exécution de leurs missions ne peuvent pas invoquer leur intérêt légitime.
Puisque la notion d’exécution du contrat est interprétée très restrictivement par le CEPD, sans doute les administrations devront-elles se tourner vers un autre fondement, à savoir la nécessité pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont elles sont investies. Il est toutefois dommage que cette question n’ait pas été tranchée par le CEPD.
Conséquences potentielles de l’absence de communication de la base juridique du traitement aux travailleurs
Comme le rappelle la récente décision de la Cour européenne des droits de l’homme, si une mesure de contrôle n’a pas été dûment portée à la connaissance du personnel, elle pourra plus facilement être contestée devant les juridictions.
Par ailleurs, l’employeur pourrait se voir infliger une sanction administrative par la Commission de protection de la vie privée, pouvant s’élever jusqu’à 20.000.000 € ou 4 % du chiffre d’affaires annuel mondial du groupe dont il fait partie…
Our advice:
Que ce soit dans le secteur privé ou dans le secteur public, les responsables du traitement doivent rapidement identifier la base juridique de tous les traitements de données du personnel dans leur registre.
En effet, cette base légale doit être communiquée aux travailleurs, afin d’éviter des sanctions administratives très lourdes.
Cette nécessité est d’autant plus criante en matière de contrôle du personnel, puisque le non-respect du RGPD pourrait dénuer les résultats du contrôle de toute utilité.