Actualités

Vos mesures de contrôle des salariés sont-elles conformes au RGPD ?

Nombreuses sont les entreprises qui ont mis en place l’une ou l’autre mesure de contrôle de leur personnel, qu’il s’agisse de la présence de caméras de surveillance ou d’un contrôle de l’utilisation des outils informatique.

Ces mesures de contrôles impliquent nécessairement des traitements de données à caractère personnel relatives aux travailleurs (telles que les images enregistrées, les sites internet consultés, les petits manquements constatés …). Les employeurs devront donc examiner leur conformité avec le RGPD avant le 25 mai 2018.

En effet, le RGPD impose au responsable de traitement d’identifier la base juridique de chaque traitement. Les bases possibles sont identiques à celles prévues par la règlementation actuelle. Cependant, dès mai 2018, cette précision devra être incluse dans les informations à fournir aux personnes concernées, et donc aux travailleurs. Or, à l’heure actuelle, peu d’employeurs ont identifié la base juridique qui sous-tend leurs traitements de données. Le temps presse donc !

Heureusement, le Groupe de travail de l’article 29 a récemment apporté des précisions importantes au sujet des traitements de données à caractère personnel des travailleurs, et notamment au sujet des bases légales de traitement.

Le consentement ne peut servir à justifier le contrôle

Il est peu probable qu’un travailleur (voire une personne travaillant en freelance) puisse refuser ou retirer sans conséquence négative une autorisation de traitement que sollicite son employeur. Le Groupe de travail de l’article 29 exclut donc quasiment que le consentement puisse être libre.

Les employeurs qui avaient jusqu’ici sollicité le consentement de leur travailleurs par le biais du contrat de travail, ou d’un avenant, doivent donc forcément identifier une autre base juridique au traitement de données.

L’exécution d’un contrat ne recouvre pas les mesures de contrôle

Cette base juridique ne recouvre que les traitements de données qui ressortent de l’exécution du contrat au sens strict, tels que le paiement des salaires. Le Groupe de travail de l’article 29 en exclut les expressément les mesures de contrôle des travailleurs.

Obligation légale

Cette base juridique recouvre notamment les traitements de données exigés par les lois fiscales et sociales. On peut penser aux fiches fiscales que doivent compléter les employeurs, telles la fiche 281.1, aux déclarations DIMONA ou encore à l’enregistrement des présence sur les chantiers via CheckInAtWork.

Par contre, aucune loi n’oblige un employeur à contrôler l’utilisation faite des outils informatiques ni à procéder à aucun autre contrôle … Le contrôle des travailleurs ne pourra donc pas être justifié par une obligation légale.

Intérêt légitime

Les intérêts légitimes d’un employeur peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux du travailleur ne prévalent. Le Groupe de travail de l’article 29 admet expressément que la nécessité de procéder à un contrôle des travailleurs relève de la protection légitime par l’employeur de ses intérêts économiques, commerciaux et financiers.

Le Groupe reconnaît que, pour autant que le contrôle soit proportionné et subsidiaire par rapport à d’autres mesures, cet intérêt légitime est supérieur à celui du travailleur au respect de sa vie privée. La balance des intérêts en présence devra malgré tout être effectuée très prudemment, comme vient de le rappeler la Cour européenne des droits de l’homme dans l’affaire Barbulescu/Roumanie ce 5 septembre 2017.

Mission d’intérêt public

Si les choses semblent dès lors claires concernant le secteur privé, elles le sont moins pour le secteur public. En effet, les autorités publiques dans l’exécution de leurs missions ne peuvent pas invoquer leur intérêt légitime.

Puisque la notion d’exécution du contrat est interprétée très restrictivement par le Groupe, sans doute les administrations devront-elles se tourner vers un autre fondement, à savoir la nécessité pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont elles sont investies. Il est toutefois dommage que cette question n’ait pas été tranchée par le Groupe de travail de l’article 29.

Conséquences potentielles de l’absence de communication de la base juridique du traitement aux travailleurs

Comme le rappelle la récente décision de la Cour européenne des droits de l’homme, si une mesure de contrôle n’a pas été dûment portée à la connaissance du personnel, elle pourra plus facilement être contestée devant les juridictions.

Par ailleurs, l’employeur pourrait se voir infliger une sanction administrative par la Commission de protection de la vie privée, pouvant s’élever jusqu’à 20.000.000 € ou 4 % du chiffre d’affaires annuel mondial du groupe dont il fait partie…

Notre conseil :

Que ce soit dans le secteur privé ou dans le secteur public, les responsables du traitement doivent rapidement identifier la base juridique de tous les traitements de données du personnel.

En effet, cette base légale doit être communiquée aux travailleurs avant le 25 mai 2018, afin d’éviter des sanctions administratives très lourdes.

Cette nécessité est d’autant plus criante en matière de contrôle du personnel, puisque le non-respect du RGPD pourrait dénuer les résultats du contrôle de toute utilité.

de Fanny Coton

Une question ?

Contactez-nous