Les règles en matière de gestion des données à caractère personnel des employés se sont renforcées suite à l’adoption du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le RGPD).
Ce renforcement est lié à l’utilisation exponentielles des technologies avancées en entreprise : « Office 365 », BYOD, Messageries électroniques, Cloud Computing, Sharepoint, badgeuse, Smartphone professionnels, géolocalisation, tablettes… Ces outils à la disposition des employés conduit l’employeur à collecter de nombreuses données personnelles (identité, position géographique, échanges, contrôle de l’activité, etc.) sur ses employés sans nécessairement en avoir conscience.
Toutefois, la collecte de données à caractère personnel est soumise au respect d’obligations légales prévues par la loi dite « Informatique et libertés »
1. Pourquoi cette loi s’applique dans la relation employeur/employés ?
Le principe reste que dans l’entreprise, l’employeur est responsable de l’activité de ses employés. A ce titre, il est en charge de veiller à ce que les outils mis à leur disposition soient utilisés licitement. Il peut donc collecter des données et contrôler l’activité des employés.
Or, la loi Informatique et Libertés du 6 janvier 1978 prévoit à l’article 2 qu’une donnée à caractère personnel est une « information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à ou plusieurs éléments qui lui sont propres ». L’employeur collecte donc quotidiennement une quantité faramineuse de données personnelles : nom, prénom, matricule, horaires d’accès à la cantine, au bureau, vidéosurveillance…
Or, la collecte de ces données contraint l’employeur à respecter la loi Informatique et libertés, en sa qualité de responsable de traitement de ces données. L’employeur a donc un double rôle « d’employeur » et de « responsable de traitement ». Il doit donc mettre en place des mesures proportionnées et appropriées de collecte loyale, licite et de protection des données à caractère personnel.
2. Les principales obligations communes à toute collecte de données sur les employés.
Obligation de sécurité.
Conformément à l’article 34 de la loi Informatique et libertés, tout chef d’entreprise collectant et traitant des données à caractère personnel doit mettre en place des mesures de sécurité pour empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer, d’autant que le principe en droit français reste que l’employeur est de plein droit responsable de l’activité de ses salariés.
Pour ce faire, le responsable de traitement doit prendre en compte, en premier lieu, l’état de la technique et des coûts liés à sa mise en œuvre et, en second lieu, le niveau de sécurité en fonction de la nature des données à protéger et des risques encourus par leur traitement.
A défaut, cela constituerait une infraction pénale sanctionnée de cinq ans de prison et de 300.000 € d’amende (Article 226-17 du Code pénal). Pour les personnes morales la peine d’amende encourue est quintuplée, soit 1 500 000 euros. Au-delà des sanctions administratives peuvent être prononcées par la Cnil (avertissement, mise en demeure, sanction publique ou amende allant jusqu’à 3 millions d’euros).
Cette obligation de sécurité est d’ordre général et il n’existe pas de liste exhaustive de mesures à mettre en place. Cependant, l’employeur, en tant que responsable de traitement, peut voir sa responsabilité engagée du seul fait de la mauvaise identification des précautions à mettre en œuvre.
En pratique : La mise en œuvre de ces mesures peut être détaillée et consolidée dans un Guide Sécurité, la Charte Informatique ou encore dans la Politique Générale de Sécurité des Systèmes d’Information (PGSSI).
Actualité 2017 : En préparation du RGPD qui entre en vigueur le 25 mai 2018, il est essentiel de prévoir ce corpus de documents prenant en compte la prise de mesures de sécurité au regard de la nature des données et du risque qu’elles encourent. Cela répond à une nouvelle obligation dite d’« Accountability ».
Obligation d’information.
De par leur double rôle d’employeurs et de responsables de traitements, les dirigeants d’entreprises doivent mettre en place des mesures d’information des employés sur les outils de collecte de leurs données à caractère personnel.
Tout d’abord rappelons que l’article L1212-4 du Code du travail prévoit que :
« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »
Ensuite, l’employeur définit les moyens et la finalité des outils mis à la disposition des employés. En ce sens il est qualifié de « responsable de traitements » au sens de la loi Informatique et Libertés et à ce titre, il a une obligation d’information conforme à l’article 32 de la loi Informatique et libertés. Attention cette obligation d’information a été mise à jour par la loi du 7 octobre 2016 pour une République Numérique.
En pratique : Cette information peut se faire par tous moyens, selon la nature de l’outil utilisé (avenant au contrat de travail, message vocal, mentions d’informations sur site internet, Charte, note individuelle, note de service, etc.)
Actualité 2017 : Suite à l’adoption de la loi Pour une République Numérique, l’article 32 de la loi Informatique et libertés a été modifié pour inclure l’obligation d’informer les personnes sur le droit sur leurs données « post-mortem » et sur la durée de conservation des données les concernant. Ainsi, il est essentiel de prévoir une politique d’information des employés en fonction des données collectées, de leurs modalités de modification, accès ou suppression et de leur durée de conservation.
Obligation de déclaration à la CNIL.
Les dispositifs non déclarés à la CNIL ne sont pas opposables aux employés. A ce titre, il est vivement recommandé de prévoir une formalité préalable à réaliser auprès de la Cnil par finalité de traitement et surtout de bien choisir cette formalité en fonction des catégories de données collectées et de la raison pour laquelle elles sont collectées et traitées.
C’est ce que rappelle un arrêt du 8 octobre 2014 (pourvoi n°13-14991) de la chambre sociale de la cour de cassation qui a invalidé un licenciement pour faute au motif que l’outil de contrôle informatique ayant permis la constatation de la faute de la salariée n’avait pas fait l’objet d’une déclaration à la CNIL comme l’impose la loi Informatique et libertés.
En outre, l’employeur qui collecterait des fichiers de données personnelles sans les avoir déclarés préalablement à la CNIL s’exposerait à des sanctions pénales (jusqu’à 5 ans de prison et 300.000 euros d’amende) et administratives (avertissement, sanction publique ou amende allant jusqu’à 3 millions d’euros).
En pratique : Il convient de choisir la formalité préalable en fonction des finalités. La CNIL a d’ores et déjà prévu des formalités simplifiées pour certains traitements. Voyons les exemples pour certains traitements détaillés ci-dessous, sous réserve de respecter l’ensemble des obligations légales et des recommandations de la CNIL sur l’ensemble du traitement :
(Voir tableau ci-dessous)
Actualité 2017 : Il convient de rappeler que l’employeur doté d’un CIL n’est pas tenu de procéder aux déclarations normales et simplifiées. Celles-ci devront simplement être rajoutées au Registre interne du CIL. En préparation du RGPD qui entre en vigueur le 25 mai 2018, il est essentiel de prévoir en outre la désignation d’un « DPO » (Data Privacy Officer) qui prendra la place du CIL et qui devra également tenir un registre.
A noter : ce DPO peut être interne à l’entreprise ou externalisé notamment dans un cabinet de conseil.
Yaël Cohen-Hadria, avocat.
et Hugo Salard, juriste.
Article initialement publié dans le Journal du Management Juridique n°55.
