RGPD et nouvelles règles en matière de surveillance des salariés

Retour
Date:
15 Nov 2019

Agefi Luxembourg, Novembre 2019

Par:
Marie Behle Pondji

Le Règlement Général sur la Protection des Données (ci-après, le « RGPD » ou le « Règlement »), entré en application le 25 mai 2018, pose un socle de règles communes aux Etats membres de l’Union européenne en matière de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel.

L’accroissement des responsabilités à la charge du responsable du traitement, consacré par le principe d’« accountability », est au cœur de cette nouvelle réglementation, avec pour corollaire, une suppression théorique de la charge administrative et des contrôles menés en amont par les autorités de protection des données.

Conformément à ce qu’autorise l’article 88 du RGPD, le Luxembourg a adopté des règles plus spécifiques en matière de traitement de données personnelles à des fins de surveillance des salariés. Partant, en plus des exigences imposées par le Règlement, l’employeur devra veiller au respect des obligations additionnelles introduites dans le Code du travail par la nouvelle législation nationale[1] (ci-après, la « Loi du 1er août 2018 »).  

  1. Évolution des règles en matière de surveillance des salariés

La nouvelle législation a élargi le périmètre de la surveillance dans le cadre de la relation de travail (A) mais cette extension devra néanmoins toujours s’inscrire en ligne avec les principes généraux édictés par le RGPD (B).

  1. Extension des cas de recours à la surveillance

Avant la Loi du 1er août 2018, les employeurs n’étaient autorisés à mettre en œuvre une surveillance des salariés que dans 5 hypothèses à savoir :

  1. pour les besoins de sécurité et de santé des salariés ou,
  2. pour les besoins de protection des biens de l’entreprise ou,
  3. pour le contrôle du processus de production portant uniquement sur les machines ou,
  4. pour le contrôle temporaire de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact ou,
  5. dans le cadre d’une organisation de travail selon l’horaire mobile conformément au Code du travail.

Tout dispositif de surveillance mis en œuvre pour une finalité autre que les cinq précitées était purement et simplement illicite. Le nouvel article L. 261-1 du Code du travail, quant à lui, n’impose plus une telle restriction.

Désormais, les employeurs sont autorisés à recourir à la surveillance pour les finalités qu’ils déterminent librement, sous réserve toutefois que l’une des conditions de l’article 6 §1er du RGPD soit remplie, et plus précisément, si :

  1. le salarié a consenti au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;
  2. le traitement est nécessaire à l’exécution d’un contrat auquel le salarié est partie ou à l’exécution de mesures précontractuelles prises à la demande de celui-ci (p.ex. contrat de travail) ;
  3. le traitement est nécessaire au respect d’une obligation légale à laquelle l’employeur est soumis ;
  4. le traitement est nécessaire à la sauvegarde des intérêts vitaux du salarié ou d’une autre personne physique ;
  5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi l’employeur ;
  6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’employeur ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux du salarié qui exigent une protection des données personnelles.

Cet assouplissement du cadre légal présente de nombreux avantages pour l’employeur, qui est désormais autorisé à recourir à la surveillance pour une finalité, qui, auparavant, l’aurait potentiellement exposé à des sanctions pénales.

On peut par exemple imaginer que l’employeur pourra désormais recourir à la surveillance (sous certaines conditions - notamment de proportionnalité et de compatibilité avec les droits et libertés des salariés -), pour prévenir les actes illicites ou contrôler le respect de la règlementation intérieure de l’entreprise.

Effectivement, sous l’ancienne législation, la Commission Nationale pour la Protection des Données (ci-après, la « CNPD ») avait une interprétation très stricte de la notion de protection des biens de l’entreprise et considérait que de tels contrôles n’entraient pas dans le champ de cette finalité[2].

En tant que responsable du traitement, l’employeur est responsable du choix de la base juridique sur laquelle se fonde la surveillance mais également de la validité d’un tel choix[3].

Si le choix de la base légale pourra aisément être justifié lorsque la surveillance est nécessaire au respect d’une obligation légale ou encore répond aux intérêts légitimes de l’employeur (p.ex. protection des biens de l’entreprise), le recours au consentement posera des questions beaucoup plus complexes.

  1. Risques associés au consentement du salarié comme base juridique du traitement

Dans son ancienne version, l’article L. 261-1 du Code du travail excluait explicitement le consentement des bases juridiques susceptibles de justifier le traitement des données personnelles du salarié à des fins de surveillance. Ledit article disposait en effet que « Le consentement de la personne concernée ne rend pas légitime le traitement mis en œuvre par l’employeur ».

Dans sa nouvelle mouture, cet article ne prévoit plus une telle exclusion.

Or, il est peu probable que le consentement du salarié puisse être considéré comme étant valide pour ce qui concerne le traitement de ses données personnelles à des fins de surveillance.

En effet, le RGPD exige que le consentement au traitement des données personnelles résulte d’un acte positif clair, soit éclairé, spécifique, univoque mais surtout, librement exprimé et, à cet égard, il doit être révocable[4] et reposer sur une véritable alternative.

Ceci impliquerait notamment que le salarié puisse refuser de faire l’objet de la surveillance ou retirer son consentement à tout moment, sans être exposé à des conséquences préjudiciables (p.ex. sanction disciplinaire).

De plus, il est nécessaire de garder à l’esprit que, toujours selon le RGPD[5], le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement. En l’occurrence, le contrat de travail est justement caractérisé par un rapport de subordination et un déséquilibre de forces entre l’employeur et le salarié.

Ceci ne signifie pas pour autant que l’employeur ne pourra jamais s’appuyer sur le consentement pour le traitement des données personnelles de ses salariés. Cependant, il ne pourra le faire que, si et seulement si, ce consentement répond à toutes les conditions du RGPD, lesquelles seront indéniablement difficiles à remplir dans un contexte de surveillance des salariés.

Eu égard à l’enjeu de protection des intérêts et libertés et droits fondamentaux du salarié, partie considérée comme étant la plus faible, la nouvelle législation maintient des étapes préalables que l’employeur devra respecter avant de pouvoir mettre en œuvre la surveillance. 

  1. Une flexibilité… très encadrée

Le nouveau régime légal offre aux employeurs une plus grande flexibilité. Toutefois, leurs prérogatives quant à la mise en œuvre de la surveillance des salariés sont limitées à plusieurs égards.

  1. L’information préalable aux salariés et aux représentants du personnel

Comme tout responsable de traitement, avant de mettre en œuvre la surveillance, l’employeur devra en informer les personnes concernées. Dans le cadre plus spécifique de la relation de travail, cette information préalable devra également être communiquée à la délégation du personnel ou, à défaut, à l’Inspection du Travail et des Mines.

Cette obligation existait déjà sous l’empire de la législation antérieure mais la nouveauté réside dans le contenu de cette information, qui a été très largement étoffé. En plus de ce qui est prévu par l’article 13 du RGPD, l’information préalable aux salariés et à leurs représentants doit désormais inclure :

  • une description détaillée de la finalité de la surveillance ;
  • une description détaillée des modalités de sa mise en œuvre (dont la durée de conservation des données) ;
  • l’engagement formel de l’employeur que les données collectées ne seront pas utilisées pour une finalité autre que celle explicitement spécifiée dans l’information préalable.

Cette exigence d’engagement formel de l’employeur est quelque peu surprenante dans la mesure où, en vertu du principe de limitation des finalités[6], qui s’applique à tout responsable de traitement (y compris l’employeur), il est en principe interdit d’utiliser les données pour un objectif autre que celui pour lequel elles ont été initialement traitées.

Il sera intéressant de voir quelle portée la CNPD et les juridictions du travail donneront à cet engagement formel dans l’hypothèse où, un employeur serait amené à utiliser les données issues de la surveillance (p.ex. images de vidéosurveillance) afin d’établir la preuve d’un manquement du salarié et de prononcer une sanction disciplinaire à son égard. 

  1. L’ambiguïté de la procédure d’avis préalable de conformité

À compter de la notification de l’information préalable à la mise en œuvre de la surveillance, la délégation du personnel (ou à défaut les salariés concernés) peut saisir la CNPD d’une demande d’avis préalable de conformité.

L’instauration d’une telle procédure préalable au traitement semble contredire l’esprit de « responsabilisation » associé au Règlement, et qui a justifié l’abolition, par le Luxembourg, du système des notifications et demandes d’autorisations préalables à la CNPD.

En appelant l’autorité de contrôle à évaluer la conformité de la surveillance avant sa mise en œuvre, le législateur luxembourgeois lui confère, de manière indirecte, un certain pouvoir d’homologation du traitement projeté.

S’il est vrai que l’avis de la CNPD ne lie pas l’employeur, dans les faits, il aura une valeur et une portée similaires à celles d’une décision d’autorisation. En effet : comment l’employeur pourrait mettre en place, en toute quiétude, un dispositif que la CNPD aura préalablement jugé non-conforme à la loi, sachant que cette même autorité pourrait, une fois la surveillance en place, lui reprocher cette non-conformité et lui infliger une sanction à ce titre ?

Il est d’ailleurs important de rappeler que, l’employeur reconnu coupable de violation des dispositions du Code du travail en matière de surveillance des salariés est exposé à des sanctions pénales. Ceci risque indiscutablement d’influencer l’employeur en cas d’avis de « non-conformité » de la CNPD, renforçant ainsi la portée coercitive de cette procédure. 

Conclusion

Les nouvelles règles en matière de surveillance des salariés octroient un peu plus de pouvoir de direction à l’employeur, lequel n’est plus restreint par les cinq cas de recours limitatifs de l’ancien régime.

Pour autant, cet assouplissement n’est pas synonyme de liberté absolue et le législateur a pris soin de délimiter le cadre dans lequel cette flexibilité peut s’exprimer.

L’importance des enjeux, tant du point de vue du droit du travail - et de l’éventuel contentieux en la matière - que de la responsabilité pénale, doivent amener l’employeur à placer la protection des données des salariés au premier plan de sa politique RH.

 

 

[1] Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État dite « Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ».

[2] Cf. notamment la délibération CNPD, n°558/13 du 13 décembre 2013.

[3] Cf. la décision de l’autorité hellénique n°26/2019 (août 2019).

[4] Avis 2/2017 du Groupe de Travail Article 29 du 8 juin 2017 sur le traitement des données sur le lieu de travail.

[5] Considérant n°43 du RGPD.

[6] Article 5 du RGPD.