0

Le controle du travail des salariés est-il remis en cause avec le RGPD ?

  • La vie privée et les libertés individuelles du salarié mieux protégées.

Le 25 mai 2018, le Règlement Général sur le Protection des Données ( dit RGPD ) est entré en application.
La loi du 20 juin 2018 relative à la protection des données personnelles a donc adapté la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Selon le RGPD, constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 4 du RGPD )
La protection de la vie privée et des libertés individuelles incombe au représentant légal, c’est-à-dire à l’employeur.  

1. Le contrôle du travail des salariés à l’embauche

  • Les données personnelles collectées au moment du recrutement

En application des dispositions des articles L 1221-6 et L 1221-7 du Code du travail, les informations demandées à un candidat ne peuvent avoir comme finalité que celle d’apprécier la capacité de ce dernier à occuper l’emploi proposé ou ses aptitudes professionnelles.
Ces informations doivent avoir un lien direct et nécessaire avec cet emploi ou avec l’évaluation de ses aptitudes.

  • Une protection renforcée pendant le recrutement

Au regard des principes généraux régissant traditionnellement la loi informatique et liberté de 1978 puis désormais de l’obligation renforcée de ne collecter que des informations strictement nécessaires (La Privacy by default introduite par le RGPD), ces obligations tendent à lier l’employeur davantage encore.
La sanction se fait double. L’employeur à la recherche d’un nouvel employé devra cantonner au strict nécessaire, dont il devra justifier, sa demande d’information auprès du candidat.
Ceci exclut les renseignements, théoriquement, sur sa vie privée sauf s’ils ont un lien direct et nécessaire avec l’emploi proposé.

  • Une protection renforcée en cas d’échec du recrutement

Ainsi, après avoir reçu le candidat et collecté des informations, en cas d’issue négative à la candidature, le recruteur devra informer le candidat qu’il souhaite conserver son dossier contenant potentiellement des données personnelles, afin de lui laisser la possibilité d’en demander la destruction.
Si un candidat ne demande pas la destruction de son dossier, les données sont automatiquement détruites 2 ans après le dernier contact. Seul l’accord formel du candidat permet une conservation plus longue.
Au regard du droit relatif à la protection des données à caractère personnel, il devra justifier en quoi certaines informations pourraient nécessiter une conservation, si tel est néanmoins le cas.

  • L’anonymisation du curriculum vitae

Il est vrai que la réglementation applicable en matière du droit du travail avait prévu que dans les entreprises de 50 salariés et plus, les informations communiquées par écrit par le candidat à un emploi ne pouvaient être examinées que dans des conditions préservant son anonymat (article L 1221-7 du Code du travail).
Cependant, faute de décret, le principe du curriculum vitae anonyme n’est toujours pas légalement effectif.
Sur ce point, le RGPD ne change rien, la protection des données personnelles n’ayant pas, en principe, pour finalité principale la lutte contre la discrimination à l’embauche.
Le RGPD va-t-il néanmoins permettre le renforcement du contrôle de ce défaut de discrimination par le biais, indirectement, des contrôles inopinés de la CNIL (Commission Nationale Informatique et Liberté) sur les informations collectées lors de réception de réponses aux annonces d’emploi ? L’employeur, en effet, est désormais contraint de redoubler de prudence quant aux informations qu’il collecte et à l’information qu’il doit fournir au candidat sur cette collecte, permettant  à ce dernier d’exercer des recours s’il juge cette dernière abusive.

  • Le problème des annonces fictives

Les cabinets de recrutement peuvent poster des annonces dans le seul but de recueillir des données.
La pratique des annonces fictives est, en principe, interdite, celle dédiée à la seule collecte de données est illicite.
Cependant, elle est courante.
Certains sites de recrutement en ligne se sont associés et ont créé, d’une part, l’Association des professionnels pour la promotion de l’emploi sur Internet (APPEI : www.appei.net), qui rassemble les sites généralistes, et d’autre part, l’association des sites spécialisés pour la promotion de l’emploi sur Internet (ASSPEI : www.asspei.org), qui rassemble les sites spécialisés. Une charte a été établie.
Ceci peut apparaître comme un gage de respect des principes de loyauté et de respect de la vie privée bien antérieurs au RGPD, que ce dernier ne fait que confirmer, puisque, par principe l’annonce fictive, et partant, la collecte des données personnelles en réponse à ce type d’annonce ne pourra qu’être considéré comme un traitement illicite.

  • Le candidat doit être au courant au préalable des techniques de recrutement 

Les informations concernant les candidats ne peuvent être collectées par un dispositif qui n’a pas été porté préalablement à leur connaissance. (articles L 1221-8 L 1221-9 du code du travail)
Les questionnaires d’embauche doivent mentionner :
–  l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
–  la finalité poursuivie par le traitement auquel les données sont destinées ;
–  le caractère obligatoire ou facultatif des réponses ;
–  les droits des personnes à l’égard des traitements de données à caractère personnel
Là encore, sans modification drastique des règles sur ce point, le droit relatif à la protection des données personnelles est en harmonie avec le droit du travail (combinaison de la privacy by default, du principe de la licéité du traitement et de l’obligation d’information).

2. Le contrôle des salariés pendant l’exécution du contrat de travail

 

  • L’exigence de loyauté dans les relations de travail interdit de recourir à des moyens clandestins de contrôle du salarié.

Dès lors, la géolocalisation, l’accès biométrique, le dépistage de la consommation d’alcool ou de stupéfiants, le contrôle de la messagerie, les activités extra professionnelles sont autant de données pouvant s’avérer à caractère personnel qui ne pourront pas être utilisées si elles ne sont pas conformes au RGPD.

  • La sanction est, encore une fois, simple et double.

Au-delà de la sanction administrative ou pénale pour collecte illégales de données, l’employeur pourra se voir poursuivi par le salarié pour violation de l’obligation de loyauté (Article L 1222-1 du Code du travail).
La réparation de ce préjudice a trait à l’exécution du contrat et non à la rupture.
Le montant des dommages et intérêts n’est donc pas plafonné par les ordonnances Macron.

3. Le contrôle du travail des salariés pour justifier la rupture du contrat de travail

 

  • L’obligation de loyauté interdit à l’employeur de recourir  des moyens de preuve illicites : moyens qui touchent à la vie privée ou constituent des stratagèmes.

  • Le non-respect des conditions de mise en œuvre d’un dispositif de contrôle de l’activité des salariés est l’irrecevabilité de la preuve des faits fautifs établis au moyen d’un tel dispositif. (Cass. soc. 2-11-2016 n° 15-20.540)

La conséquence sera l’annulation de la sanction prononcée ou l’absence de cause réelle et sérieuse du licenciement.
Il est vrai que désormais la sanction indemnitaire de la rupture est plafonnée devant le Conseil de prud’hommes, ce qui en amoindrit la portée.
Pour rappel, les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la Cnil constituaient, jusqu’au 25 mai 2018, un moyen de preuve illicite. (Cass. soc. 8-10-2014 n° 13-14.991)

  • L’utilisation de la messagerie professionnelle

Le RGPD va-t-il modifier la position de la Cour de Cassation sur l’utilisation du courriel issu d’une messagerie professionnelle non déclarée à la Cnil, ce mail sera-t-il toujours une preuve valable ?
Jusqu’ici, la Cour de Cassation (Cass. soc. 1-6-2017 n° 15-23.522) jugeait que l’employeur pouvait produire en justice les courriels d’un salarié issus d’une messagerie électronique professionnelle dès lors que la messagerie n’était pas pourvue d’un système de contrôle de l’activité des salariés, même si elle n’avait pas fait l’objet de la déclaration simplifiée requise auprès de la Cnil.
Ceci signifie que l’employeur peut produire en justice les courriels issus de la messagerie électronique professionnelle mise à la disposition du salarié pour les besoins de son travail (Cass. soc. 16-5-2013 n° 12-11.866) sauf si l’intéressé les a identifiés comme personnels (Cass. soc. 15-12-2010 n° 08-42.486).
La Cour d’appel avait écarté les mails professionnels des débats au motif qu’il s’agissait d’un mode de preuve illicite car provenant d’une messagerie professionnelle non déclarée.
La Cour de cassation juge que « l’absence de déclaration simplifiée d’un système de messagerie électronique professionnelle non pourvu d’un contrôle individuel de l’activité des salariés, qui n’est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés au sens de l’article 24 de la loi « informatique et libertés », ne rend pas illicite la production en justice des courriels adressés par l’employeur ou par le salarié dont l’auteur ne peut ignorer qu’ils sont enregistrés et conservés par le système informatique. »

  • Tout dispositif de messagerie professionnelle, en ce qu’il implique le traitement de données avec identification des émetteurs et destinataires de courriels, devait en effet faire l’objet d’une déclaration à la Cnil.

Tel n’est plus le cas désormais puisque le RGPD et les modifications apportées par la loi du 20 juin 2018, à la loi du 6 janvier 1978, ont fait disparaître les obligations déclaratives.

  • Désormais, les juges devront vérifier d’autres conditions.

La jurisprudence aura alors à se pencher, d’une part sur une question d’application de la loi dans le temps, et, d’autre part, sur le respect par l’employeur des obligations d’information, de tenue de registre, de désignation d’un Délégué à la Protection des Données ou DPO (Data Protection Officer), le cas échéant, désormais applicables.

4. L’information préalable des représentants du personnel : une condition nécessaire

Le Comité social et économique, doit être informé sur les méthodes de collecte des données et de contrôle des salariés ainsi que sur leurs modifications (C. trav. art. L 2323-32 et suivants du Code du travail).
Le Comité doit donner son avis sur la pertinence et la proportionnalité entre les moyens ou techniques de contrôle utilisés et le but recherché.
Il résulte clairement du Code du travail qu’une information individuelle des salariés ne dispense pas l’employeur de la consultation collective.
La Cnil le vérifie.
Sous un but sécuritaire (la sécurité de l’entreprise, celle de ses clients et usagers…) peut parfaitement se dissimuler un objectif inavoué : le contrôle de l’activité des salariés.
La Cour de cassation ne s’en tient donc pas à la finalité déclarée par l’employeur.
En conclusion, dès lors qu’un système permet ensuite de recueillir des données pour contrôler les salariés cela entre dans le champ de l’obligation de consulter le comité d’entreprise.

5. L’information préalable du salarié : une condition impérative

 

  • Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance (article L 1222-4 du Code du travail).

  • Comment ?

L’information préalable du salarié doit-elle être individuelle ? Peut-elle être collective ? Par quel moyen peut-elle être diffusée ?
L’administration estime qu’elle peut intervenir par tout moyen, oral ou écrit, individuel ou collectif, tout en recommandant aux employeurs d’utiliser la forme écrite (Circ. DRT 10 du 15-3-1993, n° II-A-3 : BOMT n° 93-10).

  • La rédaction de nouvelles clauses contractuelles

Il paraît désormais essentiel de rédiger des clauses type dans les contrats de travail, le tout pour se ménager une preuve de la transmission de l’information.

  • Le salarié peut-il s’opposer au contrôle de son travail sous couvert des règles applicables en matière de protection des données personnelles ?

La Cour de cassation a jugé que le salarié pouvait refuser d’utiliser un badge électronique à la sortie de l’entreprise si ce mode de traitement informatisé du personnel n’avait pas été enregistré par la Cnil ou l’avait été deux ans après le licenciement de l’intéressé. (Cass. soc. 6-4-2004 n° 01-35.227).
À nouveau, eu égard à la fin des obligations déclaratives, le contrôle se fera désormais en interne, avec la nécessité, pour le salarié, de démontrer l’absence d’information et à charge, pour l’employeur, de se ménager la preuve de celle-ci.
Sous couvert de responsabiliser l’entreprise, la fin de l’obligation de déclaration préalable n’est-elle pas, pour le salarié, une source d’affaiblissement de ses droits ? Probablement pas car, s’il est simple de procéder à une seule déclaration, il semble bien moins aisé, pour l’employeur, de mettre en œuvre l’ensemble des nouvelles obligations d’information, de tenue de registre et de contrôle des risques imposés désormais par le RGPD.

6. Le contrôle du travail des salariés après la rupture du contrat de travail

 

  • En pratique, de nombreux salariés ont accès aux fichiers clients.

Au-delà de leur valeur commerciale, il s’agit de données potentiellement personnelles et désormais, le responsable de traitement est contraint d’être en mesure de justifier quels sont ceux susceptibles d’y avoir droit et de justifier pourquoi.
Or, ces mêmes données peuvent être utilisées par le salarié après la rupture du contrat de travail, dans le cadre d’agissements déloyaux.

  • L’employeur devra démontrer qu’il a pris des mesures pour sécuriser la collecte des données.

Il doit se protéger face à la CNIL qui pourra lui reprocher de ne pas avoir mis en place des moyens pour éviter l’utilisation en dehors du cadre du contrat de travail des données personnelles des clients.
Ces derniers, sur cette base, pourront, en effet, mettre en cause la responsabilité de l’employeur parce qu’il n’auront pas donné leur accord pour que l’ancien salarié se constitue sa propre base de données.

  • Comment se protéger ? Quelles sont les nouvelles obligations applicables ?

A nouveau, le premier réflex est de se ménager une preuve : une charte de sécurité des données est vivement conseillée, une clause de confidentialité et de loyauté renforcée mentionnant les nouvelles dispositions du RGPD avec une mention spéciale sur le fichier client obligatoires.
En outre, l’employeur doit se protéger contre l’utilisation commerciale par les anciens salariés qui capteraient la clientèle de leur ancienne entreprise par le biais des outils informatiques qu’il a sa disposition.
Si cependant l’utilisation illicite devait avoir néanmoins lieu, malgré les précautions mises en oeuvre, il appartient désormais au responsable de traitement d’en informer la CNIL dans les 72 heures ainsi que les personnes susceptibles d’être concernées, « à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » (article 33 du RGPD).

  • La question à trancher désormais est de savoir à partir de quel moment le risque est considéré comme tel car informer ses clients d’une telle atteinte, si elle permet à l’employeur de respecter la réglementation applicable, peut avoir des conséquences commerciales fâcheuses découlant de la perte de confiance de sa clientèle, et de la publicité qui s’en suit.

L’obligation de l’employeur est désormais de taille, car il doit non seulement protéger son entreprise de ce type d’agissements, mais également être en mesure de démontrer les outils et moyens qu’il a mis en œuvre pour sécuriser l’accès à ce type de données (Privacy by design).

Emilie Voiron, avocate en droit du travail
04 93 67 32 13 | voiron@harmoniajuris.com
Et M° Aline DOSDAT, avocate en propriété intellectuelle
04 92 90 64 47 | avocat@dosdat.com

Laisser un commentaire

Your email address will not be published. Required fields are marked *