L’impact de la réglementation des données personnelles sur la gestion des ressources humaines en entreprises.

Depuis le 25 mai 2018 le nouveau Règlement européen sur la protection des données (UE) 2016/679 du 27 avril 2016 (dit Règlement Général sur la Protection des Données – RGPD) est entré en application.
Si ce Règlement reprend, pour les préciser, de très nombreux principes qui gouvernent la protection des données à caractère personnel, ce texte introduit également de nouveaux dispositifs qui demandent aux responsables de traitement de nombreuses adaptations.

Dans ce contexte, de nombreuses entreprises concentrent leurs efforts relatifs à leur mise en conformité au RGPD (ou GDPR en anglais) sur leurs données externes. Ils examinent les processus et les systèmes pour s’assurer de leur conformité à l’égard de leurs prospects, clients, etc.
Cependant, les données détenues par les entreprises sur leurs salariés rentrent également dans le champ d’application de la règlementation sur les données personnelles.
Il est donc essentiel d’inclure les services RH et paie dans la stratégie « données personnelles ».

Données personnelles et ressources humaines.

De quoi parle-t-on lorsqu’on évoque les données détenues par les entreprises sur leurs salariés ?
Selon le nouveau RGPD (article 4), est une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne physique est réputée être identifiable lorsqu’elle « peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, les données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Cette définition est similaire à celle retenue par le législateur français dans la loi dite informatique et libertés de 1978 modifiée (ci-après la « loi informatique et libertés »).

Ainsi, en matière de ressources humaines, seront notamment considérées comme données à caractère personnel :
- les données collectées au moment du recrutement ou de l’embauche du salarié (nom, prénom, date et lieu de naissance, adresse, n° de téléphone, n° de sécurité sociale, n° de compte bancaire, photographie, informations relatives aux ayants droit du salarié, etc.) ;
- les données paie ;
- les résultats d’examen de la médecine du travail ;
- le détail des factures de téléphonie mobile ;
- les enregistrements des conversations téléphoniques menées par le salarié ;
- les données d’accès aux locaux professionnels ;
- les courriers électroniques ;
- les logs de connexion du salarié ;
- les données de géolocalisation ;
- les photos, déclarations et informations communiquées par le candidat à l’embauche, ou le salarié, sur les réseaux sociaux (Facebook, LinkedIn, etc.).

Le traitement de telles données est susceptible de porter atteinte à la vie privée et aux libertés individuelles des salariés (ou candidats à l’embauche).

Ainsi en est-il, par exemple, lorsque l’employeur se sert des données collectées à travers un dispositif de géolocalisation pour contrôler le temps de travail de ses salariés, ou encore, lorsque l’ex-employeur met en place un dispositif de surveillance des profils LinkedIn de ses anciens salariés pour contrôler le respect d’une clause de non concurrence.
C’est pourquoi un tel traitement ne peut être réalisé qu’à l’intérieur d’un cadre légal, lequel est en plein bouleversement.

Le Règlement Général de Protection des données.

Le RGPD, directement applicable en droit français, accentue les exigences posées aux responsables de traitements en termes d’informations à fournir à la personne concernée (principe de transparence - article 15), de finalité du traitement (article 5.1.b) et de minimisation des données collectées (article 5.1.c), tout en renforçant les droits des personnes concernées (introduction, par exemple, d’un droit à l’oubli -article 17). Le RGPD introduit également la notion d’intégrité et de confidentialité des données (article 5.1.f ).
De même le RGPD impose des obliga- tions spécifiques aux sous-traitants dont la responsabilité sera susceptible d’être engagée en cas de manquement, ces obligations concernant tous les organismes qui traitent des données pour le compte d’un autre organisme (prestataires paie, services informatiques, etc.).

Mais au-delà de cela, le nouveau Règlement a introduit un changement de paradigme, puisque les formalités préalables à la mise en œuvre d’un traitement sont supprimées (exception faite de certaines catégories de données).
En contrepartie, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).

Parmi les mesures concrètes à mettre en œuvre par le responsable de traitement et le sous-traitant, le RGPD mentionne :
- la tenue d’un registre des activités de traitement (article 30) ;
- le renforcement des mesures organisationnelles et techniques appropriées afin de garantir un niveau de sécurité adapté au niveau de risque (article 32) ;
- l’obligation de notifier à l’autorité de contrôle toute violation de données à caractère personnel (article 33) ;
- l’obligation de communiquer à la personne concernée toute violation de ses données (article 34) ;
- selon le cas, la désignation d’un délégué à la protection des données (articles 37 et s.) ;
- le cas échéant, réalisation d’une étude d’impact relative à la protection des données (article 35).

A noter qu’en vertu de l’article 88, « les Etats membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail ». Il est donc fort probable que le législateur français maintiendra les dispositions spécifiques du Code du travail.

Les sanctions.

Le RGPD a notablement alourdi les sanctions pécuniaires encourues par les responsables de traitement et les sous-traitants en cas de violation des données personnelles, puisque celles-ci peuvent désormais atteindre 10.000.000 € ou 2% du CA annuel mondial total de l‘exercice précédent, le montant le plus élevé des deux trouvant à s’appliquer.

En cas de violations plus graves, les sanctions sont susceptibles d’atteindre jusqu’à 20.000.000 € ou 4% du CA annuel mondial (article 83 du RGPD).

A côté de ces amendes administratives, l’employeur risque de subir des actions en dommages et intérêts de la part du salarié lésé (article 82 du RGPD).

En outre, la violation de données à caractère personnel est susceptible de donner lieu à des poursuites pénales. Si le RGPD ne le prévoit pas expressément, il laisse le champ libre aux Etats membres pour prévoir les autres sanctions applicables en cas de violation du Règlement.
De telles sanctions pénales sont prévues aux articles 226-16 et suivants du code pénal.

Enfin, les juges ont, à diverses reprises, estimé que l’employeur violant ses obligations, en omettant par exemple de déclarer un traitement portant sur les données du salarié, ne pouvait pas opposer le traitement litigieux au salarié. De même, la jurisprudence juge de manière constante que la preuve de faits obtenus par un dispositif non conforme est inopposable et ne peut donc pas servir de preuve à l’appui d’un licenciement (voir en ce sens notamment Cass. soc, 08/10/2014, n°13-14.991).

Mais au-delà de ces aspects strictement juridiques, les entreprises qui ne prendront pas au sérieux les données personnelles de leurs salariés mettront en jeu leur réputation et la confiance qui leur est accordée…

Catherine Stary, Avocate au barreau de Paris.

Article initialement publié dans le Journal du Management Juridique n°62.

Rédaction du site des Experts de l’entreprise.