La protection des données personnelles en chantier : le RGPD vu sous l’angle des données RH

Ce dispositif général sera d’application directe en France à compter du 25 mai 2018, au terme d’une période transitoire de 2 ans laissée aux acteurs économiques pour se préparer. A noter que la loi n° 78-17 du 6 janvier 1978 « informatique et libertés » est actuellement en cours de refonte afin, d’ici cette échéance, de mettre en cohérence la loi française avec ce nouveau cadre supra-national.

Si on ne peut que saluer cette évolution pour les individus au regard de la place omniprésente du numérique dans la vie quotidienne, de la confiance que cela nécessite dans l’usage des technologies et l’impératif de responsabiliser tous les acteurs dans la chaîne de traitement des données personnelles, il n’en reste pas moins que pour les entreprises, et notamment les TPE-PME, les inquiétudes sont nombreuses :

• D’une part, en raison des difficultés d’appropriation de la matière, particulièrement dense, qui conduit à devoir réexaminer et adapter le mode de fonctionnement de l’entreprise de manière transversale, à la fois dans l’organisationnel, le management et la technique ;
• D’autre part, en raison des nouveaux risques juridiques auxquels vont être confrontées les entreprises (contrôles, demandes à traiter, lourdes sanctions en cas de manquements).

Sans entrer dans tout le détail complexe de ce nouveau cadre juridique, ces enjeux peuvent être appréhendés au travers de l’exemple du traitement des données de gestion des ressources humaines, qui concernent toutes les entreprises employant du personnel salarié.

Voici quelques points à retenir, qui permettent d’illustrer les enjeux et la démarche à suivre :

1°) L’employeur, responsable du traitement

Il est indispensable de savoir précisément « qui fait quoi ».

Dans ce domaine, l’employeur aura typiquement la qualité de responsable de traitement dans la mesure où il détermine généralement seul –sauf cas de responsabilité conjointe avec d’autres personnes–les finalités et moyens du traitement de données à caractère personnel (DACP).

Il endosse à ce titre la responsabilité juridique liée aux traitements mis en œuvre, et doit garantir qu’il assure une protection effective des DACP sur toute la chaîne d’opérations mises en œuvre, depuis leur collecte jusqu’à leur destruction. Le RGPD articule toutes les obligations autour de 2 concepts essentiels : celui de protection by design/ by default et d’accountability (cf. Règlement, art. 24 et s.)
Le responsable du traitement va gagner en termes de flexibilité et d’allégement de ses formalités administratives a priori (qui disparaissent pour l’essentiel), mais en contrepartie, il assume le risque de ses parti pris en termes de compliance et devra être en mesure de démontrer –en cas de contrôle ou d’action en justice– qu’il respecte l’ensemble des principes issus du Règlement. Ce principe de responsabilité est donc lourd de sens et de portée.   

Cela étant, les traitements de données à caractère personnel font très souvent intervenir des techniques et/ou acteurs externes à l’entreprise. L’employeur responsable du traitement doit impérativement recenser de manière exhaustive l’ensemble des acteurs appelés à traiter des DACP pour son compte, et qui vont être soumis au statut juridique de sous-traitant, avec des obligations spécifiques (cf. hébergeurs de solutions SIRH, cabinets d’expertise comptable traitant la paye, conseils en recrutement,prestataires en matière d’élections électroniques, etc.).

A noter : le destinataire des données (ex : organismes sociaux via la DSN) n’a pas vocation à être considéré comme sous-traitant de l’employeur.

Une revue des contrats de prestation de service est impérative, afin d’imposer des clauses contraignantes et des engagements de bonnes pratiques et de coopération (cf. Règlement, art. 28). Gageons que dans ce nouvel environnement, la capacité d’un sous-traitant à fournir des garanties suffisantes et conformes au Règlement constituera pour lui un avantage concurrentiel indéniable. L’enjeu pour les TPE et PME est donc majeur à un double titre, pour elles-mêmes, mais également vis-à-vis de leurs donneurs d’ordre.

Comme auparavant, les flux et transferts de données en vue de leur traitement à l’étranger, notamment aux USA (hébergement, stockage, etc.) constituent un point d’attention tout particulier, puisqu’il faut s’assurer de l’existence d’un niveau de protection adéquat, soit en référence à une décision de la Commission européenne ; soit sur la base de garanties appropriées issues par exemple de règles d’entreprise contraignantes approuvées par la CNIL ou de clauses contractuelles préalablement autorisées par la CNIL (cf. Règlement, art. 45 s.). Sous ces réserves, le Règlement considère que le transfert de DACP au sein d’un groupe d’entreprises, à des fins administratives internes, constitue un intérêt par principe légitime.  
 

2°) Les traitements concernés et leurs finalités

Avec la transformation numérique des entreprises, le digital et la dématérialisation des outils RH, chaque entreprise peut être amenée à mettre en œuvre des traitements de DACP très variés dans le domaine des ressources humaines, allant du simple annuaire d’entreprise, à des traitements de données potentiellement beaucoup plus sensibles en lien avec le contrôle de l’activité du salarié (messagerie, contrôles d’accès et biométrie, vidéosurveillance, évaluation professionnelle, discipline, etc.), voire avec la personne du salarié lui-même (on pense aux données de santé au travail, à l’activité syndicale, aux convictions religieuses, aux orientations électorales, condamnations pénales, etc.).

Actuellement, il est beaucoup question des techniques d’aide au recrutement et du traitement algorithmique des CV. Rappelons que selon l’article L1221-8 du Code du travail, « le candidat à un emploi est expressément informé, préalablement à leur mise en oeuvre, des méthodes et techniques d'aide au recrutement utilisées à son égard. Les résultats obtenus sont confidentiels. Les méthodes et techniques d'aide au recrutement ou d'évaluation des candidats à un emploi doivent être pertinentes au regard de la finalité poursuivie. »

Attention toutefois, car dans ce registre, les opérations de profilage, sont strictement encadrées notamment lorsqu’elles visent à analyser ou prédire les éléments concernant le rendement au travail. Le Règlement (cf. considérant 7, art. 22) prévoit en particulier le droit de ne pas faire l’objet d’une décision fondée exclusivement sur le profilage, sauf exception (en cas de consentement notamment).    

D’une manière générale, il convient de distinguer les traitements, selon leur finalité et notamment entre :

• Ceux qui répondent à une obligation légale pour l’employeur (déclarations sociales, paye, etc.) ;
• Ceux qui sont nécessaires à l’exécution d’un contrat auquel la personne concernée est partie ;
• Ceux qui sont mis en place par l’entreprise pour répondre à ce qu’elle estime être un intérêt légitime (cette notion est appréciée de manière assez souple par le Règlement, avec toutefois un double garde-fou : d’une part, il doit être mis en balance avec les droits et libertés de la personne concernée qui peuvent alors prévaloir ; d’autre part, le juge aura toujours une marge d’appréciation au regard notamment de l’attente raisonnable de la personne à l’égard dudit traitement).   

Ces finalités peuvent valablement servir de fondement au traitement, de manière alternative à l’obtention du consentement de la personne (cf. Règlement, art. 6), lequel devra dorénavant être obligatoirement explicite et actif pour chaque traitement (prohibition du recours aux cases d’accord cochées par défaut).

Précisons qu’en matière de relations de travail, le contrat de travail peut constituer un support valable pour les traitements nécessaires dans le cadre de l’embauche et du suivi administratif du salarié, mais ne peut valoir pour l’intégralité des traitements présents et à venir dans l’entreprise ; une telle clause serait inopérante, surtout dans un contexte de déséquilibre lié au lien de subordination juridique.

A noter : le Règlement (cf. cons/ n° 155, art. 88) prévoit dans ses dispositions applicatives, la possibilité de prévoir au niveau national, par la voie légale ou celle de la négociation collective, des règles spécifiques pour assurer la protection des droits dans le domaine des relations de travail (du recrutement à la rupture du contrat), sous réserve de veiller en particulier à l’exigence de transparence du traitement, aux modalités de transfert de données intra-groupe et de contrôle sur le lieu de travail. Il existe donc ici un champ potentiel intéressant pour la négociation collective qui trouve directement son support dans le droit européen.   

Sur le plan formel, une traçabilité est prévue : l’employeur (ainsi que chaque sous-traitant) devra tenir un registre détaillé des activités de traitement opérées sous sa responsabilité, permettant à tout moment de justifier de sa conformité. Pour ne pas alourdir toutefois la gestion des TPE-PME, cette obligation ne s’appliquera pas si l’effectif de l’entreprise est inférieur à 250 salariés ; sauf si le traitement présente un risque potentiel, s’il présente un usage régulier ou s’il porte sur des catégories particulières de données visées ci-dessous. En pratique toutefois, la tenue d’un registre est vivement conseillée pour avoir une vue d’ensemble et à jour des traitements.

Les traitements de données personnelles en matière de RH seront donc concernés.


3°) Les données personnelles à protéger

Il est important de bien le préciser ; seules les données à caractère personnel sont concernées ici, et pas celles relatives aux personnes morales (cf. Règlement, cons. n° 15). Le dispositif n’impacte donc pas les règles, chartes et/ou documents internes régissant la politique de l’entreprise vis-à-vis des données qui la concernent (confidentialité, etc.).   

Parmi les personnes physiques concernées ici, le champ des obligations ne saurait se limiter aux seuls salariés, mais s’étend au contraire plus largement à tous les travailleurs pour lesquels l’entreprise traite des DACP (stagiaires, intérimaires, candidats à l’embauche, travailleurs d’entreprises extérieures intervenantes, voire travailleurs indépendants le cas échéant).

Le champ de la data est très large également, puisqu’il porte sur toute information se rapportant à une personne physique identifiée ou identifiable (cf. art. 2 du Règlement), notamment via un identifiant tel que par exemple un matricule, ou encore des données de localisation ou photographies.

En matière de GRH, les données personnelles sont par nature difficilement anonymisables ou pseudonymisables, pour reprendre la distinction du règlement. Elles ne le sont généralement qu’au stade où elles sont agrégées à des fins statistiques, par exemple pour alimenter les informations mises à dispositions des instances représentatives du personnel (cf. BDES, etc.).  

Dans ces conditions, l’employeur (et ses sous-traitants) doit assurer une protection adéquate des personnes, ce qui doit être envisagé sous un double angle :

• D’une part, au regard des principes généraux, et notamment l’exigence d’un traitement licite, loyal et transparent (cf. Règlement, art. 5) ;
• D’autre part, au regard de la sécurisation physique des DACP face aux nouvelles cybermenaces notamment, afin de garantir leur intégrité, leur confidentialité et leur disponibilité (cf. Règlement, art. 32). Très régulièrement, les médias se font l’écho de failles de sécurité dans les systèmes, ce qui appelle à la vigilance par exemple dans le choix des applications, dont la conception est souvent plus axée sur la recherche d’ergonomie et de convivialité (l’« expérience utilisateur ») au détriment de la sécurité, ce qui va à l’encontre du Règlement dont le leitmotiv est : protection by design.

Une démarche de cartographie est indispensable pour identifier l’ensemble des traitements, leurs finalités, leurs process (notamment en cas de flux de données vers des pays tiers à l’Union européenne), leurs vulnérabilités éventuelles, la nature des risques pour les personnes concernées en cas de violation de leurs données.

D’où l’exigence -entre autres- d’une limitation matérielle à la source, et temporelle dans la durée, des données traitées.

L’entreprise devra s’intéresser non seulement aux fichiers informatiques structurés et automatisés, mais également aux fichiers soumis à un traitement manuel (avec une attention particulière sur les fichiers « clandestins » tenus par les collaborateurs et managers sur leur propre initiative).

Certaines données RH peuvent en effet présenter un caractère particulièrement sensible au regard –notamment– du risque de discrimination : données concernant la santé physique ou mentale, appartenance syndicale, origine, opinions politiques, convictions religieuses, orientation sexuelle, etc.

Il s’agit là de catégories particulières de données dont le traitement est en principe interdit, sauf dérogations limitatives, telles que par exemple  lorsque celui-ci est nécessaire (cf. Règlement, art. 9) à la constatation, à l’exercice ou à la défense d’un droit en justice (p. ex. en cas de litige prud’homal) ou encore à la médecine du travail ou à la gestion des services de protection sociale. A noter ici : le projet de loi relatif à la protection des données personnelles en cours d’examen, prévoit de compléter cela en droit national (cf. loi du 6 janvier 1978, art. 8), en ajoutant notamment parmi ces exceptions, les traitements mis en œuvre par les employeurs conformes aux règlement type de sécurité de la CNIL, portant sur les données biométriques nécessaires aux contrôles d’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisées dans le cadre des missions confiées aux salariés.   

En tout état de cause, le responsable du traitement aura l’obligation, préalable au traitement, de réaliser une analyse d’impact (AIP) formelle lorsque celui-ci est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (cf. Règlement, art. 35 – A noter : la CNIL publiera une liste des types d’opérations pour laquelle une AIP est requise). Le cas échéant, il devra préalablement consulter son délégué à la protection des données (DPO) lorsqu’il existe, ainsi que la CNIL.

La criticité du risque doit être évaluée de manière objective afin de définir les mesures d’action prioritaires et a minima, éviter les situations de manquements majeurs.

Traditionnellement en droit du travail, la question des données personnelles et des technologies mises en œuvre a surtout été appréhendée sous l’angle de l’atteinte à la vie privée du salarié. Avec le RGPD, l’angle d’évaluation se doit d’être plus large, puisqu’il faut apprécier les risques au regard de toutes les sources de dommages potentiels, qu’ils soient d’ordre physique, matériel ou moral (discrimination, usurpation d’identité, atteinte à la réputation, dépression, etc.).  


4°) Les nouveaux droits pour les personnes physiques concernées

Dans son 1er considérant, le Règlement affirme que la protection des personnes à l’égard du traitement des données à caractère personnel n’est pas un simple droit, mais constitue un « droit fondamental ».

A noter : cette formulation n’est pas neutre, et pourrait donner matière à interprétation en matière de contentieux prud’homal sur la question du déplafonnement du nouveau barème d’indemnisation en cas de licenciement dépourvu de cause réelle et sérieuse issu des ordonnances Macron (toutefois, l’article L1235-3-1 vise la violation d’une « liberté fondamentale » au sens constitutionnel).

Même s’il ne s’agit « pas d’un droit absolu », il ne fait aucun doute que l’appréciation de la légitimité des demandes formulées et la responsabilité des responsables de traitements sera appréciée à la lumière de ce droit fondamental.

Un haut niveau de protection des DACP est attendu.

Le Règlement identifie un « paquet » de droits attachés à la personne et modernisés, tant au niveau de la collecte qu’au niveau de la mise en œuvre du traitement :

• Droit à recevoir une information adaptée en principe gratuite, dont le contenu varie selon que les informations auront été collectées directement auprès de la personne concernée (art. 13) ou non (art. 14) ;
• Droit d’opposition à tout moment en cas notamment de contestation de la légitimité des motifs poursuivis par le responsable du traitement (art. 21).
• Droit d’accès auprès du responsable du traitement aux fins de contrôle et de vérification (art. 15) ;
• Droit de rectification des données inexactes (art. 16) ;
• Droit à l’oubli (cf. art. 17 – effacement  des données notamment en cas de retrait de consentement ou de traitement illicite), sauf par exemple lorsque le traitement est nécessaire dans le cadre d’un procès (pour éviter ainsi de priver l’employeur d’éléments nécessaires à sa défense) ;
• Droit à la limitation du traitement en cas de litige notamment (art. 18) ;
• Droit à être informé des mesures prises à la suite d’une demande, dans un délai d’un  mois en principe (art. 12) ;
• Droit à être informé des actes de rectification, d’effacement ou de limitation (art. 19) ;
• Droit d’être informé dans les meilleurs délais en cas de violation de données susceptible d’engendrer un risque élevé pour les droits ou libertés (art. 34) ;
• Droit à la portabilité des données auprès d’un autre responsable du traitement (art. 20).

Tous ces droits sont susceptibles à des degrés divers de trouver application dans le domaine des relations de travail, et il faut certainement s’attendre à l’émergence de demandes nouvelles, auxquelles l’employeur devra se mettre en mesure de faire face.

Paradoxalement, la dématérialisation risque de mobiliser les ressources internes et accroître la charge de travail dans les entreprises pour faire face à ces nouvelles obligations, à commencer par la mise en conformité des traitements existants (ex : stock de CV collectés, droit à l’image des salariés ayant quitté l’entreprise, etc.).


5°) Des risques nouveaux pour le responsable du traitement et son/ ses sous-traitants

En corollaire de l’objectif de responsabilisation, les responsabilités vont être considérablement alourdies pour les entreprises.

Sur le plan administratif, la CNIL verra ses pouvoirs renforcés (notamment au travers du projet de loi relatif à la protection des données personnelles en cours d’examen) en matière :

• De contrôles (sur place et en ligne, notamment via la possibilité pour ses agents d’utiliser une identité d’emprunt) ;
• De sanctions administratives prononcées dans le cadre de sa formation restreinte, avec une panoplie de mesures graduées (cf. rappel à l’ordre, injonction, suspension, mise en demeure, astreinte, référé en cas de situation d’urgence, publicité, etc.), pouvant aller jusqu’au prononcé d’amendes administratives très lourdes qui, sous réserve de leur caractère proportionné et dissuasif, pourront atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent (seuils doublés en cas de violation des règles essentielles du Règlement).

Il est important de préciser que les responsables du traitement seront tenus à une obligation de coopération avec la CNIL (notamment en cas de violation de données présentant un risque pour les droits ou libertés, à notifier dans les 72 heures – cf. Règlement, art. 33). Les diligences en la matière seront bien entendu prises en compte pour la modulation des sanctions éventuelles (à l’inverse, l’inertie et le défaut de coopération constituent une circonstance aggravante comme cela a pu être jugé récemment par la CNIL – cf. Délibération n° 2017-009 du 15 juin 2017).

Ces sanctions sont encadrées par une procédure visant à garantir le respect des droits de la défense pour le responsable du traitement, étant précisé que les décisions de la CNIL peuvent être contestées dans le cadre dans le cadre du droit à un recours effectif, comme l’illustre une décision récente rendue en matière de géolocalisation (cf. Conseil d’Etat 15 décembre 2017, n° 403776, qui décide pour la première fois, dans le sillage de la Cour de cassation, que « l'utilisation par un employeur d'un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l'article 6 de la loi du 6 janvier 1978 »).

Sur le plan judiciaire, outre l’arsenal répressif du droit pénal applicable au responsable de traitement en cas d’infraction pénale (cf. C. Pén., art. 226-16 s.), les manquements aux nouvelles obligations seront susceptibles de donner lieu à des actions judiciaires.

Côté salariés, il pourra s’agir d’actions individuelles soit pour faire cesser une situation illégale (la saisine de la CNIL sera certainement privilégiée sur celle du référé prud’homal), soit pour obtenir une indemnisation classique. La réforme de la procédure prud’homale incite aujourd’hui clairement les salariés et leurs conseils à développer des demandes accessoires. Même si la jurisprudence sociale a abandonné la notion de « préjudice nécessaire » et qu’il appartient aujourd’hui au salarié demandeur de prouver la réalité et l’étendue de son préjudice, il est clair qu’il s’agit ici d’un « nid à contentieux » qui ne manquera pas d’être exploité.

Cela d’autant qu’en parallèle –ce n’est pas propre au droit du travail–, la possibilité d’une action de groupe pilotée par une association ou une organisation syndicale représentative, déjà prévue par la loi n° 2016-1547 du 18 novembre 2016 aux fins d’obtenir la cessation du manquement dommageable, devrait être élargie aux actions de salariés en vue d’obtenir la réparation du dommage causé par un manquement de même nature (cf. projet de loi relatif à la protection des données personnelles en cours d’examen).   

6°) La démarche de mise en conformité

La culture de protection des données personnelles ne se décrète pas, d’autant que le curseur d’acceptabilité est très variable d’un individu à l’autre.

A cela s’ajoute la difficulté de repenser les conduites à tenir et le fonctionnement de l’entreprise et les pratiques.

L’inaction constitue cependant une « bombe à retardement » (au-delà des risques juridiques, l’image de l’entreprise est en jeu, tant vis-à-vis de clients que d’investisseurs potentiels).  

Pour lever ces freins, il faut d’abord être convaincu qu’au-delà du fait de « subir » une obligation de plus, il s’agit en fait d’une véritable opportunité, à commencer par le travail stratégique de sécurisation des systèmes d’information de l’entreprise qui constitue un volet du RGPD.

Il faut ensuite s’appuyer sur une démarche méthodologique.  

Chaque entreprise se trouve à un stade plus ou moins avancé et doit, compte tenu de l’échéance du 25 mai 2018, séquencer et planifier son programme de mise en conformité.

La démarche est très proche de celle que l’on retrouve en matière de système de management des risques :

• Evaluation et si besoin analyse d’impact (il n’est pas envisageable pour l’entreprise de prétendre à une maîtrise des données si elle n’est pas en mesure de répondre à la simple question suivante : « quelles sont les données personnelles que j’exploite, et dans quel but ? ») ;
  
  
• Processus de décision ;
  
  
• Mise en oeuvre des mesures sur le plan organisationnel (contrats, procédures de gestion des demandes, procédures d’urgence, désignation d’un référent voire d’un DPO, etc.), technique (infrastructures, réseaux, etc.) et humain (formation, mise en place de codes de conduite, sensibilisation aux bonnes pratiques et à la sécurité, etc.) ;
  
  
• Suivi et amélioration continue.

La CNIL identifie pour sa part 6 étapes clés de préparation :

‒      Désigner un pilote ;
‒      Cartographier les traitements ;
‒      Prioriser les actions ;
‒      Gérer les risques ;
‒      Organiser les processus internes ;
‒      Documenter la conformité.

La mise en place d’une veille légale et technique paraît par ailleurs indispensable, de même que la mise en place d’un groupe de travail associant Direction générale, responsables RH et SI.

Enfin, il convient de ne pas oublier l’obligation d’informer et de consulter préalablement le CE, voire le CHSCT (dans l’attente de la mise en place du CSE – cf. C. Trav., L2312-38) sur le projet de déploiement des mesures dès lors qu’elles sont de nature à impacter les conditions de travail, le règlement intérieur, ou encore les techniques d’aide au recrutement, les outils de traitements automatisés de gestion du personnel ou les moyens et techniques de contrôle de l’activité des salariés.