Traitement des données personnelles au travail: Nouvel avis du Groupe de travail «Article 29»

Retour
Date:
25 Aoû 2017

Depuis que les nouvelles technologies ont permis, d’une part, le traitement plus systématique des données à caractère personnel des travailleurs dans le cadre professionnel et, d’autre part, des solutions de surveillance, de nouveaux défis en matière de vie privée et de protection des données ont vu le jour.

Dans ce contexte, le Groupe de travail article 29 (« G29 ») a lancé une nouvelle étude relative à l’équilibre entre les intérêts légitimes des employeurs et les attentes raisonnables des travailleurs en matière de vie privée.

Le G29 est un groupe de travail européen indépendant qui gère les questions liées à la protection de la vie privée et aux données à caractère personnel. Il a été créé en vertu de l’article 29 de la Directive Protection des Données (Directive 95/46/CE) et mis en œuvre en 1996. Il est composé de représentants de toutes les autorités nationales de protection des données des Etats Membres de l’UE, du Contrôleur Européen de la Protection des Données et de la Commission européenne. Le G29 a un rôle consultatif, mais ses avis comptent énormément vu sa composition.

Le 8 juin 2017, le G29 a rendu un avis sur la surveillance des travailleurs (Avis 2/2017 sur le traitement des données au travail), mettant à jour ses précédentes publications.

Dans cet avis récent, le G29 insiste sur le fait que les employeurs ne peuvent recueillir des données à caractère personnel dans le cadre professionnel  qu’à des fins légitimes, c’est-à-dire par un traitement des données effectué dans des conditions appropriées et seulement s’il existe un ou plusieurs fondement(s) juridique(s) pour ce faire.

En ce qui concerne le consentement d’un travailleur comme fondement juridique pour le traitement des données à caractère personnel, le G29 confirme sa position. Etant donné le déséquilibre inhérent à la relation en termes de d’autorité (employeur vs. travailleur), les travailleurs peuvent uniquement donner leur consentement libre dans des circonstances exceptionnelles et, par conséquent, leur consentement ne pourrait pas constituer la (seule) base légale pour le traitement des données des travailleurs. Par ailleurs, l’intérêt légitime des employeurs peut être invoqué comme fondement juridique, mais seulement si le traitement des données est strictement légitime et nécessaire, et qu’il respecte les principes de proportionnalité et de subsidiarité.

Alors que le cadre juridique légal actuel est toujours a Directive Protection des Données, l’avis tient également compte des obligations contenues dans le Règlement Général sur la Protection des Données (Règlement 2016/679, « RGPD »), lequel est déjà entré en vigueur mais e sera applicable qu’à partir de mai 2018, remplaçant la Directive Protection des Données.

Le G29 confirme tout d’abord que le RGPD inclut et renforce les exigences de la Directive Protection des Données, et qu’il met en exergue trois principes à cet égard, à savoir :

  • Fondements juridiques : pour procéder au traitement des données dans le cadre professionnel, un ou plusieurs fondement(s) juridique(s) est/sont requis (par ex., obligations légales ou intérêt légitime de l’employeur) ;
  • Transparence : le traitement des données au travail exige un certain degré d’information à l’égard des travailleurs (par ex., contrôle des présences et objectifs du traitement des données) ;
  • La prise de décision et le profilage automatisés ne peuvent être autorisés que dans des conditions spécifiques (par ex., autorisé par la loi).

Le G29 confirme ensuite que le RGPD introduit également de nouvelles obligations à l’égard des responsables du traitement, en ce compris les employeurs :

  • Protection des données dès la conception et par défaut, c’est-à-dire que les solutions alternatives respectant la vie privée devraient être développées, et que le recueil des données devrait être quant à lui minimisé ;
  • Des analyses d’impact relative à la protection des données doivent être menées à chaque fois qu’un type de traitement (en particulier lors de l’utilisation de nouvelles technologies) est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, dans ce contexte, les travailleurs ;
  • Le traitement des données dans le cadre des relations de travail peut être règlementé au niveau de l’Etat Membre (par ex., concernant le recrutement, la santé et sécurité au travail, la rupture de la relation de travail).

Outre la mise en évidence des risques liés aux nouvelles technologies, le G29 prévoit une évaluation de la proportionnalité des différents scénarios concrets dans lesquels les nouvelles technologies pourraient être développées. Les scénarios envisagés se rapportent entre autres à la durée du traitement et au contrôle des données, aux services de cloud, aux transferts internationaux, au traitement des données à caractère personnel durant le processus de recrutement, la surveillance de l’utilisation des nouvelles technologies de l’information hors du lieu de travail (par ex., utilisation du matériel personnel à des fins professionnelles, la surveillance du télétravail).

Le G29 conclut son avis avec quelques recommandations dans lesquelles il souligne que les droits fondamentaux des travailleurs, en ce qui concerne leurs communications et la circulation des données, restent entiers, quel que soit le type de technologie développée.

Concernant l’intérêt légitime des employeurs comme fondement juridique, le G29 reconnait qu’il peut de temps à autres être invoqué, mais il recommande qu’un test de proportionnalité soit mené préalablement au déploiement de tout appareil de surveillance afin de vérifier (i) si le recueil de telles données est réellement nécessaire (ii) si ce traitement ne va pas au-delà des droits en matière de vie privée auxquels les travailleurs peuvent également prétendre sur le lieu de travail, et (iii) quelles mesures doivent être prises pour garantir que les atteintes aux droits des travailleurs (par ex., leur droit au respect de la vie privée et leur droit au secret des communications) soient limitées au minimum nécessaire.

Dès lors que le traitement des données au travail doit être une réponse proportionnée aux risques encourus par un employeur, il conviendrait d’accorder plus de poids à la prévention des usages abusifs, telle que le blocage de sites internet, qu’à la détection, par exemple en surveillant le comportement des travailleurs sur internet. Les informations qui sont enregistrées par le biais d’une surveillance continue, tout comme les informations qui sont à la disposition de l’employeur, devraient être minimisées autant que possible et ne devraient pas être conservées plus longtemps que la période de conservation spécifiée.

Dans tous les cas, la transparence envers les travailleurs reste importante. Les travailleurs doivent être informés de manière effective, pas seulement de la surveillance qui est mise en place, mais également de l’objectif de cette surveillance et des circonstances, ainsi que des possibilités pour les travailleurs d’empêcher que leurs données soient capturées par les technologies de surveillance. Toute Policy et/ou réglementation concernant la surveillance légitime doit être claire et facilement accessible. Malgré la nature plutôt technique de cette matière, qui relève plus généralement du domaine des technologies de l’information, le G29 recommande d’impliquer autant que possible un échantillon représentatif des travailleurs dans la création et l’évaluation de telles policies et réglementations puisque la plupart des surveillances peuvent porter atteinte à la vie privée des travailleurs.

> Point d’action

Les employeurs devraient envisager une nouvelle évaluation quant à l’équilibre entre leurs intérêts légitimes et les attentes raisonnables de leurs travailleurs  en matière de vie privée, à la lumière des nouvelles technologies et des développements des technologies existantes qui ont été mises en œuvre.