Depuis son entrée en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a impacté la plupart des entreprises françaises. Dans le contexte des relations de travail, cela implique notamment que la protection des données personnelles des salariés doit être respectée par tous les acteurs de l’entreprise qui gèrent les collaborateurs (directeur des ressources humaines et plus globalement le département/service des ressources humaines, les juristes en droit du travail, le service comptabilité, etc.). Les manquements relatifs à la règlementation sur la protection des données exposent l’employeur à des amendes administratives pouvant s’élever à 20 millions d’euros ou à 4 % du chiffre d’affaires mondial ainsi qu’à une peine d’emprisonnement de cinq ans.

Dans cet article nous entendons donc revenir sur quelques situations fréquemment rencontrées par les employeurs et praticiens qui doivent acquérir de nouveaux réflexes en matière de protection des données.

Informer les salariés sur le traitement de leurs données

L’employeur, en sa qualité de responsable de traitement, doit porter à la connaissance des salariés, l’ensemble des informations prévues par les articles 13 et 14 du RGPD[1]. Cette obligation de transparence est une obligation fondamentale en matière de règlementation sur la protection des données.

Comment cette information doit -elle être délivrée aux salariés ?

Le contrat de travail, paraît naturellement être le support le plus adapté pour donner une telle information et reprendre par exemple certaines dispositions de la politique de confidentialité de l’entreprise.

Il n’est toutefois pas conseillé d’insérer une mention complète des informations pertinentes dans le contrat de travail, sans quoi il serait nécessaire de faire signer un avenant à chaque fois que les informations initialement fournies devraient être modifiées.

De plus, leur insertion au sein du contrat de travail, qui comprend déjà de nombreuses informations, ne saurait satisfaire le principe de transparence tel qu’il est appliqué par la CNIL et le Comité européen de protection des données (« CEPD »)[2].

Pour favoriser la compréhension et la clarté des informations délivrées, le responsable du traitement peut procéder à une approche en plusieurs niveaux et prioriser les informations les plus importantes. Il est donc possible de fournir dans le contrat de travail un premier niveau d’information accompagné d’un renvoi à la politique de confidentialité.

Le fait d’ajouter une clause sur la protection des données personnelles dans le contrat de travail qui renvoie à la politique de confidentialité est indéniablement une bonne pratique.

Toutefois, cela n’est pas obligatoire. L’entreprise doit a minima garder la preuve que le salarié a pris connaissance de la politique de confidentialité et de ses éventuelles mise à jour (par exemple envoi de ladite politique par e-mail avec accusé de réception, remise en main propre contre décharge, etc.) sans forcément devoir le mentionner dans le contrat de travail.

Il est recommandé que l’intégralité des informations relatives à la politique de confidentialité soit consultable à un endroit unique ou dans un même document (sous forme numérique sur l’intranet de l’entreprise ou au format papier dans une annexe au contrat de travail sans valeur contractuelle) pour être aisément accessible.

Par ailleurs, il est possible de se demander si la politique de confidentialité doit être annexée au règlement intérieur de l’entreprise à l’instar de la charte informatique. Au regard de la portée informative des politiques de confidentialité qui rappellent les obligations de confidentialité et les règles à respecter en matière de traitement des données, elles ne doivent pas, en principe, être annexées au règlement intérieur de l’entreprise. Au demeurant, les entreprises garderont plus de flexibilité pour modifier leur politique de confidentialité [3] si cette dernière ne fait pas partir du règlement intérieur puisque toute modification de ce dernier nécessite de respecter une procédure plutôt lourde.

Les opérations corporate et les transferts de salariés

Les audits qui sont réalisés en amont des opérations corporate comportent bien souvent un volet sur les salariés de l’entreprise cible. Les data-room comportent ainsi l’ensemble des documents pertinents à cet égard (contrats de travail type, accords collectifs d’entreprise, procès-verbaux du CSE, etc.).

L’ensemble des éléments qui sont ainsi consultables dans une data-room doivent être anonymisés. Il s’agit en pratique des noms et prénoms, des numéros de sécurité sociale, des noms des signataires et leur signature.

Dans le cadre des assets deal, les documents contractuels tels que l’acte de cession de fonds de commerce, la convention de successeur, le business purchase agreement doivent encadrer les aspects relatifs à la règlementation sur la protection des données : (i) au niveau des garanties consenties par le cédant et (ii) sur les engagements des parties pour assurer le respect des obligations applicables.

Bien entendu, il est préférable que la liste des salariés transférés dans ce contexte, qui est bien souvent annexée à ces documents soit anonyme.

Lorsque le contrat de travail d’un salarié est transféré de manière automatique en application de l’article L.1224-1 du Code du travail ou de manière volontaire via la signature d’une convention de transfert tripartite, le salarié concerné doit être informé du transfert de ses données personnelles dans la nouvelle entité qu’il s’apprête à intégrer.

En pratique, le courrier d’information qui est la plupart du temps adressé au salarié dont le contrat de travail est automatiquement transféré ou la convention de transfert tripartite doivent donc contenir une clause qui doit notamment comporter les informations suivantes :

• • l’identité du nouveau responsable de traitement ;

• • la finalité du transfert des données et des traitements ultérieurs (par exemple la gestion par le nouvel employeur des contrats de travail transférés et plus généralement la gestion des ressources humaines par ce dernier) ;

• • les services/départements destinataires es données transférées ;

• • les catégories de données transférées ;

• • la durée de conservation des données ;

• • personnes tierces à qui les données seront potentiellement accessibles (par exemple prestataire informatique ou paie) ;

• • rappel des droits du salarié (notamment son droit d’accès, de rectification ou d’effacement, etc.);

• • le point de contact auprès de qui le salarié peut adresser toute demande d’exercice de ses droits.

Les principes du RGPD peuvent-il faire échec à une demande de transmission de document(s) ?

Bien souvent les entreprises ne souhaitent pas forcément transmettre tous les documents qui leur sont demandés dans le cadre d’une expertise du CSE ou d’un contentieux avec un ancien salarié.

Or, les demandes de communication de données personnelles exercées par des tiers ne doivent pas violer les obligations de confidentialité prévues par le RGPD.

Seuls certains tiers peuvent avoir légitimement accès à des données à caractère personnel traitées par un responsable de traitement. Ces « tiers autorisés » sont en pratique les autorités et organismes disposant du pouvoir de solliciter l’obtention de données à caractère personnel pour l’accomplissement de leur mission (l’administration fiscale par exemple).

Toute demande de communication effectuée par un tiers autorisé doit impérativement faire l’objet d’une évaluation approfondie visant, selon la CNIL à :

• •  vérifier l’existence du fondement légal autorisant la demande et la communication de données ;

• •  vérifier la qualité de l’organisme à l’origine de la demande et le périmètre des informations ciblées ;

• •  sécuriser la communication des données ou les modalités d’accès par le tiers autorisé.

S’il est établi par exemple que l’employeur ne peut pas opposer à un expert du CSE la confidentialité d’un document pour refuser de le lui transmettre[4], la communication de données à caractère personnel devra satisfaire les exigences précitées pour être valable, au risque d’engager la responsabilité de l’employeur.

Parmi les tiers autorisés à recevoir ou permettre la communication de données à caractère personnel figurent également les autorités judiciaires.

En conséquence le RGPD ne permettra pas de faire obstacle à une demande de communication de pièces[5] contenant des informations personnelles en particulier dans les contentieux en matière de discrimination où les demandeurs sollicitent la plupart du temps des informations personnelles sur leurs collègues (salaire, coefficient, position, etc.) et où elles peuvent être transmises même si ces derniers s’y opposent[6]. Toutefois, le RGPD pourrait permettre de contester l’étendue et le bien-fondé de la demande ou être invoqué pour en limiter sa portée.

Force est donc de constater que la règlementation en matière de protection des données a impacté le droit du travail à de nombreux égards et qu’un regard croisé s’avère souvent nécessaire.

[1]Ces informations doivent notamment comprendre :

• l’identité et coordonnées de l’organisme responsable du traitement de données ;
• les coordonnées du délégué à la protection des données (DPO) si l’entreprise en a désigné un, ou celles d’un point de contact au sein de l’entreprise en charge des questions relatives à la protection des données personnelles ;
• les finalités des traitements mis en œuvre ;
• les bases juridiques des traitements parmi celles prévues à l’article 6 du RGPD ;
• la durée de conservation des données ;
• les destinataires ou catégories de destinataires des données ;
• le caractère obligatoire ou facultatif du recueil des données et les conséquences pour la personne en cas de non-fourniture des données ;
• l’existence ou non de transferts de données à caractère personnel à destination d’un État n’appartenant pas à l’Espace Economique  Européen et, le cas échéant, les mécanismes utilisés pour encadrer ce transfert ;
• la source des données collectées si celles-ci sont obtenues indirectement ou auprès de tiers ;
• l’existence des droits dont dispose le salarié ainsi que son droit d’exercer une réclamation auprès de la CNIL.
• [2]Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 adoptées le 29 novembre 2017. Selon le CEPD la personne concernée ne doit pas avoir à chercher activement les informations relatives au traitement de ses données parmi d’autres informations telles que des conditions d’utilisation d’un site Internet. Cette exigence est tout à fait transposable à un contrat de travail.

[3] Une mise à jour de la politique de confidentialité sera nécessaire dès que les modalités du traitement changent (catégories de destinataires, transfert vers des pays en dehors de l’UE, durée de conservation).

[4] Cass.soc. 15 décembre 2009, n°08-18.228 ; Cass.soc. 5 février 2014, n°12-23.345

[5] Notamment sur le fondement de l’article 145 du Code de procédure civile

[6] Cass.soc. 16 mars 2021, n°19-21.063

Article paru dans Les Echos le 29/04/2021