Être responsable, c’est répondre de ses actions. En droit du travail, on parle de la Responsabilité Sociale d’Entreprise (RSE). Définie comme la responsabilité des entreprises vis-à-vis des effets que leur activité a sur la société[1], elle comprend entre autres la responsabilité de l’employeur relative à la protection des données personnelles de ses salariés.
Trois objectifs justifient l’adoption du Règlement Général sur la Protection des Données personnelles (RGPD) n°2016/679 du 27 avril 2016 : l’harmonisation des législations (ce qui explique le choix du vecteur du règlement plutôt que de la directive européenne, laquelle nécessite une transposition en droit national et laisse donc une marge de manœuvre aux États membres), la protection des données personnelles des citoyens et la responsabilisation des acteurs économiques.
Le RGPD ne distingue les acteurs que selon leur degré d’implication dans le traitement (opération ou ensemble d’opérations appliquées à des données personnelles telles que la collecte, la modification, le transfert, etc.) des données. Ainsi, le règlement européen s’applique entre autres aux employeurs, lesquels sont basés dans l’Union Européenne ou traitent des données de salariés résidant dans cet espace.
Ainsi, comment le RGPD impacte-t-il la responsabilité de l’employeur à l’égard du traitement qu’il fait des données à caractère personnel de ses salariés ?
Le RGPD introduit en premier lieu un changement de paradigme concernant la gouvernance des données personnelles des salariés en s’appuyant sur le principe d’accountability (I), trouvant sa contrepartie dans la responsabilité de l’employeur (II).
1. Le principe d’accountability ou l’auto-responsabilisation de l’employeur
Notion de compliance. Pour définir le principe d’accountability, commençons par préciser la notion de compliance. Cette dernière, dont l’origine est attribuée aux États-Unis, arrive en Europe, en premier lieu, pour limiter les risques engendrés par les flux financiers. Dans une allocution du 6 juillet 2017, Jean-Claude Marin, alors Procureur général près la Cour de cassation énonce que la compliance représente « la capacité des entreprises à créer, en leur sein des processus et actions de prévention ou de minimisation des risques »[2] tels que des « chartes, codes de conduite ou autres engagements volontaires s’imposant à l’ensemble des collaborateurs. » La compliance est donc l’ensemble des processus mis en place par l’entreprise pour être en conformité à une norme.
Les entreprises, actrices de leur mise en conformité, deviennent les régulateurs de leur propre activité afin de répondre à des maux sociétaux (la lutte contre la corruption, la protection de l’environnement ou des données personnelles, etc).[3] En ce sens, la compliance rejoint la notion d’accountability, reprise dans la règlementation sur la protection des données personnelles. Ce principe ne connait pas de traduction idoine en français. Il ne peut être réduit au terme « responsabilité ». Il s’agit davantage d’une auto-responsabilisation puisqu’il impose la mise en place d’une gouvernance protectrice des données personnelles ainsi qu’une obligation de rendre compte de cette mise en conformité. Ce sont les deux composantes du principe d’accountability.
Gouvernance protectrice des données. Ainsi, d’une part, l’employeur doit protéger les données personnelles des salariés, dès la conception du traitement (Principe privacy by design) et de manière automatique (Principe privacy by default)[4]. À cette fin, il doit minimiser leur collecte en ne recueillant que les données qui sont nécessaires à la finalité du traitement. Par exemple, l’employeur peut collecter les noms des ayants-droits du salarié à des fins d’action sociale mais ne peut pendant l’entretien, demander le numéro de sécurité sociale au candidat, n’étant pas indispensable à la finalité de recrutement.[5] Il doit également veiller les délais de conservation de ces données, qui doivent être déterminés en fonction de ce qui est nécessaire ou eu égard aux dispositions légales le cas échéant. En ce sens, par exemple, les images collectées par vidéosurveillance doivent être conservées pendant un mois.[6]
Pour mettre en place cette nouvelle gouvernance, l’employeur devra recruter un délégué à la protection des données (ou Data Protection Officer) si son entreprise répond aux conditions de l’article 37 du Règlement. Il s’agit des entreprises ayant leur activité de base liée au traitement de données nécessitant un suivi régulier et systématique à grande échelle, ou au traitement à grande échelle de données sensibles (données personnelles particulières nécessitant une protection supplémentaire).[7] Dans le rapport sur la proposition du Règlement, les activités de base sont entendues comme étant des « activités pour lesquelles 50 % du chiffre d’affaires annuel résultent de la vente de données ou de recettes provenant de ces données. »[8] Ainsi, en-deçà de ce seuil, les activités sont accessoires. La rémunération des salariés est une activité annexe de l’activité de production. Les entreprises pour lesquelles la gestion de la paie est internalisée ne doivent donc pas nécessairement désigner ce délégué.[9]
L’employeur peut préciser le contour de ces obligations par voie d’accord collectif, latitude offerte par l’article 88 du RGPD. En effet, le considérant 155 précise que ces accords peuvent être négociés au sein de l’entreprise. La protection des données devient donc un véritable enjeu pour les parties prenantes.
Démonstration du respect de cette conformité. D’autre part, le principe d’accountability oblige l’employeur à démontrer le respect de l’obligation de mise en place d’une gouvernance protectrice des données des salariés. La responsabilisation de l’employeur entraîne la fin des demandes d’autorisation préalable effectuées auprès de la CNIL (autorité administrative indépendante, entendue comme l’autorité de contrôle française par le RGPD). « La CNIL, n’intervient plus en ex ante puisque le système a été internalisé par la compliance dans toutes les entreprises, l’entreprise étant elle-même en charge des systèmes de sécurité, protégeant la personne, faisant circuler les données, construisant le marché numérique. »[10] Les régimes d’interdiction ou d’autorisation sont toutefois maintenus à la marge.[11] Certains traitements peuvent être autorisés par la CNIL ou tout simplement interdits. Il s’agit par exemple du traitement des données biométriques qui n’est normalement pas permis, mais qui, avec la loi du 20 mai 2018 adaptant la loi Informatique et Libertés de 1978 au Règlement, peut être autorisé afin de protéger les accès aux lieux de travail.[12]
C’est donc à l’employeur qu’il revient de démontrer la mise en conformité au RGPD. Le registre de l’article 30 peut, par exemple, être utilisé à cette fin. Il doit être mis en place par les entreprises de plus de 250 salariés ou présentant un risque à l’égard des données personnelles des personnes concernées (clients / salariés / tiers). Il permet de recenser pour chaque activité, les données traitées, les finalités ou encore les délais de conservation. Une analyse d’impact peut s’avérer nécessaire en cas de risque élevé, par exemple, concernant les algorithmes de recrutement. Enfin, le RGPD impose à l’employeur de s’assurer du respect par ses partenaires des obligations de protection des données. Si une entreprise sous-traite la paie à une autre entreprise du groupe, elle doit pouvoir démontrer sa conformité au Règlement. Pour ce faire, des règles contraignantes intra-groupes (Binding Corporate Rules) ou encore des certifications établies par des organismes tiers ou des codes de conduites rédigées par les entreprises peuvent être utilisés. Là encore, on retrouve la notion de compliance avec la mise en place d’une autorégulation par l’entreprise.
La protection des données des salariés est donc devenue un véritable programme normatif pour l’employeur. Si initialement, cette démarche pouvait seconder une aspiration éthique, elle relève dorénavant davantage de la gestion des risques en raison de l’accroissement de ces derniers par le Règlement.
2. La mise en jeu de la responsabilité de l’employeur à l’aune du RGPD
Responsable de traitement et coresponsabilité. A la lecture de l’avis de 2010[13] du G29 (groupe de travail de l’article 29 de la Directive du 24 octobre 1995, composé des représentants des CNIL européennes), l’employeur est considéré comme responsable de traitement. Sa responsabilité résulte d’une compétence implicite. En effet, aucune disposition n’impose le traitement de données mais sa compétence découle de règles juridiques générales issues du droit du travail. C’est parce qu’il est employeur qu’il est responsable des données de ses salariés.
Exergue : À noter qu’il est impossible de mettre en œuvre une délégation pénale auprès d’un délégué à la protection de données personnelles. La désignation d’un DPO reste un signal fort de mise en conformité mais n’est pas exonératoire de responsabilité pour l’employeur, et ce notamment lorsque le délégué est salarié eu égard au lien de subordination existant. |
Le RGPD n’a pas modifié la définition de la notion de responsable de traitement. Cependant, celle reprise par la loi de transposition du 6 août 2004 n’était pas la même que celle prévue dans la Directive européenne de 1995 (norme européenne remplacée par le RGPD). « Seul ou conjointement avec d’autres » avait été soustrait à la définition initiale. Le Règlement reprend cette phrase pour harmoniser les droits nationaux en réaffirmant la possibilité d’une coresponsabilité conjointe. Ainsi, en France, ce concept n’est applicable que depuis le 25 mai 2018. Dans la relation de travail, la question de la coresponsabilité peut notamment se poser concernant les sociétés au sein d’un groupe. D’une part, la société mère peut être qualifiée de responsable de traitement si elle détermine les finalités ou les éléments essentiels des moyens des traitements mis en place par la société filiale[14]. En effet, une société peut assurer des traitements pour le compte d’autres sociétés du groupe (paie, comptabilité, etc.) ou peut standardiser les traitements utilisés dans le groupe. D’autre part, elle peut être co-employeuse et devient de ce fait, responsable de traitement. Au regard des liens qui existent entre les sociétés du groupe, elle peut exercer les pouvoirs de direction, de sanction et de contrôle à l’égard des salariés, pouvoirs qui sont caractéristiques du lien de subordination établissant une relation salariale.[15] Dans ce cas, une personne qui travaille au profit de la société mère, qui n’est pas son employeur, mais qui exerce dans les faits de telles prérogatives, peut faire valoir qu’elle a en réalité deux employeurs. Alors, la coresponsabilité peut s’appliquer puisque les deux sociétés sont responsables de traitement.[16] Dans ce cas, le salarié victime d’une violation du Règlement (violation des dispositions relatives à la sécurisation des données, au droit d’accès, au droit à l’oubli, au droit à l’information, etc.) par l’un des coresponsables pourra se retourner contre l’un d’eux et demander la totalité de la réparation du préjudice. Le responsable solvens pourra ensuite exercer une action récursoire contre le coresponsable afin de lui demander le remboursement de la part de responsabilité dans le dommage correspondant à ce qui était prévu dans l’éventuel contrat.
Action en justice simplifiée. La notification des violations permet au salarié de connaître la faute ayant entrainé le préjudice dont il est victime. Cette obligation a été généralisée par le RGPD et n’est donc plus seulement exigée à l’égard des « fournisseurs de services de communications électroniques accessibles au public ».[17] Une fois informé, le salarié pourra, avec l’aide d’une organisation syndicale intenter une action judiciaire, et notamment une action de groupe. L’article 80 du RGPD laisse toute latitude aux États membres pour étendre l’action de groupe à la réparation des préjudices matériels et moraux subis dans le cadre d’une violation des données à caractère personnel. En effet, auparavant, cette action ne pouvait être intentée que dans le but de faire cesser le manquement du responsable de traitement. L’Assemblée nationale et le Sénat se sont donc accordés sur cette extension du domaine de l’action en justice.
Montants augmentés. Enfin, le Règlement a augmenté le montant des sanctions administratives encourues en cas de violation des dispositions du texte par le responsable de traitement. Si initialement le montant des sanctions que la CNIL pouvait prononcer atteignait au maximum 150 000 euros en 2004, puis 3 millions d’euros avec la loi pour une République numérique de 2016, aujourd’hui, il est question d’un maximum de 20 millions d’euros ou de 4% du chiffre d’affaires mondial en cas de manquements relatifs aux droits des personnes. Ainsi, par exemple, en cas de non-respect de l’obligation d’établir un registre, les montants peuvent atteindre les 10 millions d’euros ou les 2% du chiffre d’affaires annuel mondial. Outre les sanctions administratives et les éventuels dommages et intérêts, l’employeur risque, en cas de manquement à une obligation du RGPD, des sanctions pénales. Néanmoins, le Règlement n’a pas apporté de changement notable sur ce point.
* * *
Au regard des dernières réformes (la Loi Vigilance sur la responsabilisation des sociétés mères, la Loi Sapin II sur la lutte contre la corruption…) parmi lesquelles, le RGPD, les responsabilités de l’employeur et de l’entreprise ne cessent de s’étendre. Une vraie place est donnée à la compliance et la RSE ; « l’idée générale étant qu’il faut traduire les engagements en actes, et que ces actes, maintenant, sont exigés par la loi sous peine de sanctions. »[18]
Noémie PAINCHART
Étudiante M1 Droit de l’entreprise,
Parcours Droit social de Tours
[1] Communication de la commission au parlement européen, au conseil au comité économique et social européen et au comité des régions, responsabilité sociale des entreprises COM (2011) 681 final/2, une nouvelle stratégie de l’UE pour la période 2011-
[2] MARIN Jean-Claude, Procureur général près la Cour de cassation Allocution, Colloque « La compliance », 6 juillet 2017
[3] FRISON-ROCHE Marie-Anne, Le droit de la compliance, Dalloz. 2016, p.1871
[4] Article 25§1 et §2 du Règlement Général de la Protection des Données personnelles n°2016/679, du 14 avril 2016
Pour aller plus loin : « Privacy by Design » selon Ann CAVOUKIAN, Commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada)
[5] Cnil, « Le recrutement et la gestion du personnel », 2018
[6] Article 252-3 du Code de sécurité intérieure
[7] Article 37 du Règlement Général de la Protection des Données personnelles no 2016/679, du 14 avril 2016
[8] ALBRECHT Jan Philipp Rapport sur la proposition de règlement, Commission de l’Industrie, de la recherche et de l’énergie, n°A7-0402-2013 du 21 novembre 2013, amendement 278
[9] G29, « Lignes directrices concernant les délégués à la protection des données », adoptées le 13 décembre 2016 – version adaptée le 5 avril 2017
[10] FRISON-ROCHE Marie-Anne, Le droit de la compliance au-delà du droit de la régulation, Dalloz. 2018, p.1561
[11] BAMDÉ Aurélien, « RGPD : le principe d’accountability ou l’abandon – partiel – du système des formalités préalables », le 20 décembre 2018
[12] Article 8. 2°c) de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
[13] G29, « Avis 1/2010 sur les notions de responsable de traitement et de « sous-traitants » », 16 février 2010, p. 10 et 11
[14] Voir définition responsable de traitement, G29, « Avis 1/2010 sur les notions de responsable de traitement et de « sous-traitants » », 16 février 2010, p.8
[15] Cass. Soc., 13 novembre 1996, n°94-13.187 « Société Générale »
[16] MERCELLIN Sabine et SEMIK Jérôme Le RGPD, « La responsabilité́ des traitements de données partagées dans un groupe », Dalloz Grand Angle, 2018, p. 231
[17] Article 34 bis de la loi n°78-17 du 6 janvier 1978
[18] CAZEAU Nathalie, avocate, « RSE et compliance, quels liens ? », Village de la Justice 31 janvier 2017