D'HANDWIERK 06 / 2018
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>D'HANDWIERK</strong> <strong>06</strong>|<strong>2018</strong><br />
DROIT<br />
Tableau 2 : Fiche de conformité<br />
Principe de licéité<br />
Principe de transparence<br />
Principe de limitation des finalités<br />
Est-ce que j’ai le droit d’effectuer ce traitement?<br />
Est-ce que les salariés concernés sont au courant du traitement?<br />
N.B. Ce principe est aggravé en cas de traitement des données des salariés à des fins de surveillance.<br />
Est-ce que j’utilise ces données pour faire autre chose / est-ce que j’utilise des<br />
données qui proviennent d’un autre traitement?<br />
N.B. Ce principe est aggravé en cas de traitement des données des salariés à des fins de surveillance.<br />
Principe de minimisation des données Est-ce que toutes les données sont nécessaires ?<br />
Principe d’exactitude des données Est-ce que les données sont correctes et à jour ?<br />
Principe de durée de conservation<br />
limitée des données<br />
Est-ce que je peux supprimer les données à la fin du traitement ou est-ce qu’il y a<br />
une nécessité de les garder ?<br />
Principe de sécurité des données Est-ce que les données sont sécurisées ?<br />
L’obligation pour l’employeur de respecter en plus le<br />
Code du travail lorsque le traitement est mis en œuvre<br />
à des fins de surveillance<br />
• La notion de « traitement à des fins de surveillance<br />
des salariés dans le cadre des relations de travail »<br />
n’est plus définie en droit positif<br />
L’employeur devant distinguer suivant que la finalité<br />
poursuivie est à des fins de surveillance ou non, il est<br />
regrettable que la notion de surveillance ne soit plus définie<br />
en droit positif, car cette notion était donnée par la loi<br />
de 2002 5 , qui a été abrogée par la loi du 1 er août précitée.<br />
L’ancienne définition limitait l’application des règles particulières<br />
aux contrôles non-ponctuels des salariés, en<br />
visant expressément « l’observation, la collecte, ou l’enregistrement<br />
de manière non occasionnelle des données à caractère<br />
personnel d’une ou de plusieurs personnes relatives à des<br />
comportements, des mouvements, des communications ou à<br />
l’utilisation d’appareils électroniques et informatisés. »<br />
Par surveillance étaient notamment concernés les<br />
systèmes de surveillance des accès et des horaires de<br />
travail, les dispositifs de géolocalisation, la vidéosurveillance,<br />
le contrôle de l’utilisation des outils informatiques,<br />
ou encore l’enregistrement des conversations<br />
téléphoniques.<br />
Les contrôles ponctuels échappaient ainsi de cette définition,<br />
comme jugé par la Cour d’appel dans un arrêt du<br />
12 novembre 2015. 6<br />
La suppression de la définition de la surveillance impose<br />
à l’employeur de définir, au cas par cas, si le traitement<br />
de données d’un salarié est susceptible d’être qualifié de<br />
« surveillance », et le risque existe qu’un certain nombre<br />
de traitements de données d’un salarié soit à qualifier<br />
comme tel eu égard au lien de subordination du salarié,<br />
et aux pouvoirs de contrôle, de direction et de sanction<br />
inhérents à la qualité d’employeur.<br />
• La liste des anciennes finalités n’a pas été reprise<br />
Suivant l’ancienne rédaction de l’article L.261-1, l’employeur<br />
ne pouvait opérer une surveillance de ses salariés<br />
que si le traitement poursuivait une des cinq finalités<br />
parmi les suivantes :<br />
• les besoins de sécurité et de santé des salariés ;<br />
• les besoins de protection des biens de l’entreprise ;<br />
• le contrôle du processus de production portant uniquement<br />
sur les machines ;<br />
• le contrôle temporaire de production ou des prestations<br />
du salarié, lorsqu’une telle mesure est le seul moyen<br />
pour déterminer le salaire exact ;<br />
• dans le cadre d’une organisation de travail selon l’horaire<br />
mobile.<br />
Si la nouvelle rédaction de cet article ne limite plus les<br />
traitements à des fins de surveillance à cette liste de finalités,<br />
l’employeur n’est pas pour autant libre de faire ce<br />
que bon lui semble.<br />
Au contraire même : en plus de devoir respecter les principes<br />
imposés par le RGPD précédemment exposés, l’employeur<br />
doit respecter pour les traitements à des fins de<br />
surveillance des obligations renforcées en matière de<br />
transparence et de limitation des finalités, et le droit de<br />
codécision des salariés pour certains traitements.<br />
• Les obligations renforcées de transparence et de<br />
limitation des finalités en cas de traitements à des fins<br />
de surveillance<br />
L’employeur est tenu à une obligation de transparence<br />
renforcée, car, en plus de l’information de la personne<br />
concernée prévue par le RGPD, l’employeur a l’obligation<br />
d’informer la délégation du personnel, ou, à défaut,<br />
l’ITM, avant de mettre en œuvre une mesure de surveillance<br />
dans le cadre du travail. L’employeur est aussi soumis<br />
à une obligation de limitation des finalités renforcée,<br />
car, si le RGPD autorise les responsables de traitements<br />
5<br />
Loi modifiée du 2 août<br />
2002 relative à la protection<br />
des personnes à l’égard du<br />
traitement des données à<br />
caractère personnel.<br />
6<br />
Cour d’Appel, 12<br />
novembre 2015, n°41245<br />
du rôle. Dans cette affaire,<br />
la Cour a considéré que<br />
« l’employeur n’a pas procédé<br />
à un contrôle des données<br />
à caractère personnel<br />
de B » en considérant<br />
qu’« il n’a en effet à aucun<br />
moment contrôlé le courrier<br />
électronique personnel et<br />
privé de sa salariée effectué<br />
sur son site de travail et plus<br />
particulièrement contrôlé sa<br />
correspondance, ses emails<br />
personnels, ni enregistré<br />
toutes ses données de<br />
façon régulière et non<br />
occasionnelle, mais il<br />
s’est contenté d’effectuer<br />
un contrôle ponctuel en<br />
conformité avec le règlement<br />
intérieur de la société, des<br />
sites les plus visités ».<br />
18