RGPD et délit d’entrave
Remise en cause de la valeur d’acquisition d’un fonds de commerce
3 décembre 2019
Dénonciation de faits de harcèlement : enquête obligatoire
17 décembre 2019
Afficher tout

RGPD et délit d’entrave

Le CHSCT (Comité d’Hygiène, de Sécurité et des Conditions de Travail) a dénoncé les conditions de travail des salariés en faisant notamment état d’une situation de détresse.

Après une première réunion, le CHSCT a décidé de recourir à une expertise pour risque grave (ancien article L.4614-12 du code du travail). L’expert désigné a établi un protocole d’expertise prévoyant notamment la diffusion d’un questionnaire à l’ensemble des salariés des services de l’établissement de santé. A cette fin, l’expert a contacté l’employeur afin de se voir communiquer, notamment, les adresses postales des salariés pour la diffusion du questionnaire. L’employeur a refusé de communiquer ces adresses postales en indiquant que d’une part, les salariés n’avaient pas donné leur consentement individuel pour procéder à la communication de ces données personnelles et, d’autre part, il n’avait pas donné son accord au protocole préparé par l’expert. Le CHSCT a saisi en référé le tribunal de grande instance afin d’ordonner la communication des informations requises par l’expert, à savoir les adresses postales des salariés, afin de mener à bien son expertise.

Le juge des référés fait droit à la demande du CHSCT en s’appuyant sur les arguments suivants :

  • l’employeur ne s’était pas opposé au protocole d’expertise et notamment sur les modalités d’envoi du questionnaire aux salariés : aucune question ou contestation n’a été rapportée sur le procès-verbal de la réunion présentant ce protocole ;
  • l’employeur, en sa qualité de responsable du traitement des données de ses salariés, doit s’assurer que le traitement des informations à caractère personnel transmises aux sous-traitants ou tiers, en l’espèce au CHSCT et l’expert est sécurisé. Or, le protocole d’expertise prévoyait le respect des principes déontologiques tels que la confidentialité.

Au regard de l’article 6 du RGPD, le consentement des personnes concernées n’a pas besoin d’être sollicité lorsque le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. En l’espèce, pour le Président du TGI, l’employeur est soumis à l’obligation légale de transmettre les informations nécessaires à l’expert pour l’exercice de sa mission, déterminée en accord avec le CHSCT et l’employeur dans l’intérêt supérieur des salariés. Enfin, le Président conclut que la proportionnalité de la mesure quant aux données personnelles des salariés au regard du bénéfice de l’expertise doit être envisagée et qu’il s’agit, en l’espèce, de la santé au travail des salariés en présence de risques graves dénoncés par le CHSCT à l’employeur. Le refus de l’employeur de communiquer les adresses postales des salariés constitue donc une entrave.

Respect d’une obligation légale

Il s’agit donc d’un apport jurisprudentiel qui confirme, sans surprise, le rôle de responsable du traitement de l’employeur. Si la juridiction apporte des réponses sur l’interprétation du RGPD en droit du travail, certains points restent flous.

Tout d’abord, la qualification de sous-traitant (sachant que le Président du TGI a pris le soin de préciser « ou tiers ») concernant le CHSCT et l’expert est plus surprenante. En effet, la qualification de sous-traitant impliquerait que l’expert traite les données personnelles des salariés pour le compte, sur instruction et sous l’autorité de l’employeur et en amont, la signature d’un contrat avec l’employeur ce qui, par définition, est inexistant dans cette situation.

Par ailleurs, le Président s’est appuyé sur les seuls principes déontologiques de l’expert pour apprécier la sécurisation du transfert des données alors que cette sécurisation impliquerait également la mise en place d’un dispositif technique non évoqué en l’espèce.

En revanche, au regard de la finalité du traitement des données personnelles collectées pour gérer les ressources humaines, il est logique que le consentement des salariés ne soit pas requis systématiquement lors de la collecte des informations. En effet l’article 6 du RGPD permet de ne pas disposer de l’accord de la personne dont la donnée est collectée notamment lorsque le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis.

Dans ce contexte, la décision par le juge des référés est logique et témoigne d’une volonté d’interpréter largement la notion « d’obligation légale » visée par le RGPD.

Enfin, la juridiction s’est référée à la « proportionnalité » de la mesure et donc, indirectement, à l’article 5 du RGPD édictant les principes relatifs au traitement des données et notamment la limitation des finalités et minimisation des données. Dans ce cas, il n’y a pas de réelle réponse apportée à l’employeur qui suggérait notamment que les questionnaires anonymes pouvaient être distribués directement dans l’entreprise et non adressés par voie postale.

Cette décision n’a pas autorité de la chose jugée et fera l’objet d’un examen devant la cour d’appel. Toutefois, on devine que les juridictions ainsi que la Commission nationale de l’informatique et des libertés (Cnil) s’orientent vers une interprétation extensive de l’article 6 du RGPD concernant l’existence d’une obligation légale impliquant pour l’employeur de pouvoir traiter les données personnelles des salariés sans obtenir leur accord préalable. En effet, une récente délibération de la Cnil (délibération Cnil 2019-119, du 12 septembre 2019) désigne les traitements des ressources humaines de données personnelles ne nécessitant pas d’analyse d’impact (par exemple : traitements mis en œuvre uniquement à des fins de ressources humaines et dans les conditions perçues par les textes applicables pour la seule gestion du personnel des organismes qui emploient moins de 250 salariés, traitements destinés à la gestion des comité d’entreprise et d’établissement, etc.). Cette délibération complète une précédente traitant des traitements de données à risques nécessitant une analyse d’impact (délibération Cnil du 11 octobre 2018). Les praticiens des ressources humaines salueront à n’en pas douter cette souplesse d’interprétation retenue à ce stade par les juges et la Cnil.