Lecture: 29 min
N4332BZH
Citer l'article
Créer un lien vers ce contenu
par Jérôme Giusti, Avocat associé, Géraldine Salord, Avocate associée et Docteur en droit privé et Alexandre Philipponneau, Avocat, Cabinet Metalaw
le 15 Février 2023
Mots-clés : RGPD • CSE • faille de sécurité • violation de données à caractère personnel • cyberattaque • délégué à la protection des données • DPO • protection contre la rupture des relations de travail • RGPD, art. 38, § 3
Nous ouvrons, en 2023, une chronique sur les rapports qu’entretiennent le droit du travail et le droit des données à caractère personnel, avec deux sujets d’actualité, celui des cyberattaques qui entraînent des violations de plus en plus graves de données personnelles, touchant notamment les salariés et celui du licenciement d’un délégué à la protection des données (DPO), ayant récemment donné lieu à une décision du Conseil d’État venant confirmer une décision de la CJUE.
Dans le cadre de son activité économique, un employeur est amené à collecter et traiter de nombreuses données à caractère personnel des salariés, ce qui peut être une source de risque pour celui-ci, notamment en cas de cyberattaques des serveurs informatiques de son entreprise. Dans une telle hypothèse, il n’est fait aucune obligation à l’employeur d’informer et de consulter le comité social et économique, ce dernier disposant néanmoins de pouvoirs légaux pour obtenir des informations et enquêter sur les causes et les conséquences d’une telle cyberattaque pour l’entreprise et les salariés.
Le Conseil d’État juge que l’article 38, § 3 du RGPD ne fait pas obstacle au licenciement d’un délégué à la protection des données (DPO) qui n’exercerait pas ses missions conformément aux dispositions du RGPD ou qui ne respecterait pas les règles internes de l’entreprise. La protection spécifique accordée au DPO par le RGPD n’est pas absolue !
Le Règlement général sur la protection des données relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) N° Lexbase : L0189K8I est entré en vigueur depuis maintenant bientôt cinq ans.
Si cette législation n’est pas nouvelle puisque l’ensemble des principes de protection des données à caractère personnel est déjà intégré dans la loi dite « Informatique et libertés » du 6 janvier 1978 N° Lexbase : L8794AGS, elle est novatrice en ce qu’elle a entraîné une modification en profondeur de la place accordée à ces questions dans l’organisation et le développement de la stratégie des entreprises. Au-delà d’une prise de conscience, cette réglementation a imposé un changement de point de vue et a contribué à permettre aux entreprises de passer d’une stratégie centrée sur le produit à une stratégie centrée sur les individus et ainsi à remettre l’humain au cœur des préoccupations des entreprises. Tel était bien son objectif.
Or, quoi de plus humain dans une entreprise que son personnel. Comme tout domaine économique, les ressources humaines n’ont pas échappé au processus de modernisation de l’organisation des entreprises, sous l’étendard du RGPD. Et après cinq ans de mise en application, d’ajustements et souvent de tâtonnements, il apparaît que la mise en conformité des services de ressources humaines avec les dispositions relatives à la protection des données à caractère personnel des salariés a ouvert au sein des entreprises, un dialogue constructif et instructif concernant les interactions entre le RGPD et les règlementations encadrant les relations de travail, ce qui permet de questionner, sous un angle nouveau, les rapports sociaux et les droits et obligations de chacun.
C’est ce qui nous a poussés à lancer cette chronique dédiée à l’analyse des interactions entre la législation sociale et la législation relative aux données à caractère personnel. Notre ambition est ainsi d’offrir aux lecteurs une meilleure compréhension des enjeux de la protection des données à caractère personnel appliquée à la relation de travail.
Cette première chronique s’intéresse, en premier lieu, au cas de la survenance d’une violation de données à caractère personnel dans l’entreprise et les moyens dont dispose le comité social et économique pour enquêter et obtenir des informations de la part de l’employeur en cas de fuites de données à caractère personnel des salariés de l’entreprise (I.). En deuxième lieu, nous proposons une actualisation de notre article relatif à la protection spécifique du délégué à la protection des données contre la rupture des relations de travail [1]. En effet, le Conseil d’État a récemment rendu un arrêt par lequel il confirme l’analyse rendue par la Cour de justice de l’Union européenne en la matière (II.).
I. Violation de données à caractère personnel des salariés de l’entreprise, procédure à suivre par l’employeur et moyens à la disposition des élus du comité pour enquêter et obtenir des informations sur cette violation
En fin d’année 2022, la société Adecco informait ses salariés et anciens salariés qu’elle avait été victime d’un piratage ayant entraîné une fuite massive de données à caractère personnel concernant ses collaborateurs. Cette fuite concernait les « noms, prénoms, adresses e-mails, numéros de sécurité sociale et coordonnées bancaires » desdits salariés.
Adecco précisait alors avoir « pris les mesures nécessaires pour pallier cette situation et sécuriser encore davantage les données qui [lui] sont confiées ». La société ajoutait avoir informé la Commission nationale de l’informatique et des libertés (la CNIL), déposé plainte et transmis le dossier à la police judiciaire.
Cette actualité récente nous permet de rappeler qu’un employeur, dans sa relation de travail avec ses salariés, est amené à traiter de nombreuses données à caractère personnel les concernant et qu’il est tenu à cet égard à une obligation générale de sécurité, en sa qualité de responsable du traitement. Celle-ci se traduit notamment par l’obligation pour l’employeur de réagir de manière appropriée en cas de faille de sécurité dans ses systèmes d’information entraînant une violation des données de ses employés et d’informer la CNIL et/ou les personnes concernées de l’existence de cette violation et du risque encouru en découlant. Dans ce cadre, si le RGPD et le Code du travail ne prévoient aucune obligation pour l’employeur d’informer et de consulter le comité social et économique (CSE) en cas de violation de données, on peut légitiment s’interroger sur les moyens mis à disposition du CSE pour enquêter sur les conséquences de cette violation pour les salariés et assurer sa mission de protection des intérêts collectifs des salariés.
Commençons par un petit rappel utile concernant les données qu’un employeur est susceptible de collecter et traiter sur les membres de son personnel.
L’article 4, § 1 du RGPD N° Lexbase : L0189K8I définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il est essentiel de bien comprendre qu’une donnée personnelle ne s’entend pas seulement de la donnée qui permet d’identifier une personne (un nom, un prénom, un identifiant unique), mais que la notion englobe la donnée qui est relative à une personne déjà identifiée ou identifiable, ce qui couvre une réalité bien plus large.
À titre d’illustration, la liste des salariés d’une entreprise précise le plus souvent le genre des salariés. Le fait de savoir qu’un salarié est un homme sans connaître son nom ne permet pas de l’identifier. En revanche, le fait de savoir que tel salarié est un homme constitue une donnée personnelle de ce salarié.
Ainsi, toute donnée qui contient une information sur une personne précise constitue une donnée personnelle. À cet égard, l’expression « toute information » manifeste clairement la volonté du législateur de retenir une conception large de la notion de donnée personnelle, qui désigne tout type de renseignements sur une personne sans limitation d’aucune sorte, que ce soient des informations relatives à la personne elle-même, sa santé, ses opinions politiques, religieuses, syndicales, ou à ses activités, son comportement économique et social, sa situation financière ou familiale, ses interactions avec des tiers ou ses habitudes de vie.
La notion de donnée à caractère personnel ne se limite pas aux informations d’ordre privé, mais s’étend à toute sorte d’informations, tant objectives que subjectives, publiques ou privées, professionnelles ou personnelles, qui concernent la personne en cause.
En outre, si la notion de personne identifiée est simple d’appréhension dès lors qu’elle désigne la personne dont l’identité est clairement connue, il apparaît que la notion de personne identifiable est plus complexe. En effet, une personne est identifiable si elle peut être « identifiée, directement ou indirectement », c’est-à-dire s’il est possible de l’identifier à partir des informations que l’on possède, notamment par recoupement entre plusieurs données relatives à une personne ou par référence à un identifiant. L’article 4, § 1 précité précise ainsi qu’« est réputée être une ‘‘personne physique identifiable’’ une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Une personne est identifiable lorsqu’il est possible de l’identifier par l’intermédiaire d’informations présentant un lien étroit avec cette personne et communiquant suffisamment d’éléments sur celle-ci pour la distinguer au milieu d’autres personnes.
À titre d’illustration, l’ensemble des données enregistrées dans le dossier personnel d’un employé et concernant sa situation personnelle sont des données permettant par recoupement d’identifier le salarié en question, de manière indirecte.
De ce fait, il semble que toute information, en l’espèce sur un salarié, est susceptible, d’une manière ou d’une autre, de constituer une donnée personnelle dès lors qu’elle se rattache à une personne physique. Le RGPD prévoit cependant certaines limites à l’interprétation très extensive qu’il sous-tend lui-même.
À cet égard, le RGPD précise, dans son considérant 26, que « pour déterminer si une personne est identifiable, il faut donc prendre en considération l’ensemble des moyens qui peuvent raisonnablement être utilisés par le responsable du traitement ou par toute autre personne, pour identifier la personne physique, directement ou indirectement », ce qui implique de prendre en compte des facteurs objectifs tels que le coût de l’identification, le temps nécessaire au regard des technologies disponibles pour identifier une personne et la finalité du traitement.
La simple possibilité abstraite de distinguer une personne n’est ainsi pas suffisante pour considérer qu’une personne est identifiable. Elle doit l’être de manière raisonnable au regard de l’état de l’art disponible. Une entreprise ne pourrait donc pas prétendre ne pas être en mesure d’identifier un salarié à partir de l’adresse IP dynamique de son ordinateur, au seul motif qu’elle a décidé de ne pas tenir de registre de dotation de matériel. Dès lors que la technologie existe et est couramment utilisée, la CNIL considèrerait dans un tel cas de figure que, peu important les pratiques internes de l’entreprise, le salarié est bien identifiable par l’adresse IP dynamique de son ordinateur professionnel.
Ceci étant rappelé, il apparaît qu’un employeur est donc amené à traiter de manière habituelle de très nombreuses données personnelles relatives à ses collaborateurs, dans le cadre des différents traitements qu’il réalise dans l’organisation des relations de travail. Il est en effet traditionnellement admis qu’un employeur, de par ses obligations légales découlant du Code du travail, traite les données de ses collaborateurs notamment aux fins de recrutement, de gestion administrative des personnels, de gestion de la paie, d’organisation du travail, d’accès aux locaux, de mise à disposition d’outils informatiques et matériels, de suivi des carrières et de la mobilité, de formation, de communication interne, de tenue des registres obligatoires, de gestion des aides sociales, de procédure disciplinaire et de contentieux prud’homal.
Dans ce cadre, il est amené à collecter des données variées (identification du salarié, évaluation des compétences, maladie professionnelle, dotation de matériels, activités sociales ou culturelles, réseau social d’entreprise, géolocalisation de véhicules de fonction, gestion des amendes, lanceur d’alerte, enregistrement des appels, etc.) dont certaines constituent d’ailleurs des données sensibles.
En d’autres termes, l’un des postes les plus importants de collecte de données dans une entreprise, si ce n’est le plus important pour les entreprises au-delà de 50 salariés, est le traitement de données aux fins de gestion des relations sociales. L’employeur détient ainsi des jeux de données très complets sur ses salariés, qui constituent un véritable trésor en termes de potentialités d’analyse stratégique de big data. En effet, le nouveau paradigme économique des entreprises est désormais de centrer toute leur stratégie d’entreprise sur l’humain et non plus sur la technologie, stratégie dans laquelle les données salariales occupent une place de choix.
De ce fait, on a pu constater une augmentation significative des cyberattaques menées contre les systèmes d’information des entreprises ayant pour objet le détournement des données salariales. Le cas d’Adecco en témoigne. Les entreprises sont ainsi de plus en plus vulnérables sur leurs données internes relatives à leur personnel et exposées au risque de violation de ces données.
Que peut et que doit faire une entreprise victime d’une cyberattaque entraînant une faille de sécurité de ses systèmes d’information ?
Toute attaque menée contre un système d’information n’entraîne pas nécessairement une violation de données. Ainsi, le RGPD définit, dans son article 4, § 12, la violation de données comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. ».
Ainsi que le précise la CNIL une violation de données s’entend de « tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles ».
À titre d’illustration, constituent une violation de données salariales la suppression des données permettant à un salarié d’accéder à certaines aides sociales, le vol de données relatives à des lanceurs d’alerte et la diffusion des noms des lanceurs d’alerte sur tous les emails de l’entreprise ou encore la perte d’une clé USB sur laquelle se trouve une copie de la grille des salaires de l’entreprise.
Dès lors qu’une cyberattaque entraîne l’une des trois violations précitées, l’employeur est dans l’obligation de respecter une procédure particulière prévue aux articles 33 et 34 du RGPD N° Lexbase : L0189K8I et ce, sous peine d’une forte amende (jusqu’à 4 % du chiffre d’affaires mondiales de la société) et de sanctions pénales.
L’employeur doit, dans un premier temps, déterminer la nature de l’incident et la probabilité qu’une violation de données en découle. Dans ce cadre, l’employeur doit analyser et évaluer la gravité et la vraisemblance du risque envisagé. De ce fait, l’employeur doit, dans des délais les plus brefs, déterminer la nature du risque (destruction des données, modification non désirée, atteinte à la confidentialité), la source du risque (un autre salarié, un cyberattaquant, etc.), l’impact potentiel pour le salarié (perte d’emploi, discrimination, agression d’un lanceur d’alerte), la gravité de la menace pour le salarié et la vraisemblance compte tenu des mesures de sécurité déjà mises en place.
Cette appréciation nécessite notamment de prendre en compte la nature de la violation, la sensibilité des données atteintes, la facilité d’identifier les personnes victimes de la violation, les conséquences possibles pour elles, les caractéristiques propres à ces personnes (salarié protégé, lanceur d’alerte, salarié handicapé, alternant mineur) et le volume de personnes concernées par la violation.
Dans un deuxième temps, l’employeur doit documenter l’incident dans un registre de faille, qui doit être tenu à disposition de la CNIL, en précisant la nature de la violation de données, les catégories et le nombre de personnes concernées par la violation, le nombre de données concernées, les conséquences probables et les mesures prises ou envisagées pour pallier ou limiter les conséquences négatives de cette violation.
Dans tous les cas, l’employeur doit mettre en place toutes les mesures possibles afin d’atténuer l’impact de la violation (confinement des réseaux touchés pour empêcher l’expansion de l’incident, arrêter l’usage de tous matériels impliqués dans la violation pour ne pas augmenter le risque, éradiquer les virus éventuels, désactiver les comptes utilisateurs corrompus, modifier les identifiants d’accès à la messagerie et/ou aux outils impliqués dans la faille, etc).
L’évaluation des risques doit intervenir dans un délai de 48 heures au maximum, ce délai débutant à compter de la notification au responsable de traitement, c’est-à-dire à l’employeur, de la faille de sécurité.
Dans un troisième temps, l’employeur doit, sur la base de l’analyse de risque qu’il a menée, déterminer s’il doit ou non notifier la violation de données à la CNIL. Selon les termes de l’article 33 du RGPD, cette notification n’est obligatoire que s’il existe un risque, même minime, que cette violation puisse entraîner une atteinte aux droits et libertés fondamentales des personnes concernées. Il repose donc sur l’employeur la responsabilité d’apprécier correctement, et avec raison, la nature et la gravité du risque encouru par ses employés en cas de violation de données. En cas de doute, il est évidemment recommandé de le notifier à la CNIL.
La notification à la CNIL, si elle est nécessaire, doit intervenir dans un délai maximum de 72 heures à compter de la connaissance de la faille de sécurité. En l’absence de notification, l’employeur encourt une peine de 5 ans d’emprisonnement et de 300 000 euros [2].
Dans un quatrième temps, s’il existe un risque élevé de dommages pour les personnes, l’employeur doit notifier l’existence de l’incident aux personnes dont les données ont été violées, soit dans le cas qui nous intéresse, à ses salariés [3].
Dans les deux cas, une fois la notification réalisée, l’employeur est tenu de mettre en place toutes les mesures propres à faire cesser la violation de données et tenir informé la CNIL et/ou les salariés de l’évolution du risque encouru.
Le respect de cette procédure par l’employeur est essentiel pour garantir aux membres de son personnel la protection de leurs données personnelles et leur permettre d’anticiper par eux-mêmes les conséquences négatives d’une telle violation. Cette procédure a été mise en place dans l’intérêt des personnes concernées et donc, en l’espèce, des salariés.
Dès lors que son objet même est de protéger l’intérêt des salariés, on peut légitimement s’interroger sur l’obligation pour l’employeur d’informer ou de consulter le CSE de l’entreprise, dès lors qu’il est en charge d’une mission de protection des intérêts collectifs des salariés, dans le cadre d’une cyberattaque.
Quels sont les moyens mis à disposition du CSE pour enquêter et interroger l’employeur en cas de violation de données personnelles des salariés ?
Comme précédemment indiqué, ni la réglementation sur les données à caractère personnel ni le Code du travail n’imposent à l’employeur aucune obligation d’informer ou de consulter le CSE de l’entreprise dans une telle situation.
Pourtant, une violation massive de données à caractère personnel des salariés de l’entreprise, qui peut être source d’importants préjudices pour ces derniers, est un sujet de préoccupation légitime pour les élus du CSE, dès lors qu’elle concerne la sécurité informatique de l’entreprise et des données détenues par celle-ci.
Toutefois, le comité dispose de moyens juridiques pour permettre qu’une information lui soit délivrée de la part de l’employeur sur ce sujet, mais également pour enquêter sur les causes et les conséquences, pour l’entreprise et ses salariés, d’une telle violation de données.
Ces moyens juridiques peuvent être classés en plusieurs catégories :
A. Les réunions du comité social et économique
En l’absence d’un accord d’entreprise, le CSE se réunit [4] :
L’ordre du jour de chaque réunion du comité est établi par le président et le secrétaire [5], étant considéré que l’employeur, ou son représentant, est de droit président du CSE. Quant au secrétaire, celui-ci est désigné parmi les membres de la délégation du personnel du comité [6].
Ainsi, le secrétaire du CSE, issu de la délégation du personnel, peut demander que la cyberattaque, dont pourrait découler une violation de données personnelles, soit inscrite à l’ordre du jour de la prochaine réunion, et ce, afin d’obtenir de l’employeur des informations sur cette faille de sécurité.
Au demeurant, les élus du CSE peuvent s’emparer du paragraphe II de l’article L. 2315-27 du Code du travail N° Lexbase : L1424LKX qui dispose que : « le comité est en outre réuni à la suite de tout accident ayant entraîné ou ayant pu entraîner des conséquences graves, ainsi qu'en cas d'événement grave lié à l'activité de l'entreprise, ayant porté atteinte ou ayant pu porter atteinte à la santé publique ou à l'environnement ou à la demande motivée de deux de ses membres représentants du personnel, sur les sujets relevant de la santé, de la sécurité ou des conditions de travail ».
Ainsi, deux élus au minimum pourraient motiver une demande de réunion extraordinaire du CSE en raison d’une violation de données à caractère personnel dès lors que cette violation d’une part, peut-être source de préjudices pour les salariés, et d’autre part, en ce que l’existence de cette violation remet en cause la sécurité informatique de l’entreprise.
B. Le droit d’alerte en cas d’atteinte aux droits fondamentaux
Rappelons que le RGPD a pour vocation de protéger « les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel » (RGPD, art. 1.2), mais également le droit des personnes au respect de leur vie privée [7].
À cet égard, le préjudice encouru par le salarié en raison d’une faille de sécurité entraînant une violation des données à caractère personnel des salariés s’entend de toute atteinte potentielle à sa vie privée.
Ce qui pourrait caractériser une atteinte disproportionnée aux libertés fondamentales précitées et justifier ainsi le droit d’alerte fondée sur l’article L. 2312-59 du Code du travail N° Lexbase : L1771LRZ [8].
Concernant ce droit d’alerte, relevons que celui-ci peut être mobilisé à la fois dans les entreprises d’au moins 11 salariés [9] et dans les entreprises de plus de 50 salariés.
Les élus du comité pourraient donc s’emparer de ce moyen pour obtenir des informations de l’employeur et enquêter conjointement avec celui-ci sur cette faille de sécurité, dès lors qu’il est allégué que celle-ci porte atteinte aux libertés et droits fondamentaux des salariés et plus spécifiquement à leur droit à la protection de leurs données à caractère personnel et au respect de leur vie privée.
C. Le droit de présenter des réclamations concernant le respect de la législation en vigueur
Au terme de l’article L. 2312-15 du Code du travail N° Lexbase : L1768LRW, le CSE a comme mission générale de présenter des réclamations individuelles et collectives relatives à l’application du Code du travail ou à d’autres dispositions légales.
Cette mission générale peut être mobilisée par le CSE dans l’hypothèse d’une violation de données à caractère personnel.
En effet, une violation de données à caractère personnel pourrait caractériser un manquement, par l’employeur, aux dispositions du RGPD, et notamment à son obligation générale de sécurité. Dans cette hypothèse, les élus du CSE sont fondés à réclamer le respect de la réglementation RGPD par l’employeur.
Les élus du CSE disposent également de moyens de contrôle et d’enquête, qui peuvent être mobilisés dans l’hypothèse d’une violation de données à caractère personnel.
D. Des moyens de contrôle
Les élus du CSE disposent de deux pouvoirs particuliers pour enquêter sur une faille de sécurité.
Premièrement, les élus du CSE et les délégués syndicaux disposent d’une liberté de circulation dans l’entreprise pour rencontrer les salariés et visiter les locaux [10]. À cette occasion, les élus et délégués syndicaux pourraient souhaiter rencontrer les salariés concernés par la violation de leurs données, ou encore l’auteur du signalement ayant mené à la découverte de la faille de sécurité si celui-ci est un salarié de l’entreprise.
Deuxièmement, le CSE peut également choisir de prendre attache avec le délégué à la protection des données pour le questionner sur la faille de données et ses conséquences.
E. Les moyens d’inspection du CSE
Relevons que le CSE dispose d’un droit à procéder à des inspections en matière de santé, de sécurité et de conditions de travail [11].
Au regard du développement important des outils numériques au sein des entreprises et des risques attachés à un tel développement, par exemple un vol massif de données à caractère personnel des salariés comme dans le cas de la société Adecco, l’on peut considérer qu’une telle violation caractérise une atteinte au droit à la sécurité dont l’employeur est débiteur à l’égard des salariés de son entreprise.
Il découle de ce qui précède que si l’employeur n’a pas l’obligation légale d’informer ou de consulter le CSE en cas de cyberattaque, le CSE a néanmoins le pouvoir de contrôler la manière dont l’employeur gère une cyberattaque et met en œuvre les mesures adéquates pour palier ou limiter les effets négatifs de cette faille sur la vie privée de ses salariés.
Rappelons à cet égard que l’esprit du RGPD est de construire un système collaboratif vertueux dans lequel chacun intervient en fonction de ses compétences pour servir l’intérêt de tous de manière équilibrée. Ainsi que le relève le législateur européen dans son considérant 4, « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité (…) [les] évolutions [technologiques] requièrent un cadre de protection des données solide et plus cohérent dans l'Union, assorti d'une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur ».
En ce sens, il apparaît parfaitement conforme tant à l’esprit même du RGPD que de ce nouveau paradigme économique consistant à remettre l’humain au centre de la stratégie de développement de l’entreprise, que de renforcer la collaboration entre l’employeur et les organes représentatifs des salariés dans le meilleur intérêt de tous.
II. Actualisation (CE, 10e-9e ch. réunies, 21 octobre 2022, n° 459254, publié au recueil Lebon N° Lexbase : A33578QE)
Suite à l’arrêt rendu par la Cour de Justice de l’Union européenne le 22 juin dernier, le Conseil d’État a lui aussi eu à connaître d’un contentieux opposant une ancienne salariée, exerçant les fonctions de déléguée à la protection des données (DPO), à son employeur et relatif à la protection spécifique du délégué à la protection des données contre la rupture des relations de travail.
Dans cette affaire, l’employeur licencia la salariée sur le fondement de défaillances dans l’exercice de ses fonctions en lui reprochant notamment, l’absence de production d’une feuille de route pour la conformité RGPD, des alertes répétées de non-conformité non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société, une absence de disponibilité délibérée ainsi que le non-respect de processus internes à la société.
Puis, la salariée déposa une plainte contre son employeur, auprès de la Commission nationale de l’informatique et des libertés (CNIL), reprochant notamment à celui-ci d’avoir violé les dispositions de l’article 38, § 3 du RGPD N° Lexbase : L0189K8I qui instaurent une protection à l’égard du délégué à la protection des données contre toutes décisions défavorables à son encontre, dès lors que celles-ci sont justifiées par l’exercice des missions de DPO.
En effet, l’article 38, § 3 du RGPD dispose que « le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».
La CNIL décida de clôturer la plainte dirigée contre l’employeur en retenant notamment que l’exigence de protection de l’indépendance fonctionnelle du délégué à la protection des données ne fait pas obstacle à ce que l’employeur puisse reprocher à la déléguée à la protection des données des carences dans l’exercice de ses fonctions, ainsi que le non-respect de règles internes à la société employeuse.
La salariée interjeta devant le Conseil d’État un recours en excès de pouvoir contre la décision du président de la CNIL de clôturer sa plainte dirigée contre son ancien employeur.
Le Conseil d’État devait donc répondre à la question de savoir si un employeur peut légitimement prononcer une décision défavorable, en l’espèce un licenciement, contre une déléguée à la protection des données pour des motifs tirés d’une part, de carences dans l’exercice de ses fonctions, et d’autre part, du non-respect des règles internes à l’entreprise applicables à tous ses salariés.
Le Conseil d’État confirma la décision de CNIL de clôturer l’enquête en retenant, premièrement, que la protection accordée au DPO par les dispositions de l’article 38, § 3 du RGPD, telles qu’éclairées par la Cour de justice de l’Union européenne dans son arrêt du 22 juin 2022 [12], vise « essentiellement à préserver l’indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l’effectivité des dispositions du RGPD. En revanche, ces dispositions ne font pas obstacle au licenciement d’un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD » [13].
Deuxièmement et concernant le motif tiré des manquements aux règles internes de l’entreprise applicables à tous les salariés, le Conseil d’État rappela que les dispositions de l’article 38 du RGPD ne font pas obstacle à ce que le délégué à la protection des données soit sanctionné en cas de non-respect desdites règles « sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD » [14].
Le Conseil d’État aligne donc, en la matière, sa jurisprudence sur celle de la Cour de justice de l’Union européenne issue de l’arrêt « Leistritz AG c/ LH [15] » en retenant que la protection accordée au DPO, contre les décisions défavorables pour un motif tiré de l’exercice de ses fonctions, n’est pas absolue et qu’il est possible de sanctionner un délégué qui n’exécuterait pas ses missions conformément au RGPD ou qui manquerait encore au respect des règles internes de l’entreprise.
[1] J. Giusti, G. Salord et A. Philipponneau, Le délégué à la protection des données n’est pas un salarié protégé, mais est soumis à une protection spécifique dans la rupture de son contrat de travail, Lexbase Social, octobre 2022, n° 919 N° Lexbase : N2814BZA.
[2] C. pén., art. 226-17-1 N° Lexbase : L4523LNT.
[3] RGPD, art. 34 N° Lexbase : L0189K8I.
[4] C. trav., art. L. 2315-28 N° Lexbase : L8339LGX.
[5] C. trav., art. L. 2315-29 N° Lexbase : L8340LGY.
[6] C. trav., art. L. 2315-23 N° Lexbase : L8334LGR.
[7] L’article 1er de la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS dispose que : « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
[8] L’article L. 2312-59 du Code du travail N° Lexbase : L1771LRZ dispose que « si un membre de la délégation du personnel au comité social et économique constate, notamment par l’intermédiaire d’un travailleur, qu’il existe une atteinte aux droits des personnes [...] ou aux libertés individuelles dans l’entreprise qui ne serait pas justifiée par la nature de la tâche à accomplir ni proportionnée au but recherché, il en saisit immédiatement l’employeur. […]
En cas de carence de l’employeur ou de divergence sur la réalité de cette atteinte, et à défaut de solution trouvée avec l’employeur, le salarié, ou le membre de la délégation du personnel au comité social et économique […] saisit le bureau de jugement du conseil de prud’hommes qui statue selon la procédure accélérée au fond.
Le juge peut ordonner toutes mesures propres à faire cesser cette atteinte et assortir sa décision d’une astreinte qui sera liquidée au profit du Trésor ».
[9] C. trav., art. article L. 2312-5, § 3 N° Lexbase : L4409L7G.
[10] C. trav., art. L. 2315-14 N° Lexbase : L8325LGG et L. 2143-20 N° Lexbase : L2212H9S.
[11] C. trav., art. L. 2312-13 N° Lexbase : L8246LGI.
[12] CJUE, 22 juin 2022, aff. C-534/20 N° Lexbase : A168278S. Lire J. Giusti, G. Salord et A. Philipponneau, Le délégué à la protection des données n’est pas un salarié protégé, mais est soumis à une protection spécifique dans la rupture de son contrat de travail, Lexbase Social, octobre 2022, n° 919 N° Lexbase : N2814BZA.
[13] CE, 10e-9e ch. réunies, 21 octobre 2022, n° 459254, publié au recueil Lebon N° Lexbase : A33578QE, considérant 10.
[14] Ibid.
[15] CJUE, 22 juin 2022, précité.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:484332
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.