[Chronique] Chronique de droit du travail et RGPD (janvier - juin 2023)

Mots clés : RGPD • droits fondamentaux • protection des salariés • données à caractère personnel • CNIL • obligation de transparence • traitement des données

Ce second numéro de notre chronique de droit du travail et de droit des données à caractère personnel nous offre l’occasion de faire un éclairage sur deux droits fondamentaux accordés aux salariés en leur qualité de personnes concernées au sens du RGPD : le droit d’être informé des conditions d’utilisation de leurs données personnelles et le droit d’accéder aux données collectées dans le cadre de leur relation de travail.

Concernant l’obligation de transparence, la CNIL a rappelé, dans ses recommandations récentes, qu’il était tout aussi important de s’attacher au contenu de l’information et de veiller à distribuer une information complète, que de s’attacher à la forme de la communication et de veiller à distribuer une information lisible, compréhensible et facilement accessible. Le fond et la forme sont indissociables dans la mise en conformité de l’entreprise. Reste à savoir sous quelles conditions la forme de l’information est jugée adéquate aux exigences du RGPD.

Quant à la Cour de justice de l’Union européenne, celle-ci nous apporte des précisions utiles sur le contenu et l’étendue du droit d’accès de la personne concernée à ses données à caractère personnel, mais également sur les conditions d’octroi du droit à réparation dans l’hypothèse d’un traitement de données à caractère personnel illicite.

I. La mise en pratique de l’obligation de transparence par l’employeur

L’un des enjeux du Règlement général sur la protection des données N° Lexbase : L0189K8I (ci-après « RGPD ») a été de redonner aux personnes concernées dont les données font l’objet d’une collecte et d’un traitement, un pouvoir de contrôler l’utilisation faite de leurs données. Or, pour qu’un tel droit soit effectif, il est nécessaire que tout responsable de traitement communique aux personnes concernées les informations indispensables à l’exercice de leur pouvoir de contrôle. À cet égard, l’article 5 du RGPD met à la charge du responsable du traitement une obligation de transparence aux termes de laquelle il doit fournir à toute personne concernée une information précise, compréhensible, aisément accessible et concise. Les conditions de mise en œuvre de cette obligation sont précisées aux articles 12 à 14 du RGPD.

Au fil de sa jurisprudence et de ses recommandations, la CNIL est venue préciser de manière plus claire le contour de cette obligation et sa mise en pratique, qu’il apparaît important de rappeler ici.

En effet, un employeur, qui collecte de très nombreuses données personnelles sur ses salariés, n’échappe pas à cette obligation. Or, nombre d’entre eux sont tentés de limiter cette obligation à l’insertion dans le contrat de travail d’une clause générale d’information sur le traitement des données à caractère personnel, ce que proposent d’ailleurs de nombreux sites de vulgarisation juridique dans leurs modèles de contrat de travail.

Pourtant, cette pratique doit être proscrite puisqu’elle ne permet pas à elle seule de remplir l’obligation générale de transparence de l’employeur à l’égard de ses salariés, en tant que personnes concernées au sens du RGPD. En effet, le contrat de travail ne semble pas être l’instrument juridique adéquat pour remplir cette obligation de transparence. Il est donc important de préciser ce que signifie juridiquement et opérationnellement cette obligation de transparence.

Quel est le périmètre de l’obligation d’information ?

L’obligation de transparence est définie sommairement à l’article 12 du RGPD, reprenant ainsi les termes du considérant 39 venant préciser le sens et l’effet de ce principe dans le cadre du traitement des données :

« Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement ».

Le Comité européen de la protection des données (ci-après CEPD) rappelle quant à lui que : « La transparence est une obligation globale au sens du RGPD qui s’applique à trois domaines centraux :

• la communication aux personnes concernées d’informations relatives au traitement équitable de leurs données ;
• la façon dont les responsables du traitement communiquent avec les personnes concernées leurs droits au titre du RGPD ;
• la façon dont les responsables du traitement facilitent l’exercice par les personnes concernées de leurs droits » [1].

En synthèse, cette obligation de transparence impose à l’employeur de communiquer aux salariés de l’entreprise une information devant, d’une part, être exhaustive quant à l’existence, au nombre et à la finalité des traitements des données qu’il exploite et, d’autre part, être concise, compréhensible et facilement accessible sur la forme.

Les deux aspects de l’obligation de transparence sont tout aussi importants l’un que l’autre, comme le rappelle d’ailleurs le CEPD : « Les exigences pratiques (informations) sont exposées aux articles 12 à 14 du RGPD. Cependant, la qualité, l’accessibilité et l’intelligibilité des informations sont aussi importantes que le contenu réel des informations en matière de transparence devant être fournies aux personnes concernées » [2]. 

Le contenu de l’obligation de transparence ne pose pas de difficultés, dès lors que les informations qui doivent obligatoirement être communiquées aux salariés sont clairement listées aux articles 12 à 14 du RGPD. Cependant, il apparaît en pratique que la forme de cette information est bien trop souvent négligée, et mérite que l’on s’attarde dessus. Or, comme précédemment indiqué, le fait de délivrer une information dans des termes ou sous une forme que ne permet pas de répondre à l’exigence de qualité, d’accessibilité et d’intelligibilité exigée par les textes, constitue en soit un manquement au RGPD, passible de sanction.

Ainsi, la CNIL a notamment lourdement sanctionné la société Critéo, par une décision du 15 juin 2023 [3], lui infligeant une amende de 40 millions d’euros pour divers manquements, dont un manquement à l’obligation d’information et de transparence. La CNIL a, en l’espèce, estimé que la politique de confidentialité de la société n’était pas complète, dès lors qu’elle ne comportait pas l’ensemble des finalités poursuivies par le traitement et que certaines finalités étaient exprimées dans des termes vagues et larges qui ne permettaient pas à l’utilisateur de comprendre précisément quelles données personnelles étaient utilisées et pour quels objectifs, rappelant ainsi l’obligation d’utiliser des termes simples et compréhensibles.

Une telle sanction se justifie dans la mesure où l’ambiguïté de l’information délivrée a pour effet de vider l’obligation de transparence de son sens en faisant de fait obstacle à l’exercice de ses droits de contrôle par la personne concernée. Si la personne ne détient pas l’information nécessaire lui permettant de penser que le traitement de ses données n’est pas réalisé de manière loyale, elle ne pourra pas exercer de manière effective son pouvoir de contrôle. L’ambiguïté confine ici à la dissimulation.

Il est donc essentiel de veiller à délivrer à ses salariés une information complète, sans erreur, et répondant aux exigences de clarté, d’accessibilité et d’intelligibilité précitées.

En pratique, comment délivrer cette information ?

L’article 12 du RGPD précise que cette information doit être présentée « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […] ». Le CEPD définit ces termes de la manière suivante :

1. « Concise et transparente » signifie que les responsables du traitement devraient présenter les informations/communications de façon efficace et succincte afin d’éviter de noyer d’informations les personnes concernées. Ces informations devraient être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale » [4] ;

Ainsi la première recommandation est d’établir un document portant spécifiquement sur cette information. Il en découle notamment que les informations ne sauraient valablement être mentionnées dans une clause du contrat de travail ou du règlement intérieur de l’entreprise, au risque de se voir sanctionner pour avoir « noyé » l’information au milieu d’autres mesures contractuelles n’ayant pas de rapport avec celle-ci et de compromettre ainsi la qualité de l’information.

La pratique est donc désormais de communiquer aux salariés un document autonome détaché du contrat de travail ou du règlement intérieur, appelé selon les cas « charte de confidentialité » ou « politique de protection des données », portant strictement sur la délivrance de l’information relative au traitement des données du salarié ou du candidat à un emploi.

Ce document ne doit pas non plus être trop long. Une longueur excessive aurait également pour conséquence de priver l’information d’effectivité. Il convient d’aller à l’essentiel et d’expurger le texte de toute précision ou mention inutile à la bonne compréhension de l’information fournie. Notamment, la copie des textes de loi dans leur intégralité est à prohiber.

La CNIL rappelle enfin dans ses recommandations qu’une bonne information est une information efficace et succincte, consistant à amener les informations les plus pertinentes au bon moment. De ce fait, plus l’information à communiquer est riche et complexe, plus il importe de mettre en place plusieurs niveaux d’information permettant, d’une part, de disséminer l’information dans un premier niveau d’information au fil du temps en fonction du besoin et du moment opportun et contenant l’information strictement essentielle et, d’autre part, de centraliser l’ensemble des informations dans un document unique qui constitue un second niveau d’information, contenant des informations plus détaillées par exemple.

En effet, la mise à disposition de l’ensemble des informations en un seul bloc ne permet pas d’atteindre efficacement l’objectif de lisibilité. De ce fait, et dans le cadre d’une information à plusieurs niveaux, il convient de prioriser l’information la plus utile dans un premier niveau d’information, et de la compléter dans un second niveau d’informations. La CNIL a pu rappeler à cet égard que « prioriser ne signifie pas transmettre une information incomplète aux personnes concernées : il s’agit de mettre en avant les informations essentielles et d’offrir un accès simple et immédiat aux autres informations ».

Ainsi, le CEPD recommande « que l’intégralité des informations adressées aux personnes concernées soit également consultable à un endroit unique ou dans un même document (sous forme numérique sur un site internet ou au format papier) qui serait aisément accessible dans le cas où elles souhaiteraient consulter l’intégralité des informations » [5].

En d’autres termes, il est essentiel pour remplir son obligation de transparence, de travailler l’ergonomie des documents d’information et d’utiliser toutes les techniques de legal design permettant de rendre les documents le plus lisible possible (liens cliquables, menus dépliants, push notice, multi-supports, etc.).

2. « L’exigence que ces informations soient « compréhensibles » signifie qu’elles devraient pouvoir être comprises par la majorité du public visé. La compréhensibilité est étroitement liée à l’exigence d’utiliser des termes clairs et simples » [6] ;

Notamment, il découle de cette exigence que la communication doit être adaptée au public visé. L’information délivrée à des enfants, des personnes en situation de handicap ou des professionnels ne saurait en effet être faite de la même manière. S’agissant de l’information faite aux salariés, il convient donc également d’adapter la manière de délivrer l’information en fonction de la qualification et des aptitudes des personnels concernés et ce d’autant plus que d’un point de vue juridique, le salarié est considéré comme une personne vulnérable compte tenu de sa relation de subordination au responsable du traitement.

À titre d’illustration, si l’entreprise emploie des personnels étrangers maîtrisant mal la langue française, l’obligation de délivrer une information compréhensible implique de fournir à ces personnels une information dans une langue qu’ils comprennent.

3. « L’exigence de termes clairs et simples signifie que les informations devraient être fournies de la façon la plus simple possible, en évitant des phrases et des structures linguistiques complexes. Les informations devraient être concrètes et fiables, elles ne devraient pas être formulées dans des termes abstraits ou ambigus ni laisser de place à différentes interprétations. Plus particulièrement, les finalités et fondements juridiques du traitement des données à caractère personnel devraient être clairs » [7].

Il conviendra donc d’utiliser un vocabulaire adapté au public visé, de faire des phrases courtes et d’utiliser un style direct, en évitant les termes juridiques et techniques, complexes, abstraits ou ambigus.

À cet égard, la CNIL propose aux entreprises, sur son site internet, un glossaire de termes simplifiés en lieu et place des termes légaux relatifs à la protection des données à caractère personnel afin d’améliorer la lisibilité des documents d’information des personnes [8].

4. « Le critère « aisément accessible » signifie que la personne concernée ne devrait pas avoir à rechercher les informations, mais devrait pouvoir tout de suite y accéder […] » [9].

Encore une fois l’effectivité du pouvoir de contrôle conféré à la personne concernée implique que lesdites personnes ne doivent pas avoir à chercher l’information. À cet égard, l’obligation de transparence implique pour l’employeur de mettre en place toutes mesures propres à garantir un accès simplifié et immédiat à l’information. La CNIL a notamment rappelé que plus un traitement est complexe ou intrusif, ce qui est le cas des traitements en matière de ressources humaines, plus la transparence doit être garantie par des dispositifs efficaces.

Les articles 13 et 14 du RGPD imposent à l’employeur de « prendre des mesures concrètes pour fournir les informations en question à la personne concernée ou pour diriger activement la personne concernée vers l’emplacement desdites informations » [10].

Ainsi, l’employeur doit mettre l’information à disposition du salarié et lui permettre d’y accéder à tout moment pendant toute la durée de la relation de travail, de manière simple. L’information peut se faire de plusieurs manières cumulatives : par distribution d’une politique de confidentialité à l’entrée dans l’entreprise, sur les panneaux d’affichage de l’entreprise, à côté des conventions et accords collectifs, ou sur une page d’accueil de l’intranet interne, par envoi d’emails. Il est en tout état de cause conseillé de favoriser un moyen permettant de garantir que chaque salarié a eu connaissance de la politique de confidentialité de l’entreprise (à cet égard, la remise de la politique avec le pack de bienvenue du salarié paraît la technique la plus appropriée) et que chacun peut continuer d’y accéder facilement sans avoir besoin de la redemander au service des ressources humaines.

Il pourrait être tentant d’annexer la politique de confidentialité au contrat de travail ou au règlement intérieur, afin de la rendre opposable aux salariés et pour l’employeur, de se former facilement la preuve de la communication de la politique à tous ses salariés.

Pourtant cette pratique n’apparaît pas pertinente et présente plusieurs inconvénients. En premier lieu, il convient de rappeler que la politique de confidentialité n’est pas un document contractuel : il n’est pas nécessaire de la rendre opposable aux salariés. Il s’agit d’un document d’information à destination des salariés, qui ne fait naître aucun droit ni aucune obligation à leur égard, mais les informe sur la réalité des traitements réalisés par l’employeur et leur rappelle leurs droits de contrôle.

Or, contractualiser cette information pourrait faire naître dans l’esprit du salarié une fausse croyance selon laquelle son accord serait nécessaire pour que l’employeur puisse mettre en œuvre les traitements de données personnelles des salariés, ce qui est parfaitement faux. Un grand nombre de traitements réalisés pour des finalités de ressources humaines ont pour base légale une obligation légale ou l’exécution de mesures contractuelles. Le salarié ne peut pas s’opposer à ces traitements.

La CNIL a rappelé à de nombreuses reprises qu’il était essentiel de ne pas confondre entre elles les différentes bases légales et notamment de ne pas confondre les traitements réalisés sur la base du consentement, qui impliquent que la personne concernée peut refuser ou retirer son consentement sans préjudice dans la fourniture des services, et les traitements réalisés sur la base de mesures contractuelles, qui impliquent que le traitement des données soit nécessaire à la réalisation du contrat et donc que le traitement s’impose à la personne concernée. Dans le champ des relations de travail, le salarié consent à travailler avec l’employeur en signant son contrat de travail, mais ne consent pas à la réalisation des traitements qui en découleront et qui s’imposent à lui.

Or, la CNIL a, à de nombreuses reprises, sanctionné des entreprises qui avaient faussement laissé croire aux personnes concernées que leur consentement était requis pour traiter leurs données alors que tel n’était pas le cas. Il est donc vivement déconseillé d’introduire une telle ambiguïté en annexant la politique de confidentialité au contrat de travail. Il est préférable, comme précédemment indiqué, de la mettre à disposition dans un pack de bienvenue par exemple, contre signature si nécessaire, afin de se constituer la preuve de la mise à disposition de la politique de confidentialité.

En second lieu, la politique de confidentialité est un document vivant, qui doit pouvoir évoluer facilement et être mis à jour régulièrement. Il est donc préférable de bénéficier d’une grande flexibilité pour modifier sa politique de confidentialité. À cet égard, il convient d’éviter d’annexer la politique de confidentialité au règlement intérieur, dont la moindre modification nécessite le suivi d’une procédure relativement lourde. Il convient également, outre ce qui a été précédemment indiqué, d’éviter de l’annexer au contrat de travail, pour ne pas avoir à rédiger un avenant à chaque fois que la politique de confidentialité évolue.

En effet, la politique de confidentialité devra être modifiée à chaque création ou modification d’un traitement pour lequel les données à caractère personnel ont été initialement obtenues [11].

En conclusion, l’obligation de transparence nécessite une grande vigilance et implique pour les directions de ressources humaines de déterminer les pratiques opérationnelles les plus adaptées aux spécificités de l’entreprise afin de garantir une information claire, complète, compréhensible et aisément accessible.

Cette information, encore trop souvent négligée et réduite à une simple clause dans les contrats de travail, est pourtant essentielle. Outre le fait qu’elle découle de l’un des principes fondamentaux du RGPD, il convient de souligner qu’il s’agit également des seuls documents mis à disposition du salarié détaillant la politique de protection des données de l’entreprise. Or, il ne faut pas négliger le fait que de plus en plus de salariés et anciens salariés, syndicats ou autres représentants du personnel, mécontents de leurs relations avec l’employeur, forment de plus en plus de réclamations auprès de la CNIL pour dénoncer des comportements non conformes, qu'ils soient avérés ou présumés. Sous cet éclairage, la documentation d’information apparaît pour l’employeur comme la partie émergée de l’iceberg, donnant aux salariés les indices de sa conformité. On ne saurait que trop conseiller aux entreprises de veiller d’autant plus à être irréprochables sur la mise en pratique de leur obligation de transparence.

II. Précisions utiles sur le droit de communication et sur les conditions du droit à réparation en cas de traitement de données personnelles en violation du RGPD 

Le 4 mai 2023, la Cour de justice de l’Union européenne a rendu deux arrêts intéressants deux droits conférés par le RGPD à la personne concernée par un traitement de données à caractère personnel.

La première affaire [12] a été l’occasion pour la CJUE d’apporter des précisions sur le contenu et l’étendue du droit d’accès de la personne concernée à ses données à caractère personnel, collectées et traitées par un responsable de traitement.

En effet, en application de l’article 15, § 3 du RGPD : « le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement […] ».

Dans ce litige, une personne avait sollicité et obtenu, de la part du responsable de traitement, une copie de ses données qui était présentée sous la forme d’un tableau synthétique. Le requérant contestait cette communication en estimant être bien fondé à réclamer une copie intégrale et non une copie sous une forme synthétique.

Il était donc demandé à la CJUE de bien vouloir donner son interprétation quant à la notion de « copie » au sens de l’article 15, § 3.

La CJUE estime qu’un responsable de traitement doit fournir à la personne concernée qui le demande « une reproduction fidèle et intelligible de l’ensemble de ces données », ce qui implique que cette personne soit destinatrice, le cas échéant, de la « copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui » [13].

En somme, le responsable de traitement doit fournir à la personne concernée qui le demande toutes les données à caractère personnel qu’il détient sur celle-ci sans pouvoir réduire cette communication à une synthèse des données traitées. Cette obligation de communication peut se traduire par l’obligation de transmettre à la personne concernée tout ou partie de documents internes dès lors que ceux-ci contiennent des données à caractère personnel sur la personne concernée.  

La seule limite à cette communication intégrale concerne l’éventualité d’une atteinte aux droits et libertés d’autrui telle que, par exemple, une violation du secret des affaires, de la propriété intellectuelle ou encore du secret des correspondances. Mais dans cette hypothèse, il appartient au responsable de traitement d’opérer une mise en balance entre les droits et libertés en question, par exemple, en caviardant les parties du document dont la communication emporterait violation auxdits droits et libertés d’autrui. En tout état de cause, relevons que le risque d’atteinte aux droits et libertés d’autrui ne saurait être un motif permettant, au responsable de traitement, de refuser à la personne concernée le droit d’obtenir une copie de ses données [14].

Dans la deuxième affaire [15], la CJUE a apporté des précisions quant aux conditions d’octroi du droit à réparation dans l’hypothèse d’une violation, par un responsable de traitement, des règles issues du RGPD.

Dans les faits, ce litige opposait un usager à une entreprise postale autrichienne qui collectait des informations sur les affinités politiques de la population et, avec l’aide d’un algorithme, définissait des « adresses de groupes cibles » qu’elle revendait ensuite à des organisations politiques pour leur permettre de procéder à des envois de publicité ciblée.

Cet usager avait saisi une juridiction afin, d’une part, qu’elle ordonne à cette société de mettre un terme à ce traitement de données et, d’autre part, qu’elle condamne la société à lui verser la somme de 1 000 euros en réparation de son préjudice moral constitué, selon lui, par le fait que l’affinité politique qui lui avait été attribuée était insultante, honteuse et diffamante et, qu’au demeurant, elle avait suscité une grave contrariété, une perte de confiance et un sentiment d’humiliation.

En première instance et en appel, le requérant avait obtenu des magistrats la cessation du traitement, mais avait été débouté de sa demande d’indemnisation au titre de son préjudice moral. Puis l’affaire avait été portée devant la Cour suprême autrichienne qui avait décidé de surseoir à statuer et de poser à la CJUE plusieurs questions préjudicielles, dont celle de savoir si la simple violation des dispositions du RGPD ouvrait droit à réparation, qu’elle ait causé ou non un dommage.

À cette question, la CJUE juge que la simple violation des dispositions du RGPD ne suffit pas à conférer, à elle seule, un droit à réparation et, partant, qu’il est nécessaire pour le demandeur de rapporter la preuve de trois conditions cumulatives à savoir un traitement de données à caractère personnel effectué en violation des dispositions du RGPD, un préjudice matériel ou moral résultant de cette violation et un lien de causalité entre ce préjudice et cette violation.

Cette solution paraît conforme à la lettre de l’article 82 du RGPD qui précise les conditions d’octroi du droit à réparation [16] en recourant au triptyque classique de la responsabilité civile. En l’absence de préjudice identifiable, la seule voie de recours de la personne concernée par le traitement de données sera la saisine de l’autorité administrative, à savoir la CNIL.

Néanmoins, la solution retenue par la CJUE est critiquable car en exigeant du demandeur que celui-ci rapporte la preuve de son entier préjudice matériel ou moral, sans aucun aménagement probatoire, elle affaiblit la fonction normative (préventive, prescriptive et sanctionnatrice) des dispositions du RGPD en conditionnant, de facto, la saisine des juridictions aux cas les plus graves.

En effet, l’avocat général de la CJUE relève, dans ses conclusions, que ce droit à réparation, alors même qu’il existait déjà dans la réglementation précédente [17] a « été peu exercé […] », à tel point que la Cour n’a pas eu l’occasion d’interpréter spécifiquement les dispositions relatives à ce droit à indemnisation [18].

Reste à savoir comment la Chambre sociale de la Cour de cassation pourrait s’emparer de cette décision dans le cas d’un litige opposant un salarié et un employeur concernant un traitement de données personnelles illégal et ce notamment au regard de sa jurisprudence relative au préjudice nécessaire, certes fluctuante, mais toujours existante.

Par exemple, le fichage des salariés de l’entreprise en raison de leurs opinions syndicales et politiques, ce qui rappelons-le, caractérise un traitement de données à caractère personnel interdit aux termes de l’article 9 du RGPD [19], ne caractérise-t-elle pas une atteinte à la vie privée du salarié ouvrant droit à réparation, indépendante de la preuve ou de l’existence d’un préjudice [20] ?

© Reproduction interdite, sauf autorisation écrite préalable