DRH et RGPD : comment informer loyalement les salariés des traitements de données mis en œuvre ?

DRH et RGPD : comment informer loyalement les salariés des traitements de données mis en œuvre ?
⏱ Lecture 3 min

Par Stéphane Astier

DRH, quelles actions mettre en place pour remplir l'obligation d'information des salariés ?

Dans un arrêt du 13 juin 2018, la Cour de Cassation a rappelé les obligations imposées aux employeurs lors de la mise en place de traitement de données à caractère personnel concernant leurs salariés.

Plus précisément, les juges ont été invités à se prononcer sur la nature de l’information qui doit être donnée aux salariés par l’employeur afin que ce dernier puisse justifier du respect de ses obligations légales et réglementaires.

A l’heure où toutes les Directions des Ressources Humaines s’interrogent sur les modalités pratiques de mise en conformité de leur traitement au Règlement Général Européen sur la Protection des Données (RGPD), cet arrêt arrive à point nommé pour clarifier l’un de ces aspects, à savoir ce que l’on entend par « information loyale ».

  Téléchargez notre livre blanc RGPD et Secteur privé  

La société AIR France a mis en place en 2005 un outil informatique permettant la transmission d’informations entre les personnels naviguant techniques et leurs managers, cet outil intégrant des informations relatives à l’activité journalière et aux évènements notables liés à l’exploitation de la flotte ainsi qu’un dispositif de gestion des plannings des pilotes.

Après une première plainte auprès de la CNIL ayant donné lieu à plusieurs préconisations suivies par AIR France, une procédure a été engagée par un syndicat devant le juge des référés afin qu’il soit enjoint à AIR France de cesser l’utilisation de cet outil. L’argument soulevé était principalement le détournement de finalité de l’outil par AIR France.

Débouté par le Tribunal et par la Cour d’appel, le Syndicat a saisi la Cour de Cassation qui profite de cette occasion pour clarifier plusieurs points importants : 

1. Quelles règles de droits ?

Il convient tout d’abord de rappeler qu’en application de la loi n°78-17 du 6 janvier 1978 modifiée dite loi « informatique et libertés » et du Règlement Général Européen pour la protection des données du 27 avril 2016 entré en vigueur le 25 mai dernier, les données collectées sur les salariés par l’employeur ne peuvent être utilisées à d’autres fins que celles figurant au sein du registre d’activité des traitements (qui remplace les anciennes déclarations effectuées auprès de la CNIL).

A cette exigence, est associée une obligation d’information loyale des salariés concernant lesdits traitements, information qui doit notamment comporter les caractéristiques principales du traitement (finalité, catégories de données collectées, durée de conservation, personnes destinataires, éventuellement mesures de sécurité) mais également les différents droits dont dispose chaque salarié concernant ledit traitement (Cf. notamment droit d’accès, de rectification, d’opposition, de portabilité, droit à l’oubli).

Il convient également de tenir compte d’une disposition spécifique du Code de travail qui prévoit en son article L.1222-4, qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été préalablement porté à sa connaissance (obligation de transparence). 

2. Que nous dit la Cour de Cassation ?

Dans sa décision du 13 juin 2018, la Cour de Cassation considère que les réponses des juges du fond étaient suffisantes pour justifier l’intérêt et la légitimité de l’outil mis en place par Air France.

L’intérêt principal de cet arrêt réside dans l’appréciation de la nature de l’information donnée aux salariés et plus précisément de modalités de respect du principe général de loyauté.

Les juges ont en effet considéré qu’une information globale du groupe de personnes concernées pouvait être mis en œuvre et qu’il n’était pas nécessaire de mettre en place une information individuelle et systématique. Dans cette affaire, la Cour de Cassation valide donc le procédé consistant à donner l’information aux pilotes à la date de création de l’outil par le biais d’un mémo circularisé sous forme papier et disponible de manière constante sur l’intranet. La loyauté est ici caractérisée par le fait que les personnes concernées (les salariés) bénéficiaient d’un accès à l’information et d’un droit de rectification : les pilotes pouvaient en effet accéder à tout moment à l’outil pour y ajouter leurs commentaires.

Une information globale unique est donc possible sans qu’il soit nécessaire de réitérer celle-ci à chaque collecte.

3. Quelles conclusions en tirer au niveau d’une Direction des Ressources Humaines (DRH) ?

La reconnaissance de la possibilité de procéder à une information globale des salariés permet aux DRH de faciliter le traitement administratif de leur mise en conformité à la réglementation informatique et libertés.

Découvrez grâce à notre infographie les principales mesures à prendre sont les suivantes :

DRH  Comment remplir l’obligation d’information

L'infographie ne s'affiche pas ou mal ? Voici les 5 principales mesures :

  • Réaliser la cartographie globale des traitements de données à caractère personnel
  • Etablir le Registre d'activité des traitements et contrôler leur conformité avec soutien du Délégué à la protection des Données (DPO)
  • Identifier les traitements concernant les salariés et les regrouper au sein d'une Charte "RH" présentant les principales caractéristiques des traitements
  • Diffuser cette Charte RH sur l'intranet + dans les dossiers d'accueil des nouveaux salariés + via notification
  • Procéder à une consolidation du contrat de travail par voie d'avenant 

*

* *

Vous souhaitez en savoir plus sur le RGPD ? Découvrez nos livres blancs sur le sujet.

*

HAAS avocats a reçu de la CNIL trois labels : deux de formation et un en audit de traitement. Le cabinet accompagne depuis plus de 20 ans ses clients dans la mise en conformité de leurs traitements à la réglementation « informatique et libertés ». DPO externalisé ; audit, cartographie des traitements, réalisation/consolidation des Chartes « RH » et Charte Utilisateurs des Systèmes d’informations, etc. sont autant d’exemples de missions menées au quotidien auprès de PME, de grands comptes comme d’entités publiques.

N’hésitez pas à nous contacter pour tout renseignement complémentaire en cliquant ici.

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin