La protection des données au travail, un enjeu syndical et de négociation collective

C’est une chose que l’on oublie souvent, mais les employés au travail disposent encore de leur droit à la vie privée et au contrôle de l’usage de leurs données. Cette dimension de la protection des données personnelles fait moins parler d’elle que celle des internautes face aux GAFAM, mais pourtant entre 5 et 20% des plaintes adressées à la CNIL chaque année concernent les relations entre employés et employeurs, notamment à propos du droit d’accès aux données.

Cette semaine, j’étais invité à l’événement de lancement d’une Charte éthique et numérique RH, proposée par le syndicat CFE-CGC et le Lab RH. Ce document vise à accompagner l’entrée en vigueur du Règlement Général de Protection des Données (RGPD), en listant une série de bonnes pratiques en matière de numérique appliqué aux ressources humaines. La Charte s’attache notamment à formuler des principes à respecter lors de la mise en oeuvre de technologies comme le Big Data, les traitements algorithmiques ou même l’intelligence artificielle, qui sont de plus en plus employés dans les phases de recrutement ou la gestion des ressources humaines.

L’un des points les plus intéressants de ce texte constitue à mon sens le renvoi qu’il fait à l’article 88 du RGPD :

Incité par le Règlement Général de Protection des Données et son article 88 offrant la possibilité de porter ce sujet au sein de conventions collectives, cette charte constitue pour ses adhérents un outil méthodologique de facilitation de mise en conformité de leurs obligations.

Cet article concerne le « traitement des données dans les relations de travail » et il prévoit en particulier une articulation possible entre le RGPD et des conventions collectives qui viendraient préciser les garanties apportées au respect des droits des travailleurs :

Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail.

Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.

Cet aspect assez méconnu du RGPD me paraît important dans la mesure où il peut faire de la protection des données des travailleurs un enjeu de négociation syndicale et de démocratie sociale, envisagé d’emblée avec une dimension collective. Cela rejoint l’idée d’un droit social des données et d’une protection sociale des données, mais envisagés sous l’angle de la sphère professionnelle.

Les organisateurs de l’événement autour du lancement de la Charte m’avait demandé de faire une intervention autour de la question : « Quel rôle pour le consentement dans la protection des données des employés ? ». Je colle ci-dessous les éléments dont j’avais prévu de parler et que je n’ai pas eu le temps de détailler dans leur intégralité lors de la soirée.

Quel rôle pour le consentement dans la protection des données des employés ?

La notion de consentement est parfois considérée comme le « coeur névralgique » du RGPD, car même si le texte n’en fait pas un principe général, il constitue néanmoins le moyen principal donné à l’individu pour contrôler l’usage de ses données par des tiers. Le RGPD prévoie même un « super-consentement » qui doit être » libre, spécifique, éclairée et univoque ».

Une grande partie de la capacité du RGPD à offrir aux personnes des droits effectifs de contrôle sur les données tiendra à la portée qui sera conférée par la jurisprudence à ces conditions de validité du consentement. On constate d’ailleurs que la plupart de la trentaine d’actions de groupe qui ont été lancées en Europe suite à l’entrée en vigueur en mai du RGPD se basent sur la violation de la liberté du consentement, notamment lorsque des acteurs comme les GAFAM manœuvrent pour arracher à leurs utilisateurs un consentement forcé à travers l’exercice d’un « chantage au service ».

Mais paradoxalement, si le respect du consentement est appelé à jouer un rôle central dans la protection des internautes, ce ne sera pas le cas pour les employés en situation de travail. La raison en est assez logique : l’employé est lié à l’employeur par une relation de subordination qui fait que par construction, le consentement ne peut pas être considéré comme « libre » en raison du déséquilibre des forces en présence. Le RGPD contient notamment un considérant 43 assez explicite quant à l’incompatibilité entre liberté du consentement et subordination :

Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement […]

Même si cela peut paraître contre-intuitif, c’est bien pour protéger les personnes que l’on interdit à l’employeur de s’appuyer sur le consentement des employés comme fondement pour traiter leurs données, car cela permet d’éviter que le consentement ne soit retournée contre l’individu pour le faire participer à l’affaiblissement de ses propres droits. En matière de ressources humaines, le consentement devra néanmoins parfois être recueilli, notamment pour traiter les données de candidats postulant sur un poste, mais c’est précisément parce que dans ce cas, le lien de subordination ne s’est pas encore noué avec l’employeur.

Du coup, le traitement des données des employés devra s’appuyer sur d’autres fondements que le RGPD prévoit comme bases légales aux traitements. La première d’entre elles concerne les traitements nécessaires à l’exécution d’un contrat, ici en l’occurrence le contrat de travail (on peut songer au traitement des données bancaires du salarié, nécessaire pour lui verser sa paie). Mais il ne s’agit pas néanmoins d’un blanc-seing donné à l’employeur, en vertu notamment des principes de limitation des finalités et de minimisation des données, qui impliqueront de retenir une interprétation restrictive de « ce qui est nécessaire à l’exécution du contrat ». L’employeur pourra aussi s’appuyer sur certaines obligations légales, qui lui imposent, en matière fiscale ou sociale, de traiter certaines des données des employés (numéro de sécurité sociale, par exemple).

Mais il y a fort à parier que ce soit la notion « d’intérêt légitime de l’entreprise » qui joue un rôle clé dans les relations entre les employés et les employeurs. Celle-ci a déjà fait couler beaucoup d’encre, car il s’agit d’une des « zones grises » les plus problématiques du RGPD. Le texte prévoit en effet qu’une entreprise puisse invoquer un de ses intérêts légitimes pour traiter des données sans le consentement des personnes concernées. Le réglement ne définit pas vraiment ce concept, mais il en donne quelques exemples comme la sécurisation des systèmes d’information ou le transfert des données entre les entités d’un même groupe. Mais pour l’essentiel, la signification de ce qui peut constituer l’intérêt légitime d’une entreprise à traiter des données reste encore à déterminer par la pratique.

Le règlement fixe néanmoins des gardes-fous en prévoyant que l’intérêt légitime est invocable, à moins que « les intérêts ou les libertés et droits fondamentaux de la personne ne prévalent compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable de traitement« . Or cette idée d’un équilibre à trouver entre les intérêts de l’entreprise et les droits fondamentaux des personnes est intéressante, car elle reconnecte l’enjeu de la protection des données à ce qui constitue la justification traditionnelle de l’existence du droit du travail, et plus largement du droit social. Le Code du Travail contient déjà en effet un article 1121-1 qui pose un principe général d’interdiction de prendre des mesures restreignant les droits et libertés des personnes qui ne seraient pas justifiées ni proportionnées par rapport à l’objectif poursuivi.

Cette référence à l’impératif de respect des droits et libertés est cruciale et un exemple concret permettra d’en mieux saisir l’importance. On a appris récemment qu’en Chine, un certain nombre d’entreprises commençaient à déployer des techniques « d’affectice computing » sous la forme de casques dotés de capteurs cérébraux permettant de surveiller les émotions des salariés : le stress, la colère, la fatigue, etc. Les firmes qui ont recours à ces technologies disent le faire au nom de la productivité ou pour améliorer la sécurité au travail, ce qui pourrait correspondre à ce que le RGPD appelle des « intérêts légitimes ». En Chine, les employés n’ont visiblement pas pu s’opposer au déploiement de ces méthodes de contrôle terriblement intrusives et un article de Slate rapporte même ce témoignage glaçant d’un manager chinois à propos des réactions des travailleurs :

Ils pensaient que l’on voulait lire leurs pensées. Certains étaient mal à l’aise et il y a eu de la résistance au début.

En Europe, la résistance à ces procédés pourraient s’appuyer sur le RGPD et faire obstacle à l’invocation de l’intérêt légitime de l’entreprise pour atteinte disproportionnée à des libertés et droits fondamentaux. Sachant que si l’arrivée des casques détectant les émotions paraît encore improbable, d’autres signes assez inquiétants commencent à poindre, comme ce dépôt de brevet d’Amazon sur un bracelet connecté destiné à enregistrer en permanence les mouvements des mains des employés de ses entrepôts…

La notion d’intérêt légitime va plus généralement jouer un rôle important pour ce qui concerne l’introduction des technologies les plus « innovantes » dans le secteur des ressources humaines, comme le Big Data, les traitements algorithmiques ou l’intelligence artificielle. Ces méthodes relèvent de ce que le RGPD appelle le « profilage » et pour lequel il prévoit des précautions particulières : « toute forme de traitement automatisé de données […] pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail ».

Il y a peu de chances que de tels traitements puissent être considérés comme « nécessaires à l’exécution du contrat de travail », dont on a vu qu’il faudra garder une interprétation restrictive. Cela signifie que les entreprises qui voudront déployer ces technologies vis-à-vis de leurs salariés devront le faire sur la base de leur « intérêt légitime », ce qui peut s’avérer pour elles assez inconfortable, car elles devront veiller à ne pas porter atteinte aux libertés et droits fondamentaux des personnes, sous peine de s’exposer aux redoutables sanctions du RGPD qui, depuis les réformes récentes du Code du travail, sont largement plus intimidantes que les dommages et intérêts pouvant être obtenus aux Prud’hommes !

Et c’est là que le renvoi de la Charte éthique et numérique RH à l’article 88 du RGPD pourrait prendre tout son potentiel, en ouvrant la voie à ce que certaines notions du Règlement fassent l’objet d’une déclinaison sectorielle par le biais de conventions collectives. cela signifie que l’enjeu de la détermination de ce que sont les intérêts légitimes des entreprises en matière de traitement de données ne devrait pas être défini unilatéralement par les employeurs. Cela peut au contraire devenir un enjeu de négociation collective et de démocratie sociale, ce qui serait parfaitement logique étant donné qu’il est question de protection des droits et de la dignité des personnes. Ce serait même renouer avec les grands principes fondateurs du droit du travail, comme le principe de faveur et la hiérarchie des normes, qui ont reçu des coups très rudes avec la loi El Khomri et les ordonnances Macron, mais qui pourraient retrouver tout leur sens en matière de protection des données des employés : les normes inférieures – en l’occurrence les conventions collectives – viendraient en la matière ajouter des garanties supplémentaires des droits par rapport au socle légal que constitue le RGPD.

C’est pourquoi il paraît essentiel que la protection des données devienne un enjeu syndical, notamment pour venir compenser le déséquilibre des forces en présence en ne laissant pas les salariés isolés face aux employeurs pour défendre leur vie privée. C’est dire en somme que l’intérêt légitime de l’entreprise ne sera vraiment « légitime » que s’il est collectivement discuté selon les principes de la démocratie sociale. De ce point ce vue, cette Charte éthique et numérique RH peut constituer un élément précieux pour aider à l’émergence d’un « droit social des données » dont le RGPD peut favoriser l’avènement, à condition que les syndicats s’emparent de cet enjeu.

Ces questions dépassent même en un sens la seule sphère de la protection des données au travail et pourraient avoir une incidence plus large. Pour le comprendre, on peut citer le juriste Alain Supiot, professeur au Collège de France, notamment un passage de son livre Homo Juridicus, paru en 2005. Il y consacre un chapitre aux rapport entre le droit et la technique, en faisant valoir que le droit constitue une « technique d’humanisation de la technique », qui depuis la révolution industrielle a joué un grand rôle pour préserver les humains des excès de la mécanisation du travail. Alors qu’en 2005 Facebook existait à peine, il se penche sur les enjeux de protection de la vie privée, à travers la loi Informatique et Libertés, et il souligne un paradoxe :

Aujourd’hui, la protection de la vie privée du citoyen semble beaucoup mieux assurée dans l’entreprise que dans la Cité.

Il fait notamment remarquer en ce sens qu’un travailleur est mieux protégé par la loi face à son employeur, du point de vue du respect de sa vie privée, que ne l’est un simple client vis-à-vis de son banquier, qui peut connaître une grande partie de son intimité à travers le détail de ses opérations bancaires. Et il conclut le passage avec cette remarque intéressante :

En matière de libertés, l’histoire du droit du travail était jusqu’à présent celle d’une pénétration dans l’entreprise des libertés garanties dans la Cité. On s’achemine peut-être vers une démarche inverse où il faudra diffuser dans la Cité des libertés garanties dans l’entreprise.

Cette réflexion garde toute sa pertinence, car on peut dire que l’employé paraît parfois mieux protégé aujourd’hui que ne l’est le simple internaute face aux grandes plateformes comme les GAFAM, alors même que, contrairement au salarié, il dispose en théorie du consentement individuel pour contrôler ses données. Les employés disposent de leur côté de moyens collectifs de défense de leurs droits sur les données à condition que les syndicats s’en saisissent. Une fois mises en œuvre dans le champ des relations de travail, ces méthodes d’organisation et de négociation collectives pourraient être appropriées plus largement par la société civile pour défendre les données en général, y compris face aux grandes plateformes vis-à-vis desquelles nous sommes tous des « travailleurs de la donnée« .

Via un article de calimaq, publié le 6 juillet 2018

©© a-brest, article sous licence creative common info