Informer les salariés sur le traitement de leurs données
L’employeur, en sa qualité de responsable de traitement, doit porter à la connaissance des salariés, l’ensemble des informations prévues par les articles 13 et 14 du RGPD.
Cette obligation de transparence est une obligation fondamentale en matière de règlementation sur la protection des données.
Comment cette information doit -elle être délivrée aux salariés ?
Le contrat de travail, paraît naturellement être le support le plus adapté pour donner une telle information et reprendre par exemple certaines dispositions de la politique de confidentialité de l’entreprise.
Il n’est toutefois pas conseillé d’insérer une mention complète des informations pertinentes dans le contrat de travail, sans quoi il serait nécessaire de faire signer un avenant à chaque fois que les informations initialement fournies devraient être modifiées.
De plus, leur insertion au sein du contrat de travail, qui comprend déjà de nombreuses informations, ne saurait satisfaire le principe de transparence tel qu’il est appliqué par la CNIL et le Comité européen de protection des données (« CEPD »).
Pour favoriser la compréhension et la clarté des informations délivrées, le responsable du traitement peut procéder à une approche en plusieurs niveaux et prioriser les informations les plus importantes.
Il est donc possible de fournir dans le contrat de travail un premier niveau d’information accompagné d’un renvoi à la politique de confidentialité.
Le fait d’ajouter une clause sur la protection des données personnelles dans le contrat de travail qui renvoie à la politique de confidentialité est indéniablement une bonne pratique
Toutefois, cela n’est pas obligatoire.
L’entreprise doit a minima garder la preuve que le salarié a pris connaissance de la politique de confidentialité et de ses éventuelles mise à jour (par exemple envoi de ladite politique par e-mail avec accusé de réception, remise en main propre contre décharge, etc.) sans forcément devoir le mentionner dans le contrat de travail.
Il est recommandé que l’intégralité des informations relatives à la politique de confidentialité soit consultable à un endroit unique ou dans un même document (sous forme numérique sur l’intranet de l’entreprise ou au format papier dans une annexe au contrat de travail sans valeur contractuelle) pour être aisément accessible.
Par ailleurs, il est possible de se demander si la politique de confidentialité doit être annexée au règlement intérieur de l’entreprise à l’instar de la charte informatique.
Au regard de la portée informative des politiques de confidentialité qui rappellent les obligations de confidentialité et les règles à respecter en matière de traitement des données, elles ne doivent pas, en principe, être annexées au règlement intérieur de l’entreprise.
Au demeurant, les entreprises garderont plus de flexibilité pour modifier leur politique de confidentialité si cette dernière ne fait pas partir du règlement intérieur puisque toute modification de ce dernier nécessite de respecter une procédure plutôt lourde.
Les opérations corporate et les transferts de salariés
Les audits qui sont réalisés en amont des opérations corporate comportent bien souvent un volet sur les salariés de l’entreprise cible.
Les data-room comportent ainsi l’ensemble des documents pertinents à cet égard (contrats de travail type, accords collectifs d’entreprise, procès-verbaux du CSE, etc.).
L’ensemble des éléments qui sont ainsi consultables dans une data-room doivent être anonymisés.
Il s’agit en pratique des noms et prénoms, des numéros de sécurité sociale, des noms des signataires et leur signature.
Dans le cadre des assets deal, les documents contractuels tels que l’acte de cession de fonds de commerce, la convention de successeur, le business purchase agreement doivent encadrer les aspects relatifs à la règlementation sur la protection des données : au niveau des garanties consenties par le cédant et sur les engagements des parties pour assurer le respect des obligations applicables.
Bien entendu, il est préférable que la liste des salariés transférés dans ce contexte, qui est bien souvent annexée à ces documents soit anonyme.
Lorsque le contrat de travail d’un salarié est transféré de manière automatique en application de l’article L.1224-1 du Code du travail ou de manière volontaire via la signature d’une convention de transfert tripartite, le salarié concerné doit être informé du transfert de ses données personnelles dans la nouvelle entité qu’il s’apprête à intégrer.
En pratique, le courrier d’information qui est la plupart du temps adressé au salarié dont le contrat de travail est automatiquement transféré ou la convention de transfert tripartite doivent donc contenir une clause qui doit notamment comporter les informations suivantes :
- l’identité du nouveau responsable de traitement,
- la finalité du transfert des données et des traitements ultérieurs (par exemple la gestion par le nouvel employeur des contrats de travail transférés et plus généralement la gestion des ressources humaines par ce dernier),
- les services/départements destinataires es données transférées,
- les catégories de données transférées,
- la durée de conservation des données,
- personnes tierces à qui les données seront potentiellement accessibles (par exemple prestataire informatique ou paie),
- rappel des droits du salarié (notamment son droit d’accès, de rectification ou d’effacement, etc.),
- le point de contact auprès de qui le salarié peut adresser toute demande d’exercice de ses droits.
Les principes du RGPD peuvent-il faire échec à une demande de transmission de document(s) ?
Bien souvent les entreprises ne souhaitent pas forcément transmettre tous les documents qui leur sont demandés dans le cadre d’une expertise du CSE ou d’un contentieux avec un ancien salarié.
Or, les demandes de communication de données personnelles exercées par des tiers ne doivent pas violer les obligations de confidentialité prévues par le RGPD.
Seuls certains tiers peuvent avoir légitimement accès à des données à caractère personnel traitées par un responsable de traitement.
Ces « tiers autorisés » sont en pratique les autorités et organismes disposant du pouvoir de solliciter l’obtention de données à caractère personnel pour l’accomplissement de leur mission (l’administration fiscale par exemple).
Toute demande de communication effectuée par un tiers autorisé doit impérativement faire l’objet d’une évaluation approfondie visant, selon la CNIL à :
- vérifier l’existence du fondement légal autorisant la demande et la communication de données,
- vérifier la qualité de l’organisme à l’origine de la demande et le périmètre des informations ciblées,
- sécuriser la communication des données ou les modalités d’accès par le tiers autorisé.
S’il est établi par exemple que l’employeur ne peut pas opposer à un expert du CSE la confidentialité d’un document pour refuser de le lui transmettre, la communication de données à caractère personnel devra satisfaire les exigences précitées pour être valable, au risque d’engager la responsabilité de l’employeur.
Parmi les tiers autorisés à recevoir ou permettre la communication de données à caractère personnel figurent également les autorités judiciaires.
En conséquence le RGPD ne permettra pas de faire obstacle à une demande de communication de pièces contenant des informations personnelles en particulier dans les contentieux en matière de discrimination où les demandeurs sollicitent la plupart du temps des informations personnelles sur leurs collègues (salaire, coefficient, position, etc.) et où elles peuvent être transmises même si ces derniers s’y opposent.
Toutefois, le RGPD pourrait permettre de contester l’étendue et le bien-fondé de la demande ou être invoqué pour en limiter sa portée.
Force est donc de constater que la règlementation en matière de protection des données a impacté le droit du travail à de nombreux égards et qu’un regard croisé s’avère souvent nécessaire.
