L’entreprise et la protection des données personnelles : droits et obligations

La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel impose une déclaration préalable auprès de la Commission nationale de contrôle
de la protection des données à caractère personnel (CNDP) de tout traitement automatisé d’informations nominatives.

Brahim Atrouch, Expert en droit social
Brahim Atrouch, Expert en droit social

L’utilisation des moyens de communication électronique par les entreprises provoque des inquiétudes, soulève des risques portant sur des pratiques résultant peut être des contentieux. En effet, les traitements de données à caractère personnel ont un double objectif. Le premier est la protection de données de l’entreprise vis-à-vis des opérateurs économiques, clients, consommateurs, prospects, concurrents, partenaires et autres tiers. Cette protection concerne toutes les données qui circulent à travers des réseaux internes et externes (bases de données, internet, publicité). Le deuxième est une protection des données vis-à-vis des salariés (futurs salariés, salariés actuels, anciens salariés) visant toutes les données concernant le recrutement, la géolocalisation, biométrie, la vidéosurveillance, le contrôle de l’accès physique aux locaux, le contrôle des horaires, la messagerie électronique, les transactions économiques et financières, les transferts de données à l’étranger, dossiers personnel, etc.

À cet égard, la question qui s’impose est de savoir jusqu’où peut aller l’employeur dans l’utilisation des données personnelles ?

Les outils informatiques du travail (ordinateur, GSM, email, SMS, internet, réseaux sociaux) sont devenus un moyen très utilisé par la plupart des salariés. En revanche, certaines entreprises souhaitent tout savoir sur leurs salariés pour faire des assemblages de données, des profils, des tris,  imaginant que les informations relatives à la vie familiale, au mode de vie, à la santé, au passé universitaire ou pénal, aux habitudes (bonnes ou mauvaises), aux activités personnelles et aux comportements à l’intérieur et à l’extérieur de l’entreprise et aux convictions politiques et religieuses peuvent aider à la bonne gestion des relations sociales au sein de l’entreprise.

Toutes les données recueillies par une surveillance sur le lieu de travail ou par d’autres moyens sont protégées par la loi

Au sens de l’article 1 de la loi définit comme normative, «toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable». Le texte précise: «Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale». La définition est très large et dépasse le champ de la vie privée. Une donnée personnelle n’est pas nécessairement une donnée relative à la vie privée d’un individu. En revanche, toute donnée relative à la vie privée d’un individu est une donnée à caractère personnel tels que le nom, le prénom, l’adresse, le numéro de téléphone, l’email, l’adresse, l’image du salarié, les vidéos, les données biométriques, les données génétiques, la voix, l’image… La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel impose une déclaration préalable auprès de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) de tout traitement automatisé d’informations nominatives, définies comme celles qui permettent l’identification directe ou indirecte d’une personne. Cette loi a vocation à s’appliquer à tous les traitements informatisés des données personnelles du salarié et professionnelles.

Cette loi relative à la protection des données personnelles concernant toutes les informations identifiants et dans tous les types de configurations techniques les rendant publiques. On peut notamment citer son application dans les sites web, les réseaux intranet, les réseaux sociaux, les photographies ou bien les images des salariés.

Toutes les personnes qui font l’objet d’un traitement de données à caractère personnel, que les données aient été recueillies par une surveillance sur le lieu de travail ou par d’autres moyens, sont protégées par la loi. Délibération de la Commission nationale de contrôle de la protection des données à caractère personnel, CNDP n°298-AU-2014 du 11/04/2014 portant modèle de demande d’autorisation type relative au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des ressources humaines. Cette délibération prévoit dans son article 2 que les personnes concernées par le présent traitement sont les salariés (CDI, CDD, les salariés temporaires), les apprentis, les stagiaires, les candidats d’embauche. En revanche, les traitements qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les traitements de données relatives à la santé sont interdits (article 1, alinéa 3 de la loi 09-08) .

Conformément aux articles 3 et 4 de la délibération de la Commission nationale de contrôle de la protection des données à caractère personnel, CNDP n°298-AU-2014 du 11/04/2014 portant modèle de demande d’autorisation type relative au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des ressources humaines. Les données doivent donc être traitées conformément au principe de finalité et de proportionnalité. Il ne faut collecter et traiter, parmi  les données citées ci-dessus, que celles strictement nécessaires à la réalisation des finalités poursuivies par le responsable du traitement.

La protection des données personnelles de l’entreprise ne doit pas prendre le dessus sur celle des données personnelles du salarié

La mise en place de mesures de sécurité technique semble  indispensable pour protéger des documents confidentiels de l’entreprise. En revanche, cette protection des données personnelles de l’entreprise ne doit pas prendre le dessus sur la protection des données personnelles du salarié et porter des atteintes infondées et aberrantes au droit au respect de la vie privée des salariés sur leur lieu de travail.

Malgré que l’employeur a le pouvoir de direction permettant de contrôler et de surveiller l’activité de ses salariés à l’occasion du travail par les outils tels que caméra de surveillance, internet, la géolocolisation, l’utilisation de ces outils reste limitée et bien encadrées par la loi 09-08 dans le but de protéger la vie privée des salariés.

Ces derniers sont tenus de respecter lors de l’utilisation des outils informatiques à des fins professionnelles et pas personnelles sous peine de sanction ou bien de licenciement. Tout dépend de la gravité de la faute commise.

Dans ce contexte, la CNDP, lors de sa délibération n°350-2013 du 31 mai 2013 portant sur les conditions nécessaires à la mise en place d’un système de vidéosurveillance dans les lieux de travail, a affirmé que l’employeur doit d’abord envisager une déclaration d’installation des caméras de surveillance selon les formalité prévues par la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) et informer le salarié ou l’ensemble des salariés sur les moyens de contrôle et de surveillance mis en œuvre dans l’entreprise.

Pour conclure, et en vue de garantir les droits fondamentaux des salariés, le règlement intérieur peut être considéré comme un instrument juridique de protection des données à caractère personnel soit de l’entreprise, soit du salarié à condition que ce règlement intérieur prévoit des clauses concernant le respect de la charte informatique. Cette dernière fixant des mesures de sécurité lors de l’utilisation du matériel informatique et/ou de tous les moyens des nouvelles technologiques. Elle porte sur des normes que les salariés doivent respecter.