Le 12 novembre 2021 dernier, la Cour de cassation, par son arrêt n° 33809, a de nouveau affronté le sujet des contrôles de la part de l’employeur au moyen de l’utilisation d’instruments informatiques, à la lumière des principes et des restrictions applicables en matière de protection des données personnelles. Notamment, la Cour de Cassation a confirmé que toutes les données contenues dans l’ordinateur assigné au salarié appartiennent à l’entreprise et que l’employeur, dans le respect des devoirs de correction, de pertinence et de non-excès, a la faculté d’acquérir et d’utiliser les données qui y sont contenues à des fins disciplinaires et défensives, sans que cela ne constitue en soi une violation de la réglementation sur les données personnelles. Au fil du temps, suivant l’évolution de la réglementation en matière de protection des données personnelles, la Jurisprudence s’est à plusieurs reprises prononcée sur ce sujet. On peut donc aujourd’hui indiquer les principes de base sur lesquels se fonde le point d’équilibre entre la faculté de l’employeur et le droit à la confidentialité des salariés.
À ce sujet, la règle principale est, comme on le sait, l’article 4 du Statut des Travailleurs (Loi 300/1970) ; dans sa version originale, c’est-à-dire avant la modification apportée par le Jobs Act (le Décret législatif 151/2015), la réglementation prévoyait deux niveaux de protection de la vie privée du travailleur «un au moyen de l’interdiction absolue de l’utilisation d’équipements audiovisuels et autres appareils à des fins de contrôle à distance de l’activité des travailleurs non justifiée par des raisons inhérentes à l’entreprise ; l’autre, affaibli, au cas où les raisons du contrôle auraient été liées à des exigences objectives de l’entreprise, sous réserve de la réalisation de ce contrôle dans le respect de « procédures de garantie » déterminées” (en ce sens, Cass. 22 septembre 2021, n° 25732). Après la réforme réalisée par le Jobs Act, le nouvel article 4 a repris l’interdiction d’utiliser des équipements audiovisuels et autres instruments entraînant la possibilité de contrôler à distance l’activité des travailleurs. La réglementation a ensuite confirmé la dérogation générale à cette interdiction qui, en présence d’un accord syndical ou, à titre subordonné, d’autorisation de l’Inspection du Travail, justifierait l’installation d’équipements et d’instruments permettant le contrôle à distance, à la condition qu’il soit motivé par (i) des exigences liées à l’organisation et à la production, (ii) la défense de la sécurité sur le lieu de travail et (iii) la protection du capital de l’entreprise.
Une importante nouveauté (mais d’un impact réduit en pratique et dans la Jurisprudence par une approche nettement protectrice) a en revanche été introduite par le deuxième alinéa de la nouvelle réglementation, qui prévoit que l’interdiction générale (avec obligation d’accord ou d’autorisation) ne s’applique pas aux instruments utilisés par les travailleurs pour fournir leur prestation de travail et aux instruments d’enregistrement des accès et des présences.
Sous réserve de ce qui précède, les informations collectées au moyen de contrôles légaux, toujours au sens de l’art. 4 du Statut des Travailleurs, peuvent être utilisées à toutes les fins liées au contrat de travail (donc aussi à des fins disciplinaires), à certaines conditions, c’est-à-dire : a) que le travailleur ait été informé de manière appropriée sur les modalités d’utilisation de ces instruments et de réalisation des contrôles et b) qu’aient été respectées les dispositions visées par la réglementation en matière de protection des données personnelles (actuellement représentée par le Règlement (UE) 2016/679 et par le Décret Législatif n° 101/2018.
Continuez à lire la version intégrale publiée sur Norme & Tributi Plus Diritto de Il Sole 24 Ore.
Le 10 juin dernier, l’autorité de contrôle italienne en matière de protection des données (l’« Autorité ») a approuvé les nouvelles « Lignes directrices sur les cookies ».
Le terme cookie désigne un petit fichier texte qu’un site web ( « cookies de première partie ») est susceptible d’envoyer sur l’appareil de l’utilisateur (comme un smartphone, un PC ou une tablette) lorsqu’il visualise une page web ou bien des sites ou des serveurs web (« cookies tiers »). Habituellement, les cookies permettent de mémoriser les préférences exprimées par l’utilisateur pour qu’elles n’aient pas à être réindiquées ultérieurement. Le navigateur utilisé enregistre l’information et la retransmet au Serveur du site lorsque l’utilisateur visite à nouveau ce site web.
Les Lignes directrices, adoptées par l’Autorité à la lumière des éléments issus de la consultation publique réalisée à la fin de l’année dernière, ont pour objectif de renforcer le pouvoir de décision des utilisateurs quant à l’utilisation de leurs données personnelles lorsqu’ils naviguent sur Internet.
Voici les principales nouveautés.
Dans le respect des dispositions prévues par le Règlement (UE) 2016/679 en matière de protection des données à caractère personnel (mieux connu sous le nom de « RGPD »), la note d’information à délivrer aux utilisateurs/personnes concernées devra mentionner (i) tous les éventuels destinataires, (ii) la durée de conservation des données personnelles ainsi que (iii) une description de toutes les conséquences de chaque action effectuée par l’utilisateur/la personne concernée.
L’Autorité recommande que les cookies Analytics, que le Responsable du traitement utilise pour évaluer l’efficacité d’un service, ne le soient qu’à des fins statistiques.
Le modèle de note d’information sur plusieurs niveaux au moyen d’un bandeau (version courte) pour accéder au site, et contenant des indications spécifiques sur le positionnement, les dimensions, les caractères et les contenus ainsi que le lien à la version complète de la note d’information, est maintenu.
L’utilisateur/la personne concernée, doit avoir la possibilité de choisir entre le consentement ou l’option de moduler ses préférences par rapport au pistage et doit se voir fournir le lien vers un autre espace dédié sur lequel il est possible de sélectionner, de façon analytique, uniquement les fonctions, les tierces parties et les cookies, éventuellement regroupés par catégories homogènes, que l’utilisateur choisit d’accepter.
Le simple fait de faire défiler le curseur vers le bas n’est pas en soi approprié pour permettre au responsable du traitement de recevoir un consentement l’autorisant à installer et utiliser des cookies de profilage ou bien d’autres outils de pistage.
Eu égard au pouvoir d’autonomie du responsable pour identifier des solutions plus appropriées en vue de se conformer aux règles des traitements de données à caractère personnel effectués, l’Autorité invite les responsables à évaluer rigoureusement toutes les solutions envisageables. Selon celle-ci, si l’action de l’utilisateur ne correspond à aucun événement informatique non équivoque, documenté et assorti des mentions caractéristiques, également sous l’angle de la connaissance de l’utilisateur, il ne sera pas possible d’attribuer à cette action la validité du consentement au sens de la réglementation en vigueur.
La demande d’autorisation des cookies ne peut être reproposée, sauf (i) en cas de changement significatif des conditions du traitement, (ii) impossibilité pour le gestionnaire du site d’enregistrer le choix précédent de l’utilisateur en raison d’une décision de ce dernier et (iii) écoulement d’un délai de 6 mois depuis la demande précédente.
Les utilisateurs/personnes concernées devront se voir fournir, à tout moment et de façon simple, immédiate et intuitive, la possibilité de revoir les choix effectués à travers un espace spécifique accessible via un lien à placer au niveau du footer du site et qui explicite la fonction à travers une mention « revoir vos choix en matière de cookies » ou équivalente
Les propriétaires de sites web auront 6 mois pour se conformer aux règles édictées par les Lignes directrices.
Contenus corrélés :
L’Autorité Garante pour la protection des données personnelles (le « Garant »), le 10 décembre 2020, a ouvert une consultation publique sur les « Lignes directrices sur l’utilisation des cookies ou d’autres instruments de traçage » (les « Lignes directrices ») rédigées le 26 octobre dernier.
L’intervention du Garant fait suite aux indications fournies par le Comité des Garants européens
(« CEPD » – « Comité Européen de la Protection des Données ») dans les « Lignes directrices 5/2020 sur l’accord donné selon le Règlement (UE) 2016/679 » du 4 mai 2020.
Les cookies sont de petites chaînes de caractères que les sites internet (dits « publishers » ou « première partie ») visités par l’usager ou d’autres sites ou serveurs internet (dits « tiers ») placent et archivent à l’intérieur du dispositif utilisé (par exemple Smartphone, PC ou tablette). Les cookies permettent d’obtenir des informations et d’améliorer la navigation de l’usager / de l’intéressé.
Le Règlement (UE) 2016/679 en matière de protection des données personnelles (« RGPD »), bien que ne modifiant pas directement la réglementation relative à ces instruments de traçage, réglemente de façon précise l’accord donné au traitement de ces données personnelles. Notamment, il dispose que l’accord doit être donné par les intéressés au moyen d’une « manifestation de volonté libre, spécifique, informée et sans ambiguïté » (cf. article 4 du RGPD).
Cela met l’accent, selon le « principe de responsabilité » sur l’application desprincipes de protection des données dès la conception et pour des configurations prédéfinies (« privacy by design » et « by default » – protection des données « dès la conception » et « par défaut »), rendant nécessaire une analyse des modalités correctes de communication de la note d’information en ligne aux usagers / intéressés et d’obtention, si nécessaire, de leur accord.
Ceci dit, les Lignes directrices, recevant les dispositions du CEPD, précisent, notamment, que :
Les Lignes directrices ajoutent que chaque titulaire du traitement a le devoir de fournir à ses propres intéressés / usagers des informations précises sur le traitement de leurs données. Cette note d’information doit être fournie à un double niveau : (i) note d’information dite « brève » ou bannière contenant le lien de renvoi (ii) à la note d’information dans sa version intégrale.
Au terme de la consultation publique adressée aux chefs d’entreprise, aux consommateurs, aux usagers et aux opérateurs du secteur et de l’analyse, suivie de l’éventuelle réception des observations parvenues, l’Autorité émettra la décision finale.
Il Quotidiano del Lavoro publie un article signé Vittorio De Luca, Antonella Iacobellis et Martina De Angeli concernant un récent arrêté de l’Autorité garante de la protection des données personnelles, qui sanctionne une université italienne pour ne pas avoir protégé de manière adéquate les données personnelles de deux lanceurs d’alerte, en se fiant aux procédures de sécurité choisies par son fournisseur de logiciel.
Cliquez ici pour lire le DLP insights relatif à l’affaire et aux considérations du cabinet.