Il y a quelques jours, le Garant italien de la vie privée est revenu sur le sujet de la conservation des métadonnées des courriels professionnels par l’employeur. La décision du 6 juin, intitulée « Programmes et services informatiques de gestion du courrier électronique dans le cadre professionnel et traitement des métadonnées », étend la durée de conservation des métadonnées de 7 à 21 jours. Cette décision, n° 364 du 6 juin 2024, intervient quelques semaines après la publication d’une première version du document d’orientation sur la conservation des métadonnées, qui avait suscité de nombreux doutes et discussions parmi les professionnels au point d’amener l’Autorité à engager une consultation publique.

Que sont les métadonnées ?

Il convient avant tout de clarifier la définition des « métadonnées ». En effet, ce terme ne désigne pas les informations contenues dans les messages de courriels dans leur « corps », mais plutôt les informations relatives aux opérations d’envoi et de réception et de tri des messages qui peuvent inclure les adresses électroniques de l’expéditeur et du destinataire, les adresses IP des serveurs ou clients impliqués dans l’acheminement du message, les heures d’envoi, de retransmission ou de réception, la dimension du message, la présence et la dimension des éventuelles pièces jointes et, dans certains cas, eu égard au système de gestion du service de messagerie utilisé, également l’objet du message envoyé ou reçu.

Comme mentionné ci-dessus, avec les directives de l’Autorité, la période de conservation a été étendue à 21 jours, ce délai étant toutefois à considérer comme indicatif.

En effet, toute conservation pour une durée plus longue ne peut être réalisée qu’en présence de conditions spécifiques qui rendent la prolongation nécessaire et, dans tous les cas, les spécificités de cette nécessité doivent être suffisamment prouvées.

Continuez à lire la version complète dans Economy Magazine.

Les données sont devenues le nouveau pétrole et leur rôle est susceptible de s’accroître encore à mesure que le numérique devient plus central dans nos vies. Avec des conséquences non négligeables sur la vie privée, comme le souligne Vittorio De Luca, fondateur du cabinet d’avocats De Luca & Partners. «  Le législateur européen est intervenu de manière significative dans ce domaine au cours des dernières années, mais au niveau des entreprises, le tableau reste diversifié entre les réalités qui ont mis en œuvre et structuré de véritables modèles internes de conformité et qui, au fil du temps, ont réussi à changer la culture et la sensibilité de tous ceux qui composent l’organisation, et les autres qui continuent à considérer la protection des données comme un coût commercial plutôt que comme un investissement », souligne-t-il.

Les règlementations en matière de protection des données et de droit du travail sont désormais étroitement liées, et pas seulement en ce qui concerne le traitement des données relatives aux ressources humaines.« De plus en plus souvent, nous aidons les entreprises à traiter correctement les demandes d’accès aux documents et aux dossiers personnels qui sont – légitimement – présentées par des travailleurs dans le cadre de procédures disciplinaires engagées à leur encontre », souligne-t-il également. Avec les risques liés à une mauvaise gestion de ces demandes « Outre les conséquences sur le plan du droit du travail, une personne concernée (dans ce cas, l’employé) a toujours la possibilité d’émettre un signalement auprès de l’autorité chargée de la protection des données », explique M. De Luca.

Lire la version intégrale publiée dans La Repubblica.

Autres informations connexes :

• Les données de géolocalisation collectées sans information adéquate rendent le licenciement du salarié illégal
• Intelligence artificielle et ressources humaines : à quels défis un responsable des ressources humaines doit-il se préparer ?

Mercredi dernier, le 24 avril 2024, les députés européens ont adopté le texte de la nouvelle directive sur les conditions de travail des travailleurs des plateformes numériques. Comme nous l’apprend le communiqué de presse publié sur le site institutionnel du Parlement, la directive vise « à garantir que les personnes travaillant via des plateformes aient un statut professionnel correctement défini et à corriger le « faux travail indépendant » en introduisant « une présomption de relation de travail (par opposition au travail indépendant) qui est déclenchée dès que des faits indiquent la présence d’un contrôle et d’une direction conformément au droit national et aux conventions collectives [ …] ».

Parmi les innovations introduites par la directive, dans la mesure où elles nous intéressent ici, figurent des limitations au traitement des données à caractère personnel par des systèmes de prise de décision ou de contrôle automatisés. Par exemple, aucun traitement ne peut être effectué sur (i) les données relatives à l’état émotionnel ou psychologique de la personne effectuant un travail via des plateformes numériques ; (ii) les données à caractère personnel relatives à des conversations privées ; (iii) les données appartenant à la catégorie des données spéciales (anciennement désignées en tant que données sensibles) ou les données biométriques ; ou (iv) les données du travailleur effectuant des activités via une plateforme numérique lorsqu’il n’effectue pas son activité via la plateforme elle-même ne pourront pas être collectées.

Tout ceci sera valable et devra être appliqué dès le début des procédures de recrutement et de sélection et pendant toute la durée de la relation. Il est entendu que, compte tenu du type de traitement et du risque élevé qu’il peut entraîner pour les droits et libertés des personnes physiques, les traitements de données effectués par l’intermédiaire d’une plateforme numérique de travail devront faire l’objet d’analyses d’impact spécifiques en vertu de l’article 35 du règlement (UE) 2016/679. Les analyses d’impact réalisées par l’employeur doivent ensuite être partagées avec les représentants des travailleurs.

Un autre élément clé concerne les obligations de transparence. Les personnes qui travaillent sur des plateformes numériques devront être informées, de manière transparente, intelligible et facilement accessible, dans un langage simple et clair, de tous les types de décisions soutenues ou prises par des systèmes automatisés de prise de décision ou de contrôle. Il s’agit d’un élément avec lequel le système juridique national italien s’est déjà « familiarisé », tant à la suite de l’introduction des dispositions énoncées dans le règlement (UE) 2016/679 que du dénommé « Décret transparence ».

Enfin, il est entendu que les États membres devront exiger que les plateformes numériques de travail garantissent des ressources humaines suffisantes pour contrôler et évaluer efficacement l’impact des décisions individuelles prises ou soutenues par des systèmes automatisés de prise de décision ou de contrôle.

◊◊◊◊

Les prochaines étapes

Le texte approuvé par le Parlement européen devra maintenant être formellement adopté par le Conseil et publié au Journal officiel de l’Union européenne. Suite à la publication, chaque État membre disposera de deux ans pour transposer les nouvelles dispositions dans son droit national.

Autres informations connexes :

• Les systèmes entièrement automatisés maintiennent les obligations du « Décret transparence »

À partir du 1^er octobre 2024, les entreprises et les travailleurs indépendants opérant sur des chantiers temporaires ou mobiles, tels que définis par la Loi italienne consolidée sur la sécurité (en particulier, l’article 89, alinéa 1, lettre a), du Décret législatif italien n° 81/2008), doivent disposer d’une licence, en format numérique, délivrée par le bureau local compétent de l’Inspection nationale du travail italienne.

Cette exigence a été récemment introduite par l’article 29, alinéa 19, lettre a), du Décret législatif italien du 2 mars 2024, n° 19, non encore converti en loi, qui, remplaçant l’article 27, alinéa 1, de la Loi italienne consolidée sur la sécurité, introduit un système d’accréditation des crédits pour les entreprises et les travailleurs indépendants. La licence sera délivrée à condition de satisfaire aux exigences spécifiquement identifiées par la loi, à savoir : (i) l’inscription auprès de la Chambre de commerce ; (ii) le respect des obligations de formation prévues à l’article 37 de la Loi italienne consolidée sur la sécurité applicable aux employeurs, cadres, dirigeants et travailleurs de l’entreprise ; (iii) le respect des obligations de formation par les travailleurs indépendants ; (iv) la détention d’un certificat de régularité des cotisations sociales (Documento Unico di Regolarità Contributiva, « DURC ») en cours de validité ; (v) la détention d’un document d’évaluation des risques ou (vi) la détention d’un certificat de régularité fiscale (Documento Unico di Regolarità Fiscale, « DURF »).

Dans l’attente de la délivrance d’une licence, et sauf avis contraire de l’Inspection du travail italienne, les entreprises et les travailleurs indépendants pourront toujours opérer au sein des chantiers de construction.

Le nouveau système prévoit un solde initial de 30 crédits et un minimum de 15 crédits. Si le score est inférieur au seuil minimal, sauf exceptions, il n’est pas possible d’opérer sur des chantiers temporaires ou mobiles. Le système d’accréditation prévoit des réductions de crédit face à certains événements, évaluations ou mesures émises à l’encontre des employeurs, cadres, dirigeants d’entreprise ou du travailleur indépendant. Sans préjudice de ce qui précède, il est également prévu que les crédits réduits puissent être rétablis.

La vérification de la détention de la licence est déléguée au donneur d’ordre ou au directeur des travaux. L’exécution de travaux en l’absence de licence ou avec une licence dont le score est inférieur au minimum est passible d’une amende administrative pouvant aller jusqu’à 12 000 euros et d’une exclusion de la participation aux travaux publics pour une période de six mois.

◊◊◊◊

Avant le 1^er octobre 2024, et compte tenu du fait que des modifications peuvent être apportées au décret avant qu’il ne soit converti en loi, les entreprises et les travailleurs indépendants qui sont soumis aux nouvelles obligations doivent adopter des mesures pour assurer la conformité avec les dispositions du nouveau système d’accréditation.

Autres informations connexes :

• Accidents du travail résolus par voie de règlement à l’amiable : les dommages futurs restent indemnisables si le caractère imprévisible de l’altération de la santé est prouvé
• Accidents du travail : Responsabilité non-automatique de l’employeur

Le Garant pour la protection des données personnelles (« le Garant »), par une ordonnance d’injonction
du 28 avril 2022 a infligé à une société chargée de gérer le service de collecte des déchets
urbains pour la Commune de Taranto (« la Commune ») une sanction de 200 000 euros, pour avoir confié à un de ses
sous-traitants certains traitements de données personnelles sans avoir demandé ni obtenu
préalablement une autorisation écrite, spécifique ou générale, de la part de la Commune, responsable du
traitement.
En l’espèce, la Commune, suite à l’abandon diffus des déchets sur le territoire
relevant de sa compétence, avait conféré à une société – entièrement détenue par la Commune – des fonctions
de contrôle et de contestation immédiate d’éventuelles infractions dérivant de la violation des
règles municipales en matière d’élimination des déchets. La Commune et la société avaient décidé d’un commun accord
d’installer des systèmes de vidéosurveillance sur les sites considérés
comme particulièrement sensibles, s’agissant de lieux où l’abandon illégal des déchets survenait
le plus fréquemment.
D’après un signalement parvenu au Garant, il ressortait que la société avait diffusé, par
publication sur sa page Facebook, certaines vidéos et images, obtenues au moyen des
systèmes de vidéosurveillance, sur lesquelles étaient identifiés, ou pour le moins identifiables, les citoyens
transgresseurs.

Suite au signalement reçu, le Garant avait ouvert une instruction, de laquelle il ressortait que la société
chargée avait commencé ses activités de traitement en mars 2012, conformément à une ordonnance
municipale sans que, à la lumière de la législation en vigueur, le rapport avec la Commune soit
réglementé. À partir du mois de novembre 2020, elle avait utilisé, pour la collecte des images de vidéosurveillance, les services d’un fournisseur (régulièrement désigné comme sous-traitant pour le traitement des données) sans « l’autorisation écrite, spécifique ou générale, du responsable du traitement (ndr : la Commune) », telle qu’elle est
prévue par l’article 28 du RGPD. C’est seulement en janvier 2022 qu’elle avait signé avec la Commune, conformément à l’art. 28 du RGPD, un « accord pour la protection des données personnelles et la désignation d’un sous-traitant externe pour le traitement ». Et c’est seulement dans cet accord que la Commune avait précisé que « la société, sur autorisation écrite de la Commune, pourrait devoir communiquer ou rendre disponibles les données personnelles dont cette dernière est responsable du traitement à une ou plusieurs tierces parties (sous-traitants) afin de leur confier une partie des activités de traitement ».

Continuez à lire la version intégrale publiée sur Norme & Tributi Plus Diritto de Il Sole 24 Ore.