Sur indication d’un groupe d’associés travailleurs d’une société coopérative, l’Autorité Garante pour la protection des données personnelles le « Garant «) a constaté l’illégalité de certains traitements effectués au moyen de la publication, sur le tableau d’affichage de l’entreprise, d’informations relatives aux évaluations sur leur travail.
En particulier, dans le cadre d’un « jeu-concours pour les associés travailleurs, intitulé « Associés… Regardons-nous les yeux dans les yeux ! » dans le but d’encourager les associés les plus méritants et […] d’éviter les dysfonctionnements », la société coopérative avait l’habitude de publier chaque semaine les évaluations des destinataires, au moyen d’émojis (appelés « émoticônes ») accompagnés de jugements synthétiques (comme, à titre d’exemple, « absentéisme », « simulation de maladie ») placés à côté de l’image et du nom de chacun. Ces informations était visibles non seulement par le travailleur concerné mais aussi par toute personne entrant dans la pièce où se trouvait le tableau d’affichage, y compris les personnes extérieures présentes de façon occasionnelle dans les locaux. Elles avaient pour but de récompenser, en argent, les trois premiers classés.
Les contrôles effectués par le Garant ont fait apparaître le caractère illégal des traitements pour violation des principes fondamentaux de licéité, loyauté et transparence, ainsi que de minimisation des données. Le Garant, en effet, a certes d’une part confirmé que l’employeur peut traiter légalement les informations nécessaires et pertinentes pour la gestion du contrat de travail – y compris les données nécessaires pour évaluer l’exécution correcte de la prestation de travail et/ou exercer son pouvoir disciplinaire (selon les modalités et dans les limites prévues par la réglementation du secteur). Mais il a d’autre part souligné que la mise à disposition systématique de ces informations par affichage au tableau permettait à des personnes (comme des collègues ou des tiers) non habilitées à connaître des informations sur les évaluations et les avis disciplinaires de traiter les données.
De plus, le Garant a confirmé que l’obtention du consentement, dans des circonstances comme celles objet du contrôle, ne peut être considérée comme une base juridique apte à justifier le traitement de données à caractère personnel. Ce car l’asymétrie entre les parties respectives du contrat de travail ne peut présupposer un consentement donné de façon expresse, libre et spécifique et relatif à un traitement spécifiquement déterminé. Le consentement donné au moment de l’approbation de la délibération de l’assemblée, comme le soutient en revanche la société, est « fonctionnellement différent » du consentement aux traitements effectués par la société afférents aux évaluations sur le travail des associés.
Pour tous ces motifs, le Garant a confirmé que « […] soumettre constamment à l’observation des collègues les évaluations sur la qualité du travail effectué ou sur la justesse de la prestation, même dans le cadre d’un jeu-concours public » lèse des aspects comme ceux de la dignité personnelle, de la liberté et de la confidentialité des travailleurs.
◊◊◊◊
La société a déposé un recours contre la décision du Garant, tout d’abord par-devant le Tribunal compétent puis par-devant la Cour de Cassation. Cette dernière, par son arrêt n° 17911/2022, publié le 1er juin dernier, a rejeté le pourvoi – en confirmant la décision du Garant – et réaffirmé le principe selon lequel « la légalité du traitement présuppose un consentement donné valablement, de façon expresse, libre et spécifique, pour un traitement clairement indiqué ; ce principe de portée générale s’applique et prévaut dans tout rapport ».
Contenus corrélés :
Le Tribunal de Venise, par son jugement n° 494/2021, a déclaré que l’entreprise, ayant subi une attaque informatique et contrainte de payer une rançon pour récupérer les données soustraites, peut licencier le salarié qui a navigué de façon répétée sur des sites non sûrs à des fins privées, compromettant ainsi la sécurité interne.
Un travailleur, embauché par une société exerçant l’activité d’agence maritime, a été licencié pour juste motif, suite à la procédure disciplinaire légitimement engagée, pour avoir utilisé de façon impropre l’ordinateur de l’entreprise.
Notamment, les griefs formulés par la société à l’encontre du salarié étaient de deux ordres :
Le salarié a contesté le licenciement en invoquant sa nature discriminatoire et de rétorsion, car ayant pour seul objectif de l’exclure car il était représentant syndical dans l’entreprise (« RSA ») et considéré de ce fait comme un « salarié gênant ». Le salarié, de plus, soutenait que les comportements contestés ne pouvaient pas lui être attribués, car l’ordinateur qui lui avait été fourni n’était doté d’aucun mot de passe et, par conséquent, n’importe qui aurait pu y accéder.
La société employeur s’est constituée en justice, en rejetant les revendications du salarié et en soulignant le caractère tout à fait fortuit de la découverte des faits, découverts dans le cadre des contrôles rendus nécessaires par le piratage subi par ses systèmes informatiques et la diffusion d’un virus ransomware.
Le Tribunal de Venise – confirmant la décision du Juge des référés – a déclaré l’existence d’un juste motif de résiliation et, par conséquent, que le licenciement était légal.
Le Juge saisi a, tout d’abord, souligné que les griefs à l’encontre du salarié avaient été formulés par la société conformément aux dispositions de l’art. 4, du Statut des Travailleurs. Selon cet article, en effet, l’employeur peut légalement obtenir des informations sur les instruments de l’entreprise assignés aux salariés et les utiliser à toutes les fins relatives à la relation de travail (y compris à des fins disciplinaires). Ce à la condition que ces derniers aient reçu une information appropriée quant aux modalités d’utilisation de ces instruments et de déroulement des contrôles, dans le respect des dispositions du Code de la protection des données personnelles. Et la société avait adopté un Règlement sur l’utilisation des instruments fournis aux salariés, ayant dès son adoption été exposé sur le tableau d’affichage et publié dans un dossier spécifique dans le serveur accessible à tous les salariés.
Le Juge a ensuite précisé que, même abstraction faite de l’adoption effective du règlement (objet de contestation de la part du travailleur), ce qui importe en l’espèce est l’utilisation répétée et continue de l’ordinateur, à des fins personnelles évidentes (et non contestées), justifiant la sanction disciplinaire pour les faits reprochés.
Enfin, le Juge a rejeté la contestation du salarié concernant l’inexistence d’un mot de passe personnel sur l’ordinateur. Selon le Juge saisi, en effet, son utilisation impropre était sans aucun doute imputable au salarié en question, étant donné que ce dernier avait : consulté son courrier personnel, réservé des voyages à son nom, utilisé des clés USB personnelles, visité des réseaux sociaux lui étant rattachés, etc.
À la lumière de ce qui est indiqué ci-dessus, selon le Tribunal saisi, les griefs formulés à l’encontre du salarié et légitimement invoqués par l’entreprise, ont été démontrés par les faits et ont été d’une gravité de nature à en justifier le licenciement sur-le-champ.
À la lumière des principes contenus dans la sentence Schrems II de la Cour de Justice du 16 juillet 2020, la Commission européenne, par la Décision n° 2021/914 du 4 juin 2021, a approuvé deux nouvelles séries de Clauses contractuelles standard (« SCC » – Standard Contractual Clauses) qui à compter du 27 septembre prochain devront être insérées dans les contrats pour réglementer un transfert de données personnelles vers des pays en dehors de l’UE ou des organisations internationales. Pour tous les contrats conclus avant cette date, au contraire, une période de transition sera prévue, qui se terminera le 27 décembre 2022, pourvu que les traitements objet des contrats restent inchangés et les « vieilles » clauses garantissent que le transfert de données personnelles soit soumis à des garanties appropriées. Après cette échéance, ces contrats devront également être actualisés sur la base des nouvelles SCC. Pour entrer dans le détail, les nouvelles SCC couvriront les hypothèses de transfert de données personnelles vers des pays en dehors de l’UE ou des organisations internationales qui n’offrent pas un système de protection équivalent à celui assuré par le Règlement (UE) 2016/679 en matière de protection des données personnelles (le « RGPD »). Les nouvelles SCC devront être adoptées en cas de transfert de données personnelles : (i) entre les titulaires du traitement ; (ii) entre un titulaire du traitement et son responsable du traitement ; (iii) entre un responsable du traitement et son (sous-)responsable et (iv) entre un responsable du traitement et son titulaire si ce dernier n’est pas soumis au cadre d’application du RGPD.
Contenus corrélés :
Par son ordonnance d’injonction du 15 avril 2021, l’Autorité Garante pour la protection des données personnelles (le « Garant ») a sanctionné une société travaillant dans le secteur manufacturier car elle n’avait pas informé correctement et de façon précise les travailleurs concernés sur les caractéristiques d’un système informatique utilisé dans cette entreprise. Ce faisant, la société a traité de façon illégale les données des travailleurs, allant au-delà des limites fixées par l’autorisation de l’Inspection du travail territorialement compétente et des finalités indiquées dans les notes d’information communiquées.
Le Garant est intervenu suite à la réclamation présentée par le syndicat FIOM CGIL, sur mandat de certains travailleurs, par laquelle il demandait de prendre une mesure de contrôle et prescriptive à l’encontre de la société employeur. En particulier, on signalait que le système utilisé dans l’entreprise prévoyait l’insertion d’un mot de passe individuel sur l’ordinateur avant de commencer à travailler, ce qui permettait d’archiver les données de chaque travailleur relatives aux arrêts et à la production pendant toute la journée de travail. Par conséquent, selon le syndicat, les données collectées se référant à l’activité de chaque salarié suite à son authentification au moyen du mot de passe, la société, par ce système, collectait également des données désagrégées et pour d’autres finalités, en plus de celles indiquées aux notes d’information communiquées.
À l’issue de l’instruction menée par le Garant, il est apparu, notamment, que le système informatique coexistait avec la précédente modalité d’organisation du travail, consistant à remplir des formulaires papier sur lesquels le nom des salariés était clairement indiqué. Ces formulaires étaient conservés et enregistrés sur un logiciel, mais sans aucune forme de séparation, en violation de ce qui était indiqué dans les notes d’information sur le fonctionnement du système et dans l’autorisation délivrée par l’Inspection du travail, qui avaient expressément interdit l’utilisation des données collectées à des fins disciplinaires. Il était en effet apparu que les données collectées au travers de cet instrument avaient été utilisées pour vérifier la véracité des affirmations d’un salarié au cours d’une procédure disciplinaire ouverte à son encontre.
De plus, des irrégularités sont apparues dans les délais de conservation des données ainsi collectées et traitées, lesquels, selon ce que la société avait déclaré, auraient dû être proportionnés avec ce qui était nécessaire pour « le contrôle/l’évaluation des cycles de production ».
À la lumière des informations obtenues, le Garant a ordonné la limitation définitive des traitements effectués au moyen des données collectées au travers du système utilisé, en sommant la société (i) d’aligner son organisation et ses traitements sur le Règlement (UE) 2016/679, également en mettant à jour la note d’information communiquée aux salariés concernés, (ii) de prendre des mesures appropriées de ségrégation des données collectées, aussi bien au travers des formulaires papier qu’au moyen du logiciel, et (iii) de payer la somme de 40 000,00 euros à titre de sanction pécuniaire pour les violations constatées.
Autres insights connexes :
« Le nouveau protocole national pour la réalisation de plans d’entreprise visant à la création de centres extraordinaires de vaccination contre le SARS-CoV-2/ Covid-19 sur les lieux de travail pose de nouveaux défis mais aussi de nouvelles responsabilités pour les employeurs qui adhèrent au projet ».
Maître Vittorio De Luca, directeur associé du Cabinet d’avocats De Luca & Partners, spécialisé en droit du travail et RGDP (Règlement Général sur la Protection des Données), rappelle que « les vaccins sont en premier lieu des traitements sanitaires pour lesquels, comme le prévoit la Constitution, seul le législateur peut prévoir l’obligation d’administration ».
Déjà, le protocole du 6 avril 2021 permet que les employeurs se déclarent disponibles à mettre en place des plans d’entreprise, au sein de leurs structures, pour l’installation de centres extraordinaires de vaccination anti Covid-19, destinés aux travailleurs qui en auraient fait la demande, volontairement et librement. « Les employeurs qui décident d’adhérer à cette initiative – explique l’avocat -, ont l’opportunité de participer activement à la poursuite de la campagne de vaccination nationale, en impliquant activement leurs propres ressources et lieux de production, mais ils sont appelés à fournir des garanties appropriées en vue de la protection des données personnelles des travailleurs intéressés par cette initiative, en garantissant la sécurité et la confidentialité des informations traitées et en évitant toute forme de discrimination ».
Concernant les responsabilités de l’employeur, le « médecin compétent » joue un rôle important ; il doit être impliqué aussi bien dans la phase préliminaire, en fournissant au travailleur des informations appropriées sur les avantages, les risques liés à la vaccination et sur le type spécifique de vaccin administré, également en établissant un triage préalable en fonction de son état de santé et en ayant soin d’acquérir de la part de celui-ci un « consentement informé », que dans la phase successive : l’administration du vaccin, qu’il devra, après l’avoir administré, enregistrer au moyen des canaux et des instruments mis à disposition par les Services Sanitaires Régionaux (Ssr).
« À la lumière de cela, il semble nécessaire et opportun de rappeler ce qu’a indiqué l’Autorité Garante pour la protection des données personnelles à ce sujet », ajoute Me De Luca, en se référant à la date du 17 février 2021 dernier, quand l’Autorité a publié sur son site une Foire aux Questions portant justement sur la question du traitement des données relatives à la vaccination contre le Covid-19 dans le contexte professionnel. « Les précisions données par l’Autorité rappellent que l’employeur ne fait pas partie des personnes ayant qualité à demander aux salariés de fournir des informations sur la situation de leurs vaccinations ou une copie des documents prouvant qu’ils ont été vaccinés », explique Me De Luca, en précisant que « la seule personne ayant qualité à connaître et à traiter, de façon confidentielle, les informations sanitaires des travailleurs est le médecin compétent».
L’avocat souligne ensuite que « l’employeur ne peut même pas demander au médecin compétent de communiquer la liste des noms des travailleurs ayant adhéré à la campagne de vaccination en cours. Cela aussi bien dans le cas où la personne participerait à la campagne organisée par le Système Sanitaire National que dans le cas où il adhérerait au plan extraordinaire éventuellement organisé par l’employeur, conformément au protocole de vaccination signé le 6 avril dernier ». Me De Luca observe que « conformément à ce qui est prescrit par la réglementation actuellement en vigueur en matière de santé et de sécurité sur le lieu de travail, il devra se limiter à obtenir seulement les avis sur l’aptitude à exercer les fonctions spécifiques et les éventuelles prescriptions et/ou limitations qui seraient indiquées dans ces derniers, tels qu’ils sont décrits par le médecin compétent ».
L’avocat conclut : « Ce qui est prescrit par le nouveau protocole signé par le Ministère du Travail et des Politiques sociales et par le Ministère de la Santé, d’un commun accord avec les partenaires sociaux, pose de nouveaux défis mais, en même temps, de nouvelles responsabilités pour les employeurs qui manifestent leur disponibilité à mettre en place les plans d’entreprise qui y sont prévus, dont la réalisation, dans tous les cas, reste strictement liée à l’évaluation de facteurs tels que les coûts du plan, à la charge de l’employeur, ainsi que la disponibilité des doses de vaccins ».
Fonte: Affari & Finanza – La Repubblica.
