5 - Négociation d'entreprise et respect du RGPD
Francis Kessler
Avocat, Maître de conférences émérite, École de droit de la Sorbonne, Université de Paris 1
Un arrêt de la Cour de Justice de l'Union européenne de la fin décembre 2024 a précisé si, et dans quelle mesure, il peut être dérogé au RGPD dans un accord d'entreprise.
L’affaire
Le contexte
Les accords d'entreprise sont fréquemment utilisés dans la pratique comme base juridique pour le traitement des données des employés. Cependant, la CJUE n'avait pas encore déterminé si et dans quelle mesure il pourrait être dérogé aux exigences du règlement 2016/679 du 27 avril 2016, dit « règlement général sur la protection des données » (RGPD) (voir « Droits et contrôle du salarié », RF 1149, § 5050), dans un accord d'entreprise. Une affaire qui trouve sa source dans un litige allemand a permis à la Cour sise à Luxembourg de prendre position. Alors que les tribunaux du travail allemands ont largement accordé aux parties à l'accord d'entreprise conclu entre l’employeur et le conseil d'entreprise (Betriebsrat) une certaine marge de manœuvre, la CJUE a désormais rejeté cette approche dans son arrêt « Workday » (CJUE 19 décembre 2024, aff. C-65/23, MK c. K GmbH, ECLI : EU : C : 2024:1051).
Enjeu : un traitement illicite de données ?
Le plaignant, qui était également président (salarié) du conseil d'entreprise (comme le prévoit le droit allemand), a réclamé à son employeur une indemnité de 3 000 € pour préjudice moral, au motif d'un traitement illicite de données. Dans le cadre de la mise en place à l'échelle du groupe du système de gestion du personnel basé sur le cloud dénommé « Workday », l'employeur avait conclu avec son conseil d'entreprise un « accord de travail provisoire » pour l'introduction du système pendant une période d'essai avec une utilisation limitée. Pour cette phase de test, l'employeur avait transféré diverses données relatives aux employés depuis le logiciel SAP utilisé auparavant vers un serveur de la société mère aux États-Unis. Le plaignant considérait ce transfert de données comme illégal, car il n'était pas nécessaire à l'exécution de la relation de travail ni à l'essai du logiciel Workday. En outre, il affirmait que les limites de l’ « accord provisoire » avaient été dépassées, car l'employeur avait transféré à la société mère des catégories de données qui n'étaient pas couvertes par l'accord (notamment des détails sur le contrat et la rémunération, le numéro de sécurité sociale et le numéro d'identification fiscale).
Deux questions préjudicielles
Alors que les tribunaux allemands de première et deuxième instance avaient rejeté la plainte, la Cour fédérale allemande du travail (Bundesarbeistgericht) s'est montrée sceptique quant à la recevabilité du traitement des données sur la base de l’« accord collectif d’entreprise provisoire ». Afin de clarifier la situation juridique, elle a soumis les questions suivantes à la CJUE pour décision préjudicielle :
❶ Le traitement des données réglementé dans un accord d'entreprise doit-il respecter toutes les dispositions du RGPD ou uniquement les exigences de l'article 88, paragraphe 2, du RGPD, à savoir des mesures appropriées pour garantir les droits fondamentaux des salariés ?
❷ Les parties à la convention d'entreprise ont-elles un pouvoir discrétionnaire quant à la nécessité du traitement des données, ou les bases juridiques qu'elles ont créées sont-elles soumises à un contrôle juridictionnel complet ?
La solution
La décision de la CJUE a mis fin à la pratique de solutions dérogatoires au moyen d’accords d’entreprise pour le traitement des données des entreprises.
En ce qui concerne la première question, la CJUE a déclaré que le traitement des données régi par des accords d'entreprise doit satisfaire à toutes les exigences du RGPD. Dans le cas contraire, le niveau élevé de protection accordé par le RGPD dans le contexte de l'emploi pourrait être contourné. En conséquence, les principes relatifs au traitement des données à caractère personnel énoncés à l'article 5 du RGPD, les conditions de licéité du traitement énoncées à l'article 6, paragraphe 1, du RGPD et les conditions particulières des données à caractère personnel sensibles (par exemple, les données relatives à la santé) énoncées à l'article 9, paragraphe 1, du RGPD doivent être respectés.
La CJUE a également rejeté toute marge d'appréciation des parties à l'accord d'entreprise quant à la nécessité du traitement des données.
La CJUE a répondu à la deuxième question en précisant que les bases juridiques des accords d'entreprise sont soumises à un contrôle juridictionnel complet au regard des exigences du RGPD.
La CJUE a reconnu que les parties à l'accord d'entreprise « ont généralement une connaissance approfondie des besoins spécifiques qui se posent dans le domaine de l'emploi et dans le secteur d'activité concerné ». Néanmoins, a poursuivi la Cour, il doit être exclu que les parties à l'accord d'entreprise puissent, pour des raisons d'efficacité et de simplicité, conclure des compromis susceptibles de porter atteinte au niveau élevé de protection garanti par le RGPD.
En conclusion, cette décision établit que le traitement de données non autorisé par le RGPD ne peut être légitimé sur la base d'un accord d'entreprise.
Portée pratique
La décision de la CJUE a des implications considérables pour les employeurs et la négociation des accords d'entreprise. Les employeurs doivent s'assurer que tout traitement des données à caractère personnel de leurs employés sur la base d'un accord d'entreprise est conforme aux exigences du RGPD. Compte tenu du contrôle juridictionnel complet, cela signifie que les employeurs doivent s'assurer que tout nouveau système ou toute nouvelle procédure de traitement des données à caractère personnel est réellement nécessaire et conforme aux principes de minimisation des données et de licéité. La prudence est de mise à cet égard, car toute violation peut donner lieu à des demandes de dommages-intérêts et à des amendes administratives.
Les entreprises qui utilisent des accords d'entreprise comme base pour le traitement des données à caractère personnel doivent vérifier la compatibilité de ces accords avec le RGPD. Cette vérification doit porter en particulier sur la nécessité du traitement des données et le principe de minimisation des données. Lors du traitement de données sensibles au sens de l'article 9 du RGPD, il convient également de veiller tout particulièrement à ce que des garanties adéquates soient mises en place.
Pour la négociation des accords d'entreprise, cela signifie que les parties à l'accord doivent faire preuve d'une grande vigilance. Elles doivent veiller à ce que les accords contiennent des dispositions détaillées garantissant la protection des données à caractère personnel des employés. Cela inclut également l'obligation de prendre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données et empêcher tout accès non autorisé.
En outre, les parties à l'accord d'entreprise doivent veiller à ce que les accords soient transparents et que les employés soient pleinement informés des procédures de traitement des données. Cela implique notamment de définir clairement les finalités du traitement des données et de préciser les catégories de données concernées.
Dans l'ensemble, la décision de la CJUE exige une coopération étroite entre les employeurs et les représentants des salariés. C'est la seule façon de garantir que le traitement des données à caractère personnel dans le contexte de l'emploi réponde aux exigences élevées du RGPD et que les droits et libertés des employés soient préservés de manière pragmatique.
Les positions et opinions émises dans cette rubrique n'engagent que leur auteur.
