La surveillance des salariés : Une pratique démodée

De plus en plus d’entreprises cherchent à analyser les performances de leurs salariés afin d’envisager au mieux leur évolution de carrière. Cependant, le traitement de ces données ne peut être fait à la légère comme le démontre la sanction prise par la CNIL allemande à l’encontre de l’enseigne H&M.
De 2014 à 2019, la direction du magasin H&M de Nuremberg a mis en place un système de
recueil d’informations confidentielles à propos de ses salariés afin de déterminer leur évolution de carrière. Les données collectées relevaient de divers domaines de la vie privée des collaborateurs telles que des informations sur les conflits familiaux ainsi que des données dites sensibles comme les croyances religieuses ou des données de santé allant de la simple fuite urinaire au cancer.

Toutes ces données étaient collectées à l’insu des collaborateurs notamment lors de
discussions informelles ou d’entretiens au retour des absences des salariés. Elles étaient
ensuite répertoriées et rendues disponibles à la lecture pour une cinquantaine de
responsables. L’objectif était d’évaluer et de profiler les salariés afin de prendre des décisions sur les évolutions de carrière.
C’est grâce à une erreur informatique qui a rendu disponible ces informations à l’ensemble
des salariés que le traitement illégal a été découvert.
Une donnée personnelle est une information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte (article 4-1 RGPD). C’est-à-dire une personne que l’on va pouvoir identifier grâce aux informations que l’on possède sur elle, soit directement avec un nom de famille ou un numéro de téléphone, soit indirectement en utilisant plusieurs informations tel qu’un prénom et une adresse.

Le traitement des données personnelles s’entend comme la collecte, l’enregistrement,
l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de données personnelles (article 4-2 RGPD). Ainsi, la simple lecture de données personnelles sur une fiche papier relève déjà du traitement de données tout comme le fait d’inscrire des informations concernant ses salariés sur un tableur.
Certaines données sont dites sensibles telles que l’origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques ou syndicales, les données de santé ou l’orientation sexuelle d’une personne (article 9 du RGPD). Ces données ne peuvent en principe pas faire l’objet d’un traitement sauf consentement exprès de la personne ou cas particulier et doivent faire l’objet d’une protection et d’un traitement tout particulier puisqu’elles relèvent de la vie privée.

H&M en recueillant des informations sans en informer ses salariés et sans but légitime a
enfreint plusieurs principe fondamentaux du RGPD à savoir la nécessité d’avoir une base
légale pour le traitement des données et la minimisation des données au regard des finalités pour lesquelles elles sont traitées.

I. La base légale du traitement des données

Le traitement des données personnelles est strictement encadré par le RGPD qui prévoit
notamment dans son article 5 que le traitement doit se fonder sur une base légale. Cela signifie que le traitement et la collecte des données (à noter que la simple collecte de données constitue déjà un traitement au sens du RGPD) ne peut se faire que sous certaines conditions. En effet, il n’est possible de traiter des données qu’avec le consentement libre, éclairé et réversible du salarié, ou en cas de risque vital pour la personne, d’un contrat ou encore d’une obligation légale.
Il est par exemple nécessaire pour une entreprise de récolter des ordonnances médicales pour traiter les arrêts maladies des salariés.

De plus, certaines données telles que les données de santé sont dites sensibles et leur
traitement est tout simplement interdit en vertu de l’article 9 du RGPD sauf cas particulier et est encadré très strictement.

Le salarié non informé du traitement, ne pouvait donc ni y consentir ni exercer paisiblement ses droits.

En l’espèce, H&M n’informait absolument pas ses salariés de la collecte des données. Le
salarié non informé de la collecte, ne pouvait donc ni y consentir ni exercer paisiblement ses droits. En effet, s’il est par exemple nécessaire pour le pôle RH de l’entreprise de récolter des informations sur la santé des salariés, à des fins légales sans consentement du salarié, il n’est pas possible pour les supérieurs de traiter ces données à la seule fin de décider de leur évolution de carrière.

Si le traitement sans base légale constitue en soi une violation du RGPD suffisante pour
condamner l’enseigne, la CNIL allemande relève aussi que le traitement des données ne peut être effectué que pour ce qui est strictement nécessaire aux finalités pour lesquelles elles sont traitées.

II. La minimisation du traitement

Le RGPD prévoit que les données ne peuvent être traitées que pour des finalités déterminées en amont du traitement et de manière adéquate, pertinente et limitée à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées. C’est ce que l’on appelle la minimisation du traitement (article 5 RGPD).

Cela signifie que l’on ne peut pas collecter des données sur les salariés pour les traiter
ultérieurement ‘’à toutes fins utiles’’ sans que l’objectif du traitement ne soit défini au préalable. Cela implique qu’il faut limiter le traitement à ce qui est strictement nécessaire, c’est-à-dire ne collecter que les informations utiles et uniquement pour la finalité déterminée en amont du traitement. Ainsi, l’ordonnance médicale d’un salarié peut être collectée et traitée par le pôle RH afin de gérer les absences et les conséquences diverses que cela peut avoir mais les données ne peuvent être accessible à d’autres pôles de l’entreprise car le traitement ne serait plus minimisé. En tout état de cause, collecter des informations sur la vie conjugale des salariés afin de déterminer l’évolution de carrière n’est en aucun cas compatible avec un traitement minimisé des données.

En l’occurrence, H&M récoltait des données personnelles et sensibles sur ses salariés sans
que la finalité ne soit déterminée ni limitée à ce qui était strictement nécessaire. Aucune finalité n’était déterminée de manière explicite et préalable. Quand bien même la finalité du traitement aurait pu être le suivi des salariés, le traitement n’était pas minimisé en ce sens que des informations sans aucune pertinence quant à la compétence des salariés telle que leur situation maritale ou maladies passagères et anodines étaient répertoriées. De plus, ces données étaient accessibles à l’ensemble des dirigeants de l’entreprise et non uniquement au dirigeant du pôle de chaque salarié.
Le traitement n’était donc ni justifié, ni déterminé, ni minimisé.

III. La sanction

La filiale Allemande de la société H&M a été condamnée par la Bundesbeauftragte für den
Datenschutz und die Informationsfreiheit
(l’équivalent allemand de la CNIL), à payer une
amende de 35, 3 millions d’euros pour non-respect des données personnelles de ses
salariées. Cette affaire démontre bien la nécessité de former les salariés quant à leurs droits et obligations en vertu du RGPD. Une simple formation du personnel aurait pu empêcher le traitement irrégulier. Si cette amende peut sembler exemplaire, il n’en est rien en réalité. En effet, la violation du RGPD peut entraîner des sanctions allant jusqu’à 4% du chiffre d’affaires annuel mondiale de l’entreprise.

Les entités de contrôle nationale des Etats Membres de l’UE deviennent de plus en plus
sévères en la matière, estimant que le RGPD en vigueur depuis plusieurs années maintenant, doit être appliquée de manière stricte.

Ainsi, le 7 décembre 2020, la CNIL sanctionnait Google d’une amende de près de 100 millions d’euros pour pause de cookies publicitaires sur les ordinateurs des utilisateurs sans leur consentement

Maître Philippe SIMON

A Grenoble, le 13 mai 2021.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :