Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER

Dans son avant-dernier chapitre, le RGPD prévoit un certain nombre de situations particulières.

Ainsi, il garantit que la protection des données doit être « conciliée » avec la liberté d’expression et d’information. À cette fin, les États membres peuvent prévoir des exemptions sur à peu près tous les points du règlement (art. 85), il suffit de le notifier à la Commission. On peut s’étonner d’une liberté aussi large et aussi floue, qui traduit sans doute le pouvoir exorbitant pris par les médias dans nos sociétés.

Le cas des relations du travail est lui aussi distingué du droit commun. L’article 88-1 est explicite à ce sujet : « Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail ». À l’inverse de ce qui est prévu pour la presse, il s’agit là au contraire de laisser aux États une possibilité de renforcer la protection des données personnelles dans le cadre de rapports professionnels au sein d’une entreprise, ou d’un groupe d’entreprises, même si les salariés sont déjà considérés comme des « personnes vulnérables », nous l’avons vu. Sans doute a-t-on voulu se donner tous les moyens pour éviter des abus de la part d’employeurs éventuellement indélicats.

Le principe de la minimisation est rappelé pour les traitements « à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques », avec une précision : « chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière » (art. 87-1). Le paragraphe 2 du même article prévoit des dérogations en la matière, selon le droit de l’Union ou d’un État membre.

Des « règles spécifiques » peuvent par ailleurs être adoptées à l’égard des responsables de traitement ou sous-traitants, qui sont soumis à une « obligation de secret ». Sans doute veut-on prévenir ici toute mesure qui pourrait entraver le travail de services chargés de la sécurité (police et renseignement notamment).

Enfin, l’article 91 vise lui les églises et associations ou communautés religieuses. Il se contente de signaler que, si elles ont déjà pris des dispositions quant à la protection des données, elles peuvent continuer à appliquer ces règles à condition de les mettre en conformité, même si elles « sont soumises au contrôle d’une autorité de contrôle indépendante qui peut être spécifique ». La situation et le statut des églises étant très variables au sein de l’Union, on peut penser que ces possibilités dérogatoires par rapport à l’autorité de contrôle ne sont pas inutiles.