FOCUS RGPD et employés : quel cadre légal ?
Veille Juridique – Mai 2019.
Deux affaires récentes impliquant une grande librairie en ligne posent la question de la marge de manœuvre des employés en matière de traitement des données à caractère personnel des clients de l’entreprise.
Si le traitement de données est aujourd’hui encadré de façon détaillée par la loi et par de nombreuses lignes directrices – que ce soit celles de la CNIL ou du Comité européen de protection des données (EDPB) – les responsabilités au sein même de l’entreprise suscitent encore beaucoup de questions.
Quelle est la responsabilité de l’employeur quant à la façon dont ses employés traitent des données à caractère personnel ? Quelques principes doivent être gardés à l’esprit :
Le champ d’application du RGPD est large[1]. En effet le traitement automatisé de données à caractère personnel couvre les opérations réalisées sur les données à partir des logiciels traditionnellement utilisés en entreprise : bases de données, courrier électronique, tableurs par exemple, ainsi que, le cas échéant, traitements de données effectués à partir de logiciels de traitement de texte.
La responsabilité des actes des employés repose de façon générale sur l’employeur au regard du Code Civil2 mais aussi au regard du RGPD, car l’employeur est le responsable de traitement : c’est lui qui définit les moyens et les finalités du traitement au sens de la loi3.
Pour cette même raison, l’employeur sera responsable en cas de brèche de sécurité, même si celle-ci résulte du fait d’un employé, car c’est à l’employeur qu’incombe l’obligation de sécuriser les données au sein de son entreprise4.
Si l’employeur est responsable vis-à-vis des tiers, il peut bien entendu se retourner contre l’employé qui aurait agi de manière illégale, notamment pour délit d’abus de confiance ou escroquerie, et imposer une sanction disciplinaire voire un licenciement. Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est aussi sanctionné pénalement.
Indépendamment de la responsabilité de l’employeur, l’employé peut également supporter une responsabilité propre au regard de son employeur mais aussi des tiers : l’employé qui s’écarte des directives données par l’employeur et poursuit des finalités propres devient lui-même responsable du traitement au sens de la loi (voir l’analyse du Groupe européen de l’article 29 6 – aujourd’hui EDPB).
Il en va de même s’il viole la charte informatique de l’entreprise pour utiliser les données pour son propre compte.
En conclusion, il est essentiel pour l’employeur de prendre les précautions suivantes :
- Définir de façon précise les finalités et moyens de traitement et porter ce cadre à l’attention des employés
- Leur faire signer une clause de confidentialité annexée au contrat de travail ainsi qu’une charte informatique
- Associer le DPO et le comité d’entreprise à l’élaboration de ces documents.
Ces précautions auront le double avantage de mieux protéger les personnes dont les données sont traitées, et de clarifier la responsabilité de l’employeur en cas d’abus.
On notera que les employés bénéficient aussi d’une protection de leur vie privée – et de leurs données à caractère personnel – sur leur lieu de travail. Ceci fera l’objet d’autres développements.
Et aussi:
En France :
La CNIL a publié le 15 avril son rapport d’activité et annonce concentrer ses futurs contrôles sur le respect des droits des individus, le traitement des données des mineurs et la répartition des responsabilités entre responsable et sous-traitant.
Dorénavant présidée par Marie-Laure Denis, la CNIL dispose d’un nouveau collège.
En Europe :
L’EDPB a adopté le 12 avril des lignes directrices sur la collecte de données dans le cadre des services de la société de l’information, et s’attache en particulier à la base légale de la collecte dans le cadre d’une relation contractuelle avec le client (article 6 (1) (B) RGPD). Ce texte est soumis à consultation publique jusqu’au 24 mai.
Dans le monde :
Le Nigéria adopte une loi sur la protection des données semblable au RGPD.
1 Articles 2.1. et 4 1) et 2) RGPD.
2 Voir notamment l’article 1242 alinea 1 et alinea 5 du Code Civil.
3 Article 4.7) RGPD.
4 Article 32 RGPD.
5 Article 323-1 du Code Pénal.
6 Page 16