Avocat en droit social et RGPD

Le RGPD a introduit des modifications importantes dans la manière d’appréhender la protection des données personnelles et s’invite de plus en plus dans le contentieux prud’homal. Les études qui y sont consacrées ainsi qu'à son application en droit du travail sont nombreuses. Nous avons tenu, plus spécifiquement, à mettre en lumière certains aspects qui ont exercé une influence sur la pratique de l’avocat en droit social.

384 contrôles réalisés, 14 143 plaintes reçues, 12 522 plaintes clôturées, 5000 notifications de violations de données reçues, 135 mises en demeure et 18 sanctions prononcées par la CNIL pour un montant cumulé d’amendes qui dépasse les 214 millions d'euros pour l’année 2021 [1]. Les chiffres du Règlement général de protection des données (RGPD) adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018 impressionnent. Si les violations constatées ne concernent pas que la matière sociale, le droit social est un droit formaliste qui implique, à plusieurs étapes, le traitement de données personnelles. Or, ses acteurs n’en ont pas toujours conscience.

Les entreprises, en leur qualité d’organismes collecteurs de données personnelles, n’étaient pourtant pas sans être confrontées à ces règles avant l’entrée en vigueur du RGPD. Le Code du travail prévoit ainsi des dispositions relatives à l’information des salariés et à la consultation du comité social et économique, tout comme la loi n° 78-17 Informatique et libertés du 6 janvier 1978 imposait des règles générales en matière de protections des données personnelles des salariés, précisées par plusieurs décisions de la CNIL. Par ailleurs, le droit à la protection des données a accédé au rang de droit fondamental, protégé par la Cour européenne des droits de l’homme, sur le fondement du droit à la vie privée [2]. Il ne faudrait pas pour autant que les entreprises en concluent que le respect de ces différentes obligations permet une protection suffisante des données personnelles. Le RGPD a en effet introduit des modifications importantes dans la manière d’appréhender cette protection et il s’invite de plus en plus dans le contentieux prud’homal.

Les études consacrées au RGPD et à son application en droit du travail sont nombreuses. Nous avons tenu, plus spécifiquement, à mettre en lumière certains aspects qui ont exercé une influence sur la pratique de l’avocat en droit social. Celui-ci, qu’il représente les intérêts des employeurs ou des salariés, ne peut en effet ignorer l’application du RGPD. Levier du contentieux, le RGPD est, plus que jamais, un enjeu du conseil en droit social.

Un levier du contentieux

Accéder à des éléments de preuve

Utilisation du droit d’accès aux données personnelles. Les dispositions du RGPD sont parfois invoquées par les salariés à l’occasion ou en prévision d’un litige avec l’employeur afin de prendre connaissance des informations le concernant et de pouvoir défendre au mieux ses intérêts. Sa demande sera fondée sur les principes du RGPD garantissant un droit d’accès aux données personnelles (RGPD, art. 15). L’employeur devra y répondre « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (RGPD, art. 12) ou dans un délai de trois mois en cas de demandes complexes ou nombreuses (RGPD, art. 12). Cette demande permet au salarié d’obtenir des éléments dont il pourra se prévaloir dans le cadre d’un contentieux prud’homal. À titre d’illustration, il pourra notamment solliciter l’accès aux images de vidéosurveillance s’il s’agit de contester la matérialité des faits ou à des extraits de l’outil de géolocalisation ou d’accès aux locaux s’il doit faire la démonstration d’heures supplémentaires. La demande d’accès est, pour l’employeur, particulièrement chronophage, en ce qu’elle le contraindra à réunir l’ensemble des documents demandés par le salarié. Elle le placera en outre dans une situation délicate si les règles relatives au RGPD n’ont pas été respectées.

Limites du droit d’accès aux données personnelles. L’employeur devra déterminer quels supports et quels contenus sont à transmettre au salarié en tenant compte, le cas échéant, de l’articulation avec la protection des droits et libertés d’autrui [3]. Sur ce point, quelques précisions ont été utilement apportées par la CJUE et par le Conseil d’État. Elles sont de nature à limiter l’intérêt du droit d’accès aux données personnelles dans l’optique d’obtenir des éléments de preuve. La CJUE a considéré qu’il appartenait à l’employeur de communiquer uniquement les données personnelles et que l’exercice du droit d’accès ne se traduisait pas par l’obligation de remettre une copie du...