Profilage des salariés : quand le législateur européen joue les équilibristes

Posted on 31 octobre 2017 by La Chouette et le Poisson-lune Laisser un commentaire

L’ère précédant le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE[i] (ci-après RGPD) aura été marquée par un manque criant de règles spécifiques adaptées au monde du travail en matière de protection des données personnelles. Ainsi, le traitement automatisé de données de production d’un salarié se heurtait à la protection des données personnelles (et de la vie privée). Les données personnelles étaient définies dans leur acception la plus large afin de garantir un haut niveau de protection[ii]. Afin de rendre toute identification impossible, elles laissaient ainsi entremêlées, données à caractère personnel et données professionnelles issues du louage de la force de travail. Un coup était ainsi porté au pourtant sacro-saint pouvoir de direction de l’employeur qui assume les risques, tout comme au lien de subordination, critère à la base de la définition du contrat de travail[iii].

Les grincements de dents patronaux ont été entendus et le RGPD innove en intégrant la possibilité, sous conditions, du profilage aux fins d’analyse et prédictions des aspects concernant le rendement au travail de la personne concernée.

  • La longue maturation d’une problématique cornélienne

La volonté du législateur européen en matière de protection des données à caractère personnel des travailleurs n’est pas nouvelle. En 2002 déjà, la Commission européenne notait le besoin de règles plus claires et plus simples qui tiennent mieux compte de la relation employeur-travailleur. La Commission précisait alors que dans nombre de cas, le traitement des données à caractère personnel des travailleurs est une conséquence nécessaire et raisonnable de la relation employeur-travailleur, mais il peut comporter des risques pour les travailleurs. Rappelons que l’objectif principal poursuivi, – et c’est toujours le cas, était la libre circulation des données relatives aux travailleurs.

Le libellé du RGPD est inspiré directement des directives et bonnes pratiques de l’Organisation Internationale du Travail et de son Bureau, faisant elles-mêmes suite à la recommandation du Conseil de l’Europe n° R (89) 2 du 18 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi. Ces directives précisent le principe d’une utilisation, respectueuse de l’employé, des systèmes de contrôle et de surveillance. On les trouvait élevées au rang de principes généraux au point 5 du « Recueil de directives pratiques sur la protection des données personnelles des travailleurs ». Elles furent aussi adoptées par la Réunion d’experts sur la protection de la vie privée des travailleurs tenue à Genève du 1er au 7 octobre 1996.

Le profilage s’entend comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail[iv], la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique »[v]. Si on le connaît bien dans le cadre des publicités ciblées et du marketing en général, on ne l’assimile pas forcément à la collecte de données aux fins de surveillance de la productivité d’une personne sur son lieu de travail. Or, le législateur de 1995, par excès de zèle ou de frilosité, s’en était tenu par son silence, à un système de gestion à l’ancienne, au-dessus de l’épaule du salarié, avec force contremaîtres et autres managers.

Comprenons-le. Si on ne parle pas de données personnelles diffusables à une échelle planétaire et/ou à tout type de sociétés désireuses d’attirer le chaland, l’enjeu de la collecte de données de rendement du salarié n’en est pas moins important et délicat. Pourrait-on imaginer que ses défaillances dans le travail suivent le salarié tout au long de sa carrière, tel un casier judiciaire, le condamnant à ne pas retrouver du travail pour manque de productivité ? Pourrait-on imaginer que ce salarié soit sanctionné sur le seul fondement algorithmique ?

  • Le principe, des exceptions, des principes

Le RGPD rejette la possibilité d’une sanction du salarié uniquement fondée sur le résultat d’un traitement automatisé, mais au conditionnel. Il autorise dès lors le profilage mais l’encadre strictement.

Il s’en enquiert dans son considérant (71). En principe,  « La personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que […] des pratiques de recrutement en ligne sans aucune intervention humaine. »

Le RGPD prévoit néanmoins des exceptions. Ainsi, cette interdiction de décision uniquement fondée sur un traitement automatisé sera contournable lorsqu’elle s’avèrera « expressément autorisée par le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement est soumis, y compris aux fins […] d’assurer la sécurité et la fiabilité d’un service fourni par le responsable du traitement »[vi] ou « nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, ou si la personne concernée a donné son consentement explicite.[vii] » La décision sera en outre permise lorsque des mesures appropriées seront prévues « pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée »[viii].

Il encadre ces exceptions en rappelant que le but du RGPD étant d’offrir des garanties aux personnes concernées sur le traitement réservé à leurs données personnelles, il s’applique de facto à un traitement automatisé autorisé. Ledit traitement impliquera donc une information spécifique, ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision.[ix] Le législateur de l’UE couvre aussi les risques au niveau informatique. Ainsi, le risque d’erreurs doit être minimisé le plus possible ; les développeurs devront revoir et corriger en permanence les choix et formules mathématiques et/ou statistiques, afin d’assurer à la personne concernée un traitement équitable, transparent et non discriminatoire.

Enfin, le Considérant (72) du RGPD scelle le profilage en le soumettant aux règles du RGPD régissant le traitement des données à caractère personnel, par exemple le fondement juridique du traitement ou les principes en matière de protection des données. Le comité européen de la protection des données établi en remplacement du Groupe « Article 29 » devrait pouvoir publier des directives à cet égard.

Or donc, si sur le papier, tout a l’air sous contrôle, clair et fluide, tout en restant peu invasives, ces dispositions tiennent-elles leurs promesses à l’épreuve de la vie réelle?

  • Une mise en pratique qui pose question

Face à cette audace législative, les questions fusent: quand le profilage sera-t-il soumis au consentement du salarié, par essence vicié dans le cadre de la relation de travail? Quand, au contraire, entrera-t-il dans le cadre de l’exécution d’un contrat? Comme interrogeait la CNIL en France, «Dans quels cas une décision peut-elle […]  » affecter une personne de manière significative  » ? » Le pouvoir disciplinaire est-il seul visé ? Faudra-t-il laisser aux juges la tâche complexe de répondre à ces questions ? A autoriser le profilage, le législateur européen a-t-il finalement pris en compte toutes les craintes antérieures d’abus ayant amené à l’ultra-protection du salarié? Cette approche globale apparaît en effet très large, favorisant l’activité économique et la compétitivité de l’employeur.

Pouvait-il en être autrement? Fallait-il prendre des mesures générales au niveau de l’Union Européenne ? A cette dernière question, nous répondons par l’affirmative. En effet, l’harmonisation apparaissait indispensable afin d’éviter les distorsions de concurrence résultant de l’imposition d’exigences trop disparates entre Etats membres et afin ainsi de faciliter le déploiement d’activités transnationales.

Pour toutes les autres questions restées en suspens, une réflexion en profondeur apparaît nécessaire à une mise en pratique efficiente.

Enfin, il est opportun de se demander si les Etats membres ne seront pas amenés à préciser les règles du profilage a fortiori s’ils disposent de législation sectorielle. Les directives et bonnes pratiques de l’Organisation Internationale du Travail et de son Bureau pointaient déjà à l’époque du doigt la quasi-nécessité d’une approche sectorielle de la problématique.

«L’efficacité de tel ou tel règlement ou ensemble de principes dépend, dans une large mesure, de sa capacité de résoudre les problèmes propres à un environnement donné. Les règles très générales initialement élaborées pour discipliner le traitement des données font donc progressivement place à des dispositions sectorielles. Le traitement des données concernant les salariés illustre avec une netteté particulière la nécessité d’une approche sectorielle. En effet, la relation de travail est sans doute le seul domaine où l’on traite un si grand nombre de données personnelles sur une période aussi longue. Les employeurs réunissent des données personnelles sur les candidats à un emploi et sur les travailleurs à diverses fins: se conformer à la législation; faciliter la sélection pour l’embauche, la formation, l’avancement; assurer la sécurité des personnes, le contrôle de la qualité, le service à la clientèle, la protection des biens de l’entreprise; organiser le travail. L’octroi de nouveaux avantages sociaux, l’adoption de règlements visant à réduire les risques qui pèsent sur la santé et la sécurité des travailleurs et la nécessité grandissante où se trouvent les organismes publics, comme les services de l’emploi et les centres d’impôts, d’avoir accès à des informations personnalisées sont parmi les raisons qui expliquent la collecte d’un nombre croissant de données personnelles sur les travailleurs.

Compte tenu de la diversité des raisons qui conduisent à traiter les données personnelles des travailleurs et du volume croissant des données qui sont réunies et utilisées, il est difficile, à partir des règles générales applicables au traitement des données, d’apporter des solutions viables aux nombreux problèmes qui peuvent se poser sur le lieu de travail. Des lois nationales comme la loi française n° 82-689 du 4 août 1982 relative aux libertés des travailleurs dans l’entreprise et la plupart des lois allemandes concernant la protection des données, ainsi que des instruments internationaux comme la Recommandation n° R(89)2 du Conseil de l’Europe sur la protection des données à caractère personnel utilisées à des fins d’emploi ont ouvert la voie à une réglementation sectorielle. En même temps, l’adoption de «normes simplifiées» par la Commission nationale de l’informatique et des libertés (CNIL) en France et l’insertion de codes de bonne conduite dans les lois britanniques et néerlandaises sur la protection des données prouvent la nécessité d’un maximum de souplesse.

Si indispensables que soient donc les dispositions légales, des instruments complémentaires fondés sur un accord entre employeurs et travailleurs peuvent jouer un rôle décisif dans l’élaboration des règles régissant le traitement des données personnelles.»

Le RGPD consacre l’indispensable consentement éclairé de la personne concernée, cherche à obtenir sa confiance en lui donnant information et moyens d’accès et de recours. L’article 7 RGPD prévoit ainsi que le responsable de traitement doit être en mesure de prouver que le consentement a été donné et la personne concernée peut aussi dorénavant retirer son consentement. L’application de ceci à la relation de travail laisse pour le moins dubitatif. L’avenir et la pratique nous diront rapidement si notre prédiction d’instruments complémentaires s’avère fondée.

[i] Entré en vigueur le 24 mai 2016 et applicable à partir du 25 mai 2018

[ii] Article 2 a) de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : «données à caractère personnel»: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale

[iii] Voir “Protection des données personnelles et relation contractuelle de travail: le miroir aux alouettes?” L. Raphael, les cahiers du droit luxembourgeois #13, octobre 2011

[iv] NDLR: c’est nous qui soulignons

[v] Article 4, 4) RGPD

[vi] Considérant 71

[vii] Article 22 RGPD

[viii] Article 22 RGPD

[ix] Considérant 71

Tagged with: ,
Publié dans Articles juridiques

The tramp stamp

Posted on 26 septembre 2016 by La Chouette et le Poisson-lune Laisser un commentaire

Curieux comme dès la première poignée de mains, au moment où l’on m’a présentée à elle, j’ai su que cela n’allait pas aller.

Source : The tramp stamp

Publié dans Non classé

Ma Beauté

Posted on 2 septembre 2016 by La Chouette et le Poisson-lune Un commentaire

Je ne voulais pas d’enfant.

Je trouvais que ça rendait con.

Read more ›

Tagged with: , ,
Publié dans un peu de moi

Visiter les Etats-Unis : d’Ouest en Est – Itinéraire #4

Posted on 25 août 2016 by La Chouette et le Poisson-lune Laisser un commentaire

Devinez quoi ? Nous n’irons pas à Las Vegas cette fois. Tout arrive.

Read more ›

Tagged with: , , , , , , , , , , , ,
Publié dans carnets de voyage, Etats-Unis

Visiter les Etats-Unis : d’Ouest en Est – Itinéraire #3

Posted on 21 août 2016 by La Chouette et le Poisson-lune Laisser un commentaire

Pour ce troisième itinéraire, on va commencer à lentement mais surement se décaler vers l’Est, pour rejoindre paradoxalement les paysages extraordinaires du Far West. Cet itinéraire nous mènera de Salt Lake city à Las Vegas. Vos mirettes vont être choyées.

Read more ›

Tagged with: , , , , , , , , , , ,
Publié dans carnets de voyage, Etats-Unis

Visiter les Etats-Unis : d’Ouest en Est – Itinéraire #2

Posted on 17 août 2016 by La Chouette et le Poisson-lune Laisser un commentaire

Second itinéraire californien, avec plus d’océan dedans.

Itinéraire #2

Read more ›

Tagged with: , , , , ,
Publié dans carnets de voyage, Etats-Unis

Visiter les Etats-Unis : d’Ouest en Est – Itinéraire 1

Posted on 14 août 2016 by La Chouette et le Poisson-lune Laisser un commentaire

Quand un pays est immense comme c’est le cas des Etats-Unis, deux choix de voyage s’offrent à vous. Tout va dépendre de votre temps et de votre budget. Ainsi, soit vous en faites le tour, moyennant des vols internes, soit vous visitez région par région.

Nous avons opté pour la seconde option et les avons visités d’Ouest en Est en 4 fois. Bon, 6 fois en fait car nous sommes retournés 3 fois en Californie, avec une 4e fois prévue bientôt. Quand on aime, on ne compte pas…

Voici donc nos itinéraires, vous en ferez ce que vous voudrez.

Read more ›

Tagged with: , , , , ,
Publié dans carnets de voyage, Etats-Unis

Bali me manque (4): les Balinais

Posted on 10 août 2016 by La Chouette et le Poisson-lune Laisser un commentaire

Quatrième volet de notre voyage à Bali. Si vous n’êtes pas déjà partis entretemps, nous pensons vous convaincre avec ces derniers détails.

Read more ›

Tagged with: , , , , ,
Publié dans Bali, carnets de voyage

Bali me manque (3): les Balinais

Posted on 7 août 2016 by La Chouette et le Poisson-lune Laisser un commentaire

Nous ne nous étions donc pas immiscés dans une cérémonie de crémation car nous avions été invités par un des employés de l’hôtel à assister à la cérémonie du temple de son village dans les jours qui suivirent notre arrivée à Ubud.

Read more ›

Tagged with: , , , ,
Publié dans Bali, carnets de voyage

Bali me manque (2): les Balinais

Posted on 3 août 2016 by La Chouette et le Poisson-lune Un commentaire

L’échange avec les autochtones fait partie, pour moi, de l’essence même d’un voyage, indissociable des paysages et autres explorations culturelles. Même si les 3 semaines, que nous nous octroyons chaque fois quand nous partons loin, ne suffisent pas à prétendre connaître une population, ses coutumes, ses réactions, il n’en demeure pas moins qu’elles sont vecteurs de surprises et de questionnement sur nos propres coutumes, sur l’influence de notre inconscient collectif tout comme elles sont vecteurs de tolérance et d’acceptation de la différence, d’humilité sur notre savoir être.

Je ne peux donc pas vous parler de voyage sans vous parler de mes rencontres avec les gens, de mes anecdotes avec eux, de mes émotions à leurs côtés.

Read more ›

Tagged with: , , , , ,
Publié dans Bali, carnets de voyage
La chouette et le poisson-lune

Follow La Chouette et le Poisson-lune on WordPress.com

Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.