Le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée (Cass.Soc., 02.10.2001., n°99-42942).

 

Ce principe souffre d'exceptions croissantes sous les coups des revirements de la Cour de cassation mais aussi de la diversification des moyens de contrôle des salariés.

 

Le recueil de données personnelles par l'entreprise est quasiment devenu une norme...

Les obligations liées au traitement des données ainsi recueillies sont jusqu'à présent assez simples.

 

L'article L.1222-4 du code du travail dispose que :

« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance »

 

A défaut de respect de cette obligation, le système ne peut être utilement opposé au salarié (Cass.Soc., 3 novembre 2011, 10-18.036).

 

A compter du 25 mai 2018, le Règlement Général de Protection des Données entrera en vigueur.

Il accroit significativement les obligations des entreprises en matière de recueil et de traitement des données personnelles.

 

Désormais, l'article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques dispose que :

« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé ». 

 

Le principe est donc le consentement libre et éclairé et la simple information semble donc insuffisante.

 

Le droit communautaire prime le droit national de telle sorte que les systèmes simplement déclarés pourraient être déclarés inopposables aux salariés à compter du 25 mai 2018.

 

L'information devient le support du consentement. A défaut d'un tel consentement, il sera possible d'invoquer ce règlement communautaire pour s'opposer au recueil de données mais aussi et surtout à leur production judiciaire.

 

En savoir plus sur le RGPD.