[author: Maximilian Plote]
Si les employeurs et les comités d’entreprise conviennent de « règles plus spécifiques » dans un accord d’entreprise concernant le traitement des données personnelles des salariés dans le contexte du travail (article 88, paragraphe 1, du RGPD), celles-ci doivent tenir compte des principes généraux de protection des données, notamment la licéité du traitement (art. 5, art. 6 et art. 9 du RGPD), selon la Cour de justice européenne (CJCE). En outre, un tel contrat de travail est entièrement soumis au contrôle des tribunaux ; toute marge discrétionnaire non soumise au contrôle judiciaire doit être rejetée (Décision du 19 décembre 2024, dossier n° C-65/23).
Le cas
L’employeur avait initialement conclu un accord de travail temporaire avec le comité d’entreprise constitué dans l’entreprise, puis un accord d’entreprise sur l’utilisation du logiciel « Workday » avec le comité d’entreprise. Cet accord d’entreprise prévoyait notamment que les données spécifiquement identifiées des employés pouvaient être transférées vers un serveur de la société mère aux États-Unis. Un salarié a intenté une action devant le Tribunal du Travail pour obtenir l’accès à certaines informations, la suppression des données le concernant et des dommages et intérêts. Il faisait valoir, entre autres, que son employeur avait transféré des données personnelles le concernant sur le serveur de la société mère, dont certaines n’étaient pas précisées dans l’accord de tolérance au travail. N’ayant pas obtenu gain de cause devant le Tribunal du travail, le salarié a fait appel devant le Tribunal fédéral du travail (BAG). Le BAG a posé trois questions préjudicielles à la CJUE.
Exigences générales du RGPD auxquelles les parties sont tenues
La CJCE a répondu à la première question préjudicielle en précisant que l’art. 88, paragraphes 1 et 2, du RGPD doit être interprété comme exigeant qu’une loi nationale adoptée en vertu de l’art. 88, paragraphe 1, du RGPD ne doit pas seulement répondre aux exigences découlant de l’art. 88 (2) du RGPD, mais aussi celles découlant de l’art. 5, art. 6 (1) et l’art. 9 (1) et (2) du RGPD. Le tribunal précise ainsi que les parties à un contrat de travail doivent également respecter l’exigence de nécessité (dans le cadre de la licéité du traitement au sens de l’article 6, paragraphe 1, et de l’article 9, paragraphes 1 et 2 du RGPD). dans le cadre d’un contrat d’entreprise, mais aussi les principes du traitement des données (Art. 5 du RGPD). En conséquence, les traitements réglementés dans les contrats de travail devraient également remplir les exigences du RGPD en matière de licéité du traitement. Cela serait non seulement conforme au contexte de l’art. 88 du RGPD et le libellé de la disposition, mais aussi avec l’objectif du RGPD qui est d’assurer un haut niveau de protection des salariés à l’égard du traitement de leurs données personnelles.
Contrôle judiciaire complet des accords de travail
Si les parties à l’accord d’entreprise édictent des « règles plus spécifiques » dans un accord d’entreprise en ce qui concerne le traitement des données personnelles des salariés dans le contexte de l’emploi, ces règles sont soumises à un contrôle approfondi par les tribunaux (du travail) nationaux, selon le CJUE en réponse à la deuxième question préjudicielle. Les tribunaux devraient examiner si les dispositions du contrat d’entreprise violent le contenu et les objectifs du RGPD. Si tel était le cas, ces dispositions seraient inapplicables. L’autorité de régulation du comité d’entreprise et de l’employeur en vertu de l’art. L’article 88, paragraphe 1, du RGPD ne prévoit aucun pouvoir discrétionnaire pour appliquer les exigences de nécessité de manière moins stricte ou pour y renoncer. Pour des raisons d’efficacité ou de simplicité, les parties à l’accord d’entreprise ne peuvent pas faire de compromis d’une manière qui compromettrait indûment l’objectif du RGPD d’assurer un niveau élevé de protection des salariés.
Une réponse à la troisième question, qui concernait la mesure dans laquelle le contrôle judiciaire peut être restreint, n’était plus nécessaire en raison de la réponse à la deuxième question.
Note pratique
La décision de la CJUE n’est guère surprenante et met finalement un terme à la position adoptée en Allemagne, au moins jusqu’à l’entrée en vigueur du RGPD, selon laquelle un accord d’entreprise pouvait légitimer un traitement de données qui est illégal au regard des dispositions légales parce qu’il n’est pas « nécessaire ». Il est désormais clair que les parties à un contrat d’entreprise n’agissent en aucun cas en dehors de la loi et doivent respecter les exigences du RGPD en matière de licéité du traitement des données. Sur le plan juridique, la décision a peu d’impact, car dans la pratique, l’employeur et le comité d’entreprise n’étaient de toute façon guère en mesure de satisfaire aux exigences strictes de l’article 88, paragraphe 2, du RGPD dans un accord d’entreprise. Néanmoins, de nombreuses entreprises fondent encore les traitements individuels des données des salariés sur la « base juridique d’un accord d’entreprise ». Ces entreprises devraient vérifier si d’autres bases juridiques peuvent être utilisées, notamment pour éviter les menaces d’amendes et de demandes de dommages-intérêts de la part des salariés. Il est en outre conseillé à ces entreprises d’adapter leur documentation relative à la protection des données en conséquence. Enfin, l’arrêt de la CJCE doit être pris en compte par toutes les entreprises lors de la négociation de contrats d’entreprise sur des appareils techniques (article 87, paragraphe 1, n° 6 de la loi constitutionnelle allemande sur les entreprises (BetrVG)).
[View source.]
#Allemagne #les #accords #travail #peuvent #pas #légitimer #traitement #données #inadmissible #Piper #DLA