Protection des données des salariés : quels risques pour les entreprises en Allemagne ?
Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, les entreprises doivent veiller au respect des règles applicables en matière de protection des données à caractère personnel. En Allemagne, s’ajoutent aux dispositions du RGPD les dispositions de la loi allemande sur la protection des données à caractère personnel (Bundesdatenschutzgesetz).
La protection des données joue également un rôle de plus en plus important en droit du travail, comme le montrent deux exemples :
1. Droit d’accès des salariés
Selon l’article 15 du RGPD, le salarié a le droit d’obtenir l’accès aux données personnelles le concernant que la société conserve et les informations sur leur traitement.
Ce droit est de plus en plus utilisé par les salariés comme moyen de pression contre leur employeur ou afin d’obtenir des informations utilisées en leur faveur en cas de contentieux.
En ce qui concerne l'étendue du droit d’accès, il n’existe pas de position claire dans la jurisprudence : Dans un arrêt récent, la Cour fédérale du travail (Bundesarbeitsgericht) a jugé que l'employeur n’est pas obligé de faire droit à une demande par laquelle un ancien salarié exige la communication de l’ensemble de ses courriels professionnels ainsi que des courriels de tiers dans lesquels son nom est mentionné au motif que cette demande était trop générale. Pour que sa demande soit recevable, le salarié aurait dû préciser de quels courriels il souhaitait exactement avoir la copie. La Cour suprême allemande (Bundesgerichtshof) estime quant à elle que le droit d’accès doit être entendu largement et que le salarié doit à ce titre pouvoir demander la communication de la copie de l’intégralité des données détenues par l’employeur (BGH, 15. Juli 2021, Az VI ZR 576/19).
L'étendue du droit à l'information ne pourra être déterminée qu'après une clarification définitive par la CJUE. Il est actuellement recommandé à l'employeur de fournir des informations complètes sur les données à caractère personnel si son salarié en fait une demande assez concrète.
2. Informations à fournir lorsque des données à caractère personnel sont collectées
Selon les articles 12 et 13 du RGPD, le responsable du traitement doit prendre des mesures appropriées pour permettre une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples sur la collecte et le traitement des données personnelles.
L’employeur qui est responsable du traitement des données des salariés est donc tenu d’informer les salariés des modalités de traitement des données à caractère personnel les concernant. Sont également salariés au sens de la loi les intérimaires, les apprentis, les candidats et les personnes dont la relation de travail a pris fin, cette liste n’étant pas limitative.
3. Sanctions
Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD a le droit d'obtenir réparation du préjudice subi. Concernant le montant des dommages et intérêts prononcés judiciairement, il va (jusqu'à présent) de cent euros jusqu’à 5.000 euros. Dans un jugement du 5 mars 2020, le Conseil de prud’hommes de Düsseldorf (9 Ca 6557/18 faisant l’objet d’un appel devant le Tribunal du travail régional de Düsseldorf sous le numéro de dossier 14 Sa 294/20) a par exemple condamné l'employeur au paiement de 5.000 euros en raison d’une communication tardive et incomplète des données. En l'espèce, l'employeur a fourni les informations avec 5 mois de retard et de manière incomplète. Le tribunal a considéré que l'employeur avait fait preuve de négligence.
En outre, le non-respect des règles relatives à la protection des données peut entraîner l’application d’amendes administratives pouvant s'élever jusqu'à 20 millions d’euros ou jusqu'à 4 % du chiffre d'affaires annuel. Dans chaque cas d'espèce, pour décider s'il y a lieu d'imposer une amende administrative et pour décider de son montant, il est dûment tenu compte, notamment des éléments suivants : la nature, la gravité et la durée de la violation, le fait que la violation ait été commise délibérément ou par négligence etc.
Conseils pratiques :
- Soyez très vigilants en matière de respect des normes RGPD au sein de votre entreprise car les conséquences en cas de manquement peuvent être lourdes ;
- Prenez au sérieux les demandes d’accès des salariés aux données à caractère personnel les concernant : vous êtes tenus de fournir les informations à la suite d'une demande formulée dans un délai d'un mois à compter de la réception de la demande, ce délai pouvant être exceptionnellement prolongé de deux mois en cas de demande complexe ;
- Pour satisfaire à votre obligation d'information, il convient de communiquer une note d’information sur la protection des données aux salariés, qui peut être annexée au contrat de travail. Nous sommes à votre disposition pour vous fournir ce document.