Une protection renforcée des données à caractère personnel des employés en Allemagne
La Commission européenne s´inquiète de la protection des données à caractère personnel des employés.
L´adoption du règlement 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel a pour but de définir le cadre dans lequel l´employeur peut utiliser les données personnelles de ses salariés dans les limites du respect de leur vie privée.
Déjà l´an passé, les Tribunaux allemands ont défini les contours de l´utilisation abusive d´internet à titre privé sur le lieu de travail. Vous trouverez un article à ce sujet de notre confrère Ulrich Martin ici.
Les Etats membres ont jusqu´au 25 mai 2018 pour transposer les nouvelles exigences européennes posées par ledit règlement.
L´Allemagne est en avance. Dès le 25 août 2017, elle a intégré les nouvelles exigences européennes en la matière dans sa loi fédérale de protection des données à caractère personnel (Bundesdatenschutzgesetz, BDSG). Cette loi redéfinie les limites déjà posées en droit allemand en matière de protection des données personnelles des salariés.
Quelles sont les nouvelles exigences européennes en matière de protection des données à caractère personnel des employés ?
Les exigences européennes sont larges. Le règlement européen 2016/679 du 27 avril 2016, donne la possibilités aux États membres de prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail.
La seule exigence est que les mesures prises par les pays doivent être « appropriées et spécifiques » pour protéger les intérêts légitimes des salariés, en accordant une attention particulière à la transparence du traitement et du transfert de données à caractère personnel au sein d‘un groupe d‘entreprises.
L´Allemagne a donc du délimiter les contours de cette protection et en assurer l´effectivité.
Quels sont les contours de cette protection transposée en l´Allemagne ?
- Personnes bénéficiant de cette protection
Les « employés » (« Beschäftigten »), dont les données doivent être protégées sont, entre autre :
- les salariés
- les intérimaires
- les salariés en période d´essai
- les candidats à un poste
- les personnes en formation
- les bénévoles
- les travailleurs à domicile
- les fonctionnaires
- Personnes soumises à cette obligation
La loi définit largement le champ des personnes qui doivent veiller au respect des données personnelles des employés.
Sont concernés :
- les employeurs, personne physique ou morale,
- les autorités publiques,
- les services ou autres organismes qui, seuls ou conjointement avec d‘autres, détermine les finalités et les moyens du traitement. Autrement dit, non seulement la personne qui embauche directement l´employé doit respecter ces exigences, mais également les tiers qui traitent les données pour l´employeur (par exemple, les sous-traitants).
- Cas d´utilisation des données à caractère personnel des salariés par l´employeur
La loi précise les conditions dans lesquelles l´employeur peut utiliser les données à caractère personnel des salariés. L´utilisation des données doit être « nécessaire » (« erforderlich ») à l'accomplissement d´un objectif précis, c´est à dire :
- pour la prise de décision relative à la relation de travail
Pour utiliser les données à caractère personnel de ses salariés, l´employeur doit justifier que cette démarche s´inscrit dans la relation de travail (« Beschäftigungsverhältnis »). Le caractère nécessaire de l´utilisation des données se fait par un contrôle de proportionnalité entre les intérêts de chacun.
La relation de travail concerne aussi bien son établissement, son exécution, et sa fin. Plus précisément, si l´utilisation des données concerne un des domaines suivants, elle est justifiée :
- du recrutement,
- de l‘exécution du contrat de travail,
- de la gestion du travail,
- de la planification du travail,
- de l‘organisation du travail,
- de l‘égalité,
- de la diversité sur le lieu de travail,
- de la santé,
- de la sécurité au travail,
- de la protection des biens appartenant à l‘employeur ou au client aux fins de la jouissance des avantages liés à l‘emploi.
- pour la mise en œuvre des droits collectifs des salariés au sein de l´entreprise
La loi autorise l´employeur ou le Comité d´entreprise à utiliser les données personnelles des salariés si elles sont nécessaires à la mise en œuvre de leurs droits collectifs au sein de l'entreprise.
- pour la révélation d´une infraction dans le cadre de la relation de travail
Cette possibilité autorise l´employeur à utiliser les données personnelles des salariés s´il le soupçonne d´avoir commis une infraction. L´employeur doit cependant justifier d´indices réels quant à l´existence du soupçon qui justifient l´utilisation des données. Là aussi, il est fait un contrôle de proportionnalité entre, d´un côté, l´information de l´employeur, et de l´autre, le respect de la vie privée du salarié.
Toute utilisation de données personnelles ne pouvant être justifiée par l´existence d´un soupçon (phrase 2, alinéa 1, art. 26 BDSG) peut être justifiée par l´existence même de la relation de travail (phrase 1, alinéa 1, art. 26 BDSG).
- si l´utilisation des données a expressément été consentie par le salarié
Si le salarié y consent expressément, l´employeur peut utiliser ses données personnelles. Les nouvelles dispositions figent la jurisprudence allemande rendue jusqu’à présent en la matière. Le consentement doit être :
- écrit.
- libre et éclairé. Or, il se peut que le lien de subordination qui lie l´employé à son employeur empêche d’influence le consentement de l´employé. Pour ce faire, la loi estime qu´un tel consentement n´est possible que s´il y existe un avantage pour le salarié d´accepter.
- accompagné du droit d´opposition du salarié par écrit. Il faut informer le salarié qu´il peut à tout moment, décider de retirer son consentement.
- Sanctions
Le règlement européen laisse aux États membres le soin de prévoir les sanctions en cas de violation par l´employeur de ses obligations en matière de protection des données de ses salariés.
Ainsi, la loi allemande prévoit le versement de dommages-intérêts au bénéfice du salarié. Le préjudice subi par le salarié peut être particulièrement important en matière de non-respect de sa vie privée, et les sommes versées par les employeurs sont souvent conséquentes. Il est important, pour les employeurs, de bien justifier le caractère « nécessaire » de l´utilisation des données personnelles du salarié.
30.08.2017