Un Flash Info LDAJ est disponible en pièce-joint dans cet article.
Cela peut concerner plusieurs éléments dont, la plupart du temps, la collecte illégale des numéros de téléphone fixe ou portable, des adresses mails personnelles des salariés et des agents publics dans l’unique but de pouvoir les contacter sur leurs repos, congés,…
Ces pratiques de collecte de données personnelles sont déloyales et illégales et ne respectent pas le RGPD - Règlement Général sur la Protection des Données - qui s’impose depuis près de 6 ans à tous les employeurs publics ou privés et à toutes les structures, y compris les syndicats, qui collectent des données personnelles dans l’Union Européenne.
Le RGPD - Règlement Général sur la Protection des Données
Le RGPD est un règlement européen qui détaille les nouvelles obligations liées à l’utilisation des données personnelles. Ce règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 concerne la législation sur les données personnelles et il est entré en vigueur le 25 mai 2018.
Le RGPD est disponible sur le site de la CNIL :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Un référentiel relatif aux traitements de données personnelles mis en oeuvre dans la gestion des ressources humaines est disponible sur le site de la CNIL : https://www.cnil.fr/sites/cnil/files/2023-09/referentiel_gestion_des_ressources_humaines.pdf
Un guide de la CNIL sur le respect du RGPD par les syndicats est aussi en ligne : https://www.cnil.fr/sites/cnil/files/2023-02/guide_-_organisations_syndicales.pdf
Les obligations des employeurs privés ou publics
L’employeur doit impérativement informer les salariés de tous les traitements de données personnelles pratiqués dans son établissement et de la finalité légale de la collecte de ces données. Pour rappel, il n’existe aucun finalité légale pour collecter les numéros de téléphone personnel fixe ou portable, mails personnels des salariés, y compris en cas de plan blanc.
L’information du traitement de leurs données personnelles doit être concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Cette information est faite par écrit ou par d’autres moyens y compris, lorsque cela est plus approprié, par voie électronique.
Le rôle des représentants du personnel dans les instances
Les représentants du personnel dans les instances représentatives du personnel (CSE, F3SCT,…) doivent impérativement exiger de l’employeur de leur communiquer des informations sur la collecte des données personnelles de leurs salariés.
Cela doit concerner :
- La légalité des traitements de données personnelles mis en œuvre ; L’employeur doit justifier sur quelle base légale il collecte les données des salariés ;
- L’information expresse des personnes visées par ces traitements et de leurs droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement ;
- La finalité et la proportionnalité du traitement : à quoi vont servir ces données et existe-t-il d’autres moyens ?
- La loyauté du traitement. Ils doivent s’assurer que le traitement n’est pas utilisé à d’autres fins que celles pour lequel il a été mis en place ;
- La durée de conservation limitée et la sécurité des données conservées (face à des attaques informatiques notamment).
- La mise en œuvre du registre de tous les traitements de collecte des données personnelles ;
- La désignation d’un délégué à la protection des données personnelles.
Toutefois, un employeur ne peut pas opposer le RGPD pour refuser de communiquer des informations aux représentants du personnel pour exercer leurs mandat électif ou aux employés dans le cadre d’une action juridique.
Cela a été le sens d’un arrêt de la Cour de cassation (Cass soc. 8 mars 2023 n°21-17.802) qui a rejeté l’argument de l’employeur qui refusait, sur le fondement du RGPD, de communiquer des bulletins de paie de 8 collègues masculins occupant des postes de niveau comparable, avec occultation des données personnelles à l’exception du nom et prénom, de la classification conventionnelle, de la rémunération mensuelle détaillée et de la rémunération brute totale cumulée par année civile.
Cette communication d’éléments portant atteinte à la vie personnelle d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi par la salariée à savoir la défense de son intérêt légitime à l’égalité de traitement entre hommes et femme en matière d’emploi et de travail.
Quoi faire en cas de non-respect du RGPD par un employeur ?
En cas de non respect du RGPD, il est possible pour les salariés, d’adresser un courrier recommandé avec AR à l’employeur en exigeant la suppression des données personnelles (téléphone, mails,..).
Les syndicats et les salariés concernés, peuvent aussi porter plainte en ligne auprès de la CNIL en signalant toutes les situations concrètes de collectes illégales des données personnelles dans le cadre de la gestion du personnel.
https://www.cnil.fr/fr/adresser-une-plainte
De même, il est possible d’engager une action juridique, notamment devant le juge judiciaire, pour obtenir des dommages intérêts. Il est également possible d’intenter des actions dites de groupe en vue de faire cesser des manquements aux dispositions du RGPD.
Les sanctions civiles et pénales des employeurs
Les amendes de la CNIL peuvent s’élever jusqu’à 10 millions d’€ ou dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
De même, l’article 226-16 du Code pénal prévoit, en cas de non-respect de la règlementation issue du RGPD, des sanctions pénales pouvant aller jusqu’à 300.000 € d’amende et 5 ans d’emprisonnement.
Pour exemple, la formation restreinte CNIL n°SAN-2021-019 du 29 octobre 2021 a sanctionné la RATP, pour violation du RGPD, d’une amende de 400.000 € après avoir constaté que plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d’évaluation qui servaient à préparer les choix de promotion.
© Secteur LDAJ de la Fédération CGT Santé Action Sociale - Mars 2024