Articles

L’arrêt du Tribunal de l’Union européenne du 26 avril 2023[1], en optant pour une approche subjective de la pseudonymisation des données, tend à restreindre de façon très importante l’application du droit de la protection des données à caractère personnel.

Pourtant, comme nous allons le voir, il n’est pas encore certain qu’il faille donner à cette décision les atours d’une révolution.

I – L’approche subjective de la pseudonymisation par le Tribunal

La décision du Tribunal concerne une affaire opposant le Conseil de résolution unique (CRU) au Contrôleur européen de la protection des données (CEPD).

Le CRU avait mis en place en 2018 une procédure permettant à des actionnaires de Banco Popular d’être entendus à la suite d’une procédure d’insolvabilité les ayant potentiellement lésés.

Ce droit d’être entendu a été mis en œuvre en suivant deux étapes : une phase d’inscription tout d’abord, au cours de laquelle les actionnaires pouvaient faire part de leur intérêt à participer. Après vérification par le CRU de la qualité d’actionnaires des personnes inscrites, s’ouvrait une phase de consultation offrant la possibilité aux actionnaires de commenter la décision de valorisation litigieuse.

Une fois les commentaires collectés, le CRU les a analysés et a demandé à Deloitte, en qualité d’évaluateur indépendant, d’évaluer les commentaires pertinents relatifs à la valorisation litigieuse.

Seuls les commentaires ont été transmis à Deloitte, accompagnés pour chacun d’eux d’un code alphanumérique. Ce code permettait au CRU de relier les commentaires aux données identifiantes reçues lors de la phase d’inscription. Deloitte de son côté n’avait pas accès à la base de données collectées lors de la phase d’inscription.

En 2019, cinq réclamations sont portées devant le CEPD en raison de l’absence d’information des actionnaires ayant répondu au questionnaire concernant la transmission de leurs commentaires par le CRU à Deloitte notamment.

Pour sa défense, le CRU a fait valoir devant le CEPD que les données communiquées à Deloitte ne seraient pas des données à caractère personnel et partant que la règlementation relative à la protection des données à caractère personnel ne s’appliquait pas.

Cette argumentation n’est pas suivie par le CEPD pour lequel « les données que le CRU a partagées avec Deloitte étaient des données à caractère personnel »[2] car le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase d’inscription aux commentaires reçus lors de la phase de consultation, bien que les données fournies par les participants pour s’identifier lors de la phase d’inscription n’aient pas été communiquées à Deloitte. Deloitte répondait donc bien à la qualification de destinataire dont l’identité aurait dû être communiquée aux personnes intéressées.

C’est cette décision du CEPD qui est attaquée par le CRU devant le TUE.

Le point majeur de la discussion devant le Tribunal concerne la définition des données à caractère personnel.

Le Tribunal rappelle tout d’abord, conformément à la définition que l’on retrouve tant à l’article 4 du Règlement Général sur la Protection des Données[3] (RGPD) qu’à l’article 3 du Règlement 2018/1725[4], qu’une information constitue une donnée à caractère personnel, notamment, si deux conditions cumulatives sont réunies, à savoir :

  •  que cette information « se rapporte » à une personne physique et,
  •  que cette personne soit « identifiée ou identifiable ».

La discussion porte tout d’abord sur les commentaires en tant que tels transmis par le CRU à Deloitte.

Pour le CRU, ces commentaires ne sont pas des données à caractère personnel, ces informations étant « factuelles et juridiques » et « indépendantes des personnes ou des qualités personnelles des réclamants et sans rapport avec leur vie privée »[5]. Pour le CEPD à l’inverse, ces commentaires relèvent de la catégorie des données à caractère personnel, car les réponses des personnes concernées « contenaient et reflétaient leur point de vue personnel »[6].

Le Tribunal s’appuie sur l’appréciation de la Cour, notamment au sein de l’arrêt Nowak[7] pour indiquer que pour qualifier un point de vue de donnée à caractère personnel il convient de s’appuyer « sur l’examen visant à déterminer si, par son contenu, sa finalité ou son effet, un point de vue est lié à une personne déterminée »[8].

Au regard de ces éléments, le Tribunal reproche au CEPD de n’avoir examiné « ni le contenu, ni la finalité, ni l’effet des informations transmises à Deloitte ». Partant, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations « se rapportant » à une personne physique.

Le second point discuté concerne la question de savoir si les commentaires transmis à Deloitte par le CRU se rapportent à une personne physique « identifiée ou identifiable ».

Pour le CRU, la communication du code alphanumérique à Deloitte n’a pas conduit à transmettre des données seulement pseudonymisées mais bien anonymisées dans la mesure où le CRU n’a pas partagé avec Deloitte les informations permettant de réidentifier les auteurs des commentaires. Deloitte n’aurait pas eu de moyens légaux d’accéder aux informations supplémentaires d’identification et il n’y aurait donc pas de possibilité raisonnable de combinaison des informations permettant à Deloitte de donner une identité aux codes alphanumériques transmis. Le risque de réidentification étant insignifiant, les informations transmises à Deloitte ne relèvent pas de la catégorie des données à caractère personnel.

A l’inverse, le CEPD soutient qu’à partir du moment où un tiers détient la correspondance entre un code et une identité, les données sont « indirectement » identifiantes et doivent être considérées comme pseudonymisées et non anonymisées. Le CEPD complète sa réponse en précisant que le règlement 2018/1725 n’opérait pas de distinction entre les organismes qui conservaient les données pseudonymisées et ceux qui détenaient les informations supplémentaires et que le fait qu’il s’agissait d’entités différentes n’avait pas pour effet de rendre anonymes les données pour l’entité non détentrice des informations supplémentaires.

Pour se positionner sur ce point, le Tribunal s’appuie sur l’arrêt Breyer de la CJUE, du 19 octobre 2016 concernant la question de savoir si une adresse IP dynamique pouvait être qualifiée de données à caractère personnel pour un site internet alors que seuls l’accès à des informations détenues par le fournisseur d’accès à Internet (FAI) pouvait lui permettre d’identifier à qui appartenait l’adresse IP[9]. Conformément au considérant 26 de la directive, la Cour précise que le fait que les informations permettant l’identification soient détenues par des personnes différentes n’empêche pas la qualification de données à caractère personnel. Néanmoins, la Cour estime qu’une analyse est nécessaire afin de déterminer si la possibilité de combiner l’information détenue avec les informations supplémentaires détenues par un tiers constitue un « moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée ». Tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant.   

Dans l’arrêt Nowak, la Cour avait conclu à la qualification de données à caractère personnel car un site internet dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires détenues par le FAI.

A la lumière de cette décision de la Cour, le Tribunal précise que « pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables »[10].

Le Tribunal considère que le CEPD aurait donc dû examiner si les commentaires transmis à Deloitte constituaient, à l’égard de celui-ci, des données à caractère personnel, et pour cela si la réidentification était raisonnablement possible. N’ayant pas recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à « une personne physique identifiable ».

La décision du CEPD est donc annulée.

II – Constats et interrogations

Le point qui fera l’objet ici d’un commentaire est le second point de l’analyse du TUE relatif au caractère identifié ou identifiable des personnes dont Deloitte disposait des commentaires.

Si l’analyse du TUE concernant ce point devait perdurer, son impact sur le droit de la protection des données serait fondamental. En effet, cette approche étend la notion de l’anonymisation et réduit d’autant celle de pseudonymisation. En prescrivant la réalisation d’une analyse du caractère identifiable des personnes concernées du côté du détenteur des informations, ces deux notions revêtent un caractère purement subjectif. Des données pourraient être pseudonymisées pour un responsable de traitement, mais anonymisées pour un destinataire dès lors que ce dernier ne détiendrait pas les informations permettant d’identifier les personnes concernées et ne disposerait pas « de moyens légaux et réalisables en pratique » d’accéder à ces informations. Si le caractère subjectif et donc fluctuant de ces notions devait être consacré, l’applicabilité du droit de la protection des données à caractère personnel en serait diminuée. En effet, à partir du moment où les données sont anonymisées, le cadre juridique visant à protéger les données à caractère personnel n’est plus applicable. Ainsi, par exemple, dans une relation où un responsable de traitement transmet des données pseudonymisées à un tiers, sans moyen pour ce tiers de réidentifier les personnes concernées, ces données deviendraient anonymisées pour ce tiers. Il n’y aurait plus de nécessité de qualifier ce destinataire au regard du RGPD. Ce tiers ne serait pas soumis à l’ensemble des obligations du RGPD pour les données transmises, notamment concernant leur sécurité. Ce raisonnement permettrait par ailleurs de contourner un bon nombre de difficultés concernant les transferts de données hors de l’UE dès lors que l’on peut prouver que ce destinataire hors UE ne dispose pas de moyens réalisables en pratique d’accéder aux informations identifiantes.

Pour autant, avant de crier à la révolution, plusieurs points méritent d’être relevés.

En premier lieu, le Tribunal reproche au CEPD de ne pas avoir appliqué le raisonnement développé par la CJUE dans son arrêt Breyer. Le Tribunal ne conclut pas pour autant que le raisonnement aurait nécessairement conduit à considérer que la réidentification n’était pas envisageable. Si l’on reprend les termes de l’arrêt Breyer, celui-ci précise que pour vérifier si l’identification de la personne est possible ou non, il convient de vérifier si l’identification concernée était interdite par la loi ou irréalisable en pratique, « par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant ». La Cour dans l’arrêt Breyer conclut d’ailleurs à la possibilité de réidentifier les adresses IP par le détenteur d’un site internet dès lors que celui-ci dispose d’un moyen légal de demander au fournisseur d’accès à internet les informations permettant d’identifier l’adresse IP.

A notre connaissance, aucune décision n’a encore été adoptée montrant que des données pseudonymisées pour une partie devraient être considérées comme anonymisées pour une autre. Au regard de la liste des critères indiqués ci-dessus le raisonnement ne doit pas s’arrêter uniquement à une possibilité légale, mais doit également prendre en considération des possibilités pratiques de simples échanges d’information entre partenaires à partir du moment où aucun texte n’empêche cet échange. Si l’analyse devait être confirmée, d’autres décisions seraient nécessaires pour évaluer à partir de quel stade on peut considérer n’avoir aucun moyen significatif de réidentifier les données.

En second lieu, le raisonnement suivi par le Tribunal prend appui sur un arrêt de la Cour datant de 2016, antérieur donc à l’entrée en application du RGPD et du Règlement 2018/1725. La Cour avait alors fait une application de la Directive 95/46[11] applicable à l’époque. Or, parmi les évolutions de ces Règlements par rapport à la Directive précitée, se trouve la définition du terme « pseudonymisation ». La pseudonymisation est « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». La définition n’indique pas que la pseudonymisation dépend de la possibilité pour le détenteur d’accéder aux informations. On pourrait regretter que la définition ne soit pas plus précise en consacrant explicitement l’interprétation de l’arrêt Breyer ou en y mettant fin. Néanmoins, cette définition est à lire également à la lumière du considérant 26 du RGPD : « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ». Le considérant 26 ne précise pas que la pseudonymisation dépend de la possibilité d’accéder à ces informations supplémentaires.

La création de la pseudonymisation n’a pour seul intérêt que de pouvoir être opposée à l’anonymisation. C’est tout le sens que l’on peut trouver au considérant 26 lorsqu’il précise que des données pseudonymisées « devraient être considérées comme des informations concernant une personne physique identifiable ». Quitte à appliquer l’arrêt Breyer, on peut regretter que le Tribunal n’ait fait aucune allusion à l’article 4 ni au considérant 26 du RGPD (considérant 16 du Règlement 2018/1725) ne serait-ce que pour indiquer que, selon lui, cela ne change rien à l’analyse qui précédait l’adoption des Règlements.

Ces différents éléments laissent à penser que la CJUE, saisie d’un cas identique, pourrait appliquer un raisonnement différent en consacrant le caractère objectif de la notion de pseudonymisation telle qu’elle semble ressortir du considérant 26 du RGPD. Dans un arrêt récent du 2 mars 2023, la CJUE évoque d’ailleurs la pseudonymisation en ces termes : « (…) il convient de préciser qu’il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données »[12]. Cet arrêt qui répondait à deux questions préjudicielles traitait notamment la question de la transmission par le juge à un tiers de document contenant des données à caractère personnel dans le cadre d’une procédure judiciaire. Au point 57 précité, la Cour n’évoque pas la possibilité que la pseudonymisation dépende de l’accès aux informations identifiantes par le détenteur des données et ne fait aucunement référence à l’arrêt Breyer.

En troisième et dernier lieu, si l’interprétation de l’arrêt Breyer devait prospérer et survivre au RGPD c’est une partie importante de l’effet utile de ce Règlement qui serait mise à mal. Pour rappel, c’est l’évolution rapide des technologies qui a rendu nécessaire l’adoption de ce texte. Comme l’indique le considérant 7, les technologies « requièrent un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles (…). La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques ».

La sécurité juridique et pratique des données est l’enjeu central du RGPD. Or, des données simplement pseudonymisées peuvent par des moyens détournés permettre une réidentification de la personne concernée. Prendre en compte uniquement les moyens offerts au détenteur des données pour réaliser cette réidentification revient à affaiblir la sécurité des données. En effet, si le détenteur n’a pas les moyens de procéder à une réidentification, il peut en aller différemment pour un pirate informatique qui détiendrait les informations ou d’autres informations permettant cette réidentification.

C’est pour préserver l’effet utile de ce texte que la notion de pseudonymisation y a été consacrée et qu’à notre sens celle-ci ne peut être qu’objective et en aucun cas subjective si l’on souhaite que la protection des données soient conservée. Il reviendra à la CJUE, saisie d’une telle question, de consacrer ou non cette interprétation du considérant 26 du RGPD et de considérer ainsi que des données pseudonymisées pour un détenteur conservent leur caractère pseudonymisé pour un autre détenteur même si ce dernier n’a aucun moyen d’accéder aux informations permettant la réidentification des données à caractère personnel.

Hubert de Segonzac, Avocat associé et DPO externe


[1] TUE, 26 avril 2023, T-557/20, Conseil de Résolution Unique c/ Contrôleur européen de la protection des données.

[2] Pt. 83.

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[4] Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (Texte présentant de l’intérêt pour l’EEE.)

[5] Pt. 60.

[6] Pt. 61.

[7] CJUE, 20/12/2017, Nowak, C-434/16.

[8] Pt. 73.

[9] CJUE, 19/10/2016, Breyer, C-582/14.

[10] Pt. 97.

[11] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[12] CJUE, 02/03/2023, Norra, C-268/21, pt. 57

Les données personnelles des salariés doivent, comme toute autre catégorie de données à caractère personnel, être conservées pendant une durée « qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »[1]. Cette règle, dont la méconnaissance peut être lourdement sanctionnée[2] s’applique notamment aux données figurant sur les bulletins de paie, notamment lorsqu’ils sont sous forme électronique.

L’article L. 3243-4 du Code du travail, issu de la loi n°2009-526 du 12 mai 2009, prévoit une durée de conservation du « double des bulletins » ou des « bulletins de paie remis aux salariés sous forme électronique ». Cette durée est une durée de cinq ans. Notons que cette durée de cinq ans n’est nullement une durée absolue à ne pas dépasser, même pour les bulletins de paie sur support papier, puisque ces documents sont également des pièces comptables qui, en tant que telles, doivent, selon l’article L. 123-22 du Code de commerce, être conservées par l’employeur pendant une durée de 10 ans à compter de la clôture des comptes annuels.

Mais il s’avère que la durée de cinq ans de l’article L. 3243-4 du Code du travail n’est désormais plus applicable aux bulletins de paie sous forme électronique, même s’ils étaient visés par ce texte en 2009.

 

Qu’est-ce qu’un bulletin de paie sous forme électronique ?

Selon l’article L. 3243-2 du code du travail « Sauf opposition du salarié, l’employeur peut procéder à la remise du bulletin de paie sous forme électronique, dans des conditions de nature à garantir l’intégrité, la disponibilité pendant une durée fixée par décret et la confidentialité des données ainsi que leur accessibilité dans le cadre du service associé au compte mentionné au 2° du II de l’article L. 5151-6 ».

Il résulte de ce dernier texte, dans sa rédaction actuelle, que « chaque titulaire d’un compte personnel d’activité » […] a « accès à […] un service de consultation de ses bulletins de paie, lorsqu’ils ont été transmis par l’employeur sous forme électronique dans les conditions mentionnées à l’article L. 3243-2 ».

En pratique, il s’agit de bulletins de paie émis nativement sous forme dématérialisée[3]

Un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés devait en déterminer les modalités.

 

Les durées de conservation du bulletin de paie sous forme électronique

Le décret n° 2016-1762 du 16 décembre 2016, rendu après avis de la CNIL, a finalement fixé les règles suivantes[4] :

L’employeur arrête les conditions dans lesquelles il garantit la disponibilité pour le salarié du bulletin de paie émis sous forme électronique :

  • soit pendant une durée de cinquante ans ;
  • soit jusqu’à ce que le salarié ait atteint l’âge mentionné au dernier alinéa de l’article L. 1237-5, augmenté de six ans (schématiquement 75 ans).

Il ressort, implicitement mais nécessairement, des dispositions réglementaires applicables et notamment de l’article D. 3243-7 du Code du travail que le point de départ des durées qui viennent d’être rappelées est l’émission du bulletin de paie sous forme électronique.

 

De quelle durée de conservation parle-t-on pour les bulletins de paie sous forme électronique ?

Comme le rappelle la CNIL[5], il convient, pour chaque catégorie de données, de définir une durée de conservation :

  • en base active,
  • le cas échéant en archivage intermédiaire,
  • et, le cas échéant (beaucoup plus rarement), en archivage définitif.

Quel événement constitue le point de départ de la conservation du bulletin ? La date de son émission ou de son enregistrement en base active ? La date de son archivage (archivage intermédiaire) ?

Dans le référentiel GRH de la CNIL[6], la CNIL répond à ces questions, en retenant que le bulletin de paie « en version dématérialisée » est conservé :

  • 1 mois en base active,
  • 50 ans en archivage intermédiaire (simplification des règles énoncées par l’article D. 3243-8 du Code du travail).

 

Une conservation jusqu’à la date de liquidation des droits à la retraite ?

Les caisses de retraite complémentaire demandaient, avant 2016, aux employeurs de délivrer à leurs salariés ou anciens salariés des pièces justificatives leur permettant de déterminer et de justifier leurs droits à la retraite.

Au demeurant, la CNIL[7] considérait, en 2004, que si les motifs des absences ne devaient pas être conservés au-delà du temps nécessaire à l’établissement des bulletins de paie, « les informations nécessaires à l’établissement des droits du personnel (droits à la retraite..) », pouvaient être « conservées sans limitation de durée ».

L’on en déduisait, en pratique, l’obligation, pour les employeurs, de conserver les bulletins de paie jusqu’à la date de liquidation des droits à la retraite.

Si cette pratique n’a jamais été validée par un texte législatif ou réglementaire, la très longue durée de conservation des bulletins de paie sous forme électronique vient, en quelque sorte, la valider a posteriori.

Pascal ALIX, avocat associé et DPO externe

 

[1] Article 5. 1 e) du RGPD

[2] Article 83.5 du RGPD

[3] D’où le nom du décret n° 2016-1762 du 16 décembre 2016 « relatif à la dématérialisation des bulletins de paie et à leur accessibilité dans le cadre du compte personnel d’activité »

[4] Article D. 3243-8 du Code du travail

[5] https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees

[6] https://www.cnil.fr/fr/publication-du-referentiel-relatif-la-gestion-des-ressources-humaines

[7] délibération n°2004-097 de la CNIL du 9 décembre 2004 décidant la dispense de déclaration des traitements de gestion des rémunérations mis en oeuvre par les personnes morales de droit privé (dispense n° 002)

La question du contrôle de l’activité des télétravailleurs par des outils logiciels de n’est pas une question nouvelle : la cybersurveillance sur les lieux de travail avait déjà donné lieu à un rapport de la CNIL en 2002[1]. Dans le dernier rapport de la CNIL (sur l’activité en 2019), on relève notamment que 10% des plaintes à la CNIL concernent la surveillance des salariés

En France, le contrôle de l’activité des salariés est un droit de l’employeur qui découle de son pouvoir de direction. Cette règle a été affirmée à de multiples reprises par la Cour de Cassation.

Ce droit n’est pas sans limite, bien entendu. Il est limité par les droits et libertés des salariés tels qu’ils sont prévus par le code du travail, la loi informatique et liberté et depuis le 25 mai 2018 par le Règlement Général sur la Protection des Données ou RGPD, ainsi que par des droits fondamentaux, dont l’article 9 du code civil, relatif à la protection de l’intimité de la vie privée. Comme le rappelle fréquemment la Cour de cassation, le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Il convient donc, dans chaque situation, de rechercher un équilibre entre, d’une part, l’exercice, par l’employeur, de son droit de contrôle et, d’autre part, l’exercice, par les salariés, de leurs droits et libertés.

Le confinement mis en place dans le cadre du plan de lutte contre la COVID-19 a été à l’origine d’un passage massif et inédit au télétravail à domicile. le code du travail permettant à l’employeur d’imposer, en cas de risque épidémique, le télétravail aux salariés dont les fonctions permettent le télétravail. Certaines entreprises ont pu craindre que ce passage un peu précipité au télétravail n’engendre une sorte de décrochage des salariés ou, en tout cas, une baisse de productivité ou, de manière plus générale, un non-respect, par les salariés, de leurs obligations contractuelles.

Il convient de conserver présent à l’esprit que le télétravail ne modifie pas, en principe, les obligations des salariés en ce qui concerne leur temps de travail ; cela suppose, d’ailleurs, que l’employeur définisse très clairement les plages horaires pendant lesquelles le salarié est disponible afin qu’il puisse respecter son droit à la déconnexion.

Dans ce contexte, certains employeurs ont pu être tenté, tout d’abord, d’utiliser les fonctionnalités des outils de visioconférence… en contrôlant, par exemple, la présence des salariés à leur poste au moyen de leur webcam ou en enregistrant la totalité des échanges pendant les sessions de visioconférence. Mais d’autres employeurs ont pu souhaiter aller plus loin, en utilisant des outils permettant d’exercer à distance une surveillance plus approfondie.

Il existe différents outils comme TERAMIND, INTERGUARD, ACTIVETRAK, qui permettent d’analyser avec beaucoup de précision la pratiquement totalité des opérations de traitement effectuées au moyen de l’ordinateur utilisé par le salarié dans le cadre du télétravail à domicile, qu’il s’agisse d’un ordinateur mis à disposition par l’employeur ou de l’ordinateur personnel du salarié. Ces outils dit de « monitoring » ont, semble-t-il, été assez largement utilisés par les entreprises… si l’on en croit les déclarations des éditeurs eux-mêmes.

Quelles sont les conditions de légalité, en France, de l’utilisation de ces outils ?

Tout d’abord il faut écarter l’idée selon laquelle l’utilisation de ces outils serait par principe, de manière générale, légale ou illégale. Ce ne sont que des outils, dont l’utilisation doit être adaptée et proportionnée à la nécessité de contrôler l’activité à distance des salariés, que ce soit pour des raisons tenant à la sécurité des données (qui dépend de la nature des données elles-mêmes) ou pour contrôler la productivité et/ou la performance des salariés.

Si on raisonne globalement, indépendamment de chaque cas particulier, quelles sont les conditions à respecter pour que l’utilisation de ces outils reste dans les limites de la légalité ?

Premièrement, leur utilisation doit être parfaitement transparente, c’est-à-dire qu’elle doit donner lieu à une information individuelle, de chaque salarié[2], et collective – c’est-à-dire qu’il convient d’informer et de consulter le comité social économique… Cette exigence de transparence résulte à la fois du code du travail, de la LIL et RGPD.

Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés.

Deuxièmement, s’agissant d’un traitement de données ayant pour but la surveillance des salariés, ce traitement doit doit être licite[3] c’est-à-dire fondé sur une base légale valable au sens du RGPD. On considère que le salarié se trouve dans une situation de dépendance qui exclut le consentement comme une base légale valable, celui-ci ne pouvant être considéré comme libre. La base légale de ce traitement ayant pour but la surveillance des salariés et/ou la protection des données peut être :

  • l’exécution du contrat de travail
  • ou (plus fréquemment) l’intérêt légitime… pour autant que, dans ce dernier cas, les droits et libertés du salarié ne soient pas supérieurs à l’intérêt de l’entreprise, ce qui s’apprécie au cas par cas.

Troisièmementet c’est peut-être la condition que la plus délicate à réunir – ce traitement doit respecter le principe de minimisation selon lequel l’entreprise, le responsable de traitement, ne doit collecter et traiter que des données personnelles strictement nécessaires… L’on voit bien que si l’on utilise toutes les fonctionnalités d’un outil de monitoring[4], il y a un risque assez important de collecte excessive de données, peu important que les autres conditions aient été respectées.

Quatrièmementet c’est justement la question de l’appréciation du risque pour les droits et libertés des salariés – dès lors qu’il s’agit d’un traitement qui conduit à une surveillance systématique des personnes concernées, considérées comme « vulnérables » dans la mesure où elles sont dans un état de dépendance, le RGPD, tel qu’il est interprété par la CNIL, impose la réalisation d’une étude d’impact sur la vie privée[5]. Même si le passage au télétravail à domicile a été précipité le 17 mars dernier, les employeurs auraient dû, le plus tôt possible, réaliser cette étude d’impact avant de mettre en œuvre la surveillance à distance. La CNIL met du reste à disposition un outil gratuit en ligne, dénommé outil PIA, dont une nouvelle version a été publiée au mois d’avril.

Cinquièmement, les données collectées dans le cadre du « monitoring » ou de ce que l’on dénommait la cybersurveillance ne peuvent être conservées longtemps. Rappelons que les données de vidéosurveillance – avec une finalité assez proche – ne peuvent être conservées, sauf procédure contentieuse ou disciplinaire, que 30 jours.

Sauf texte imposant une durée spécifique ou justification particulière, la CNIL considère, par exemple, que les enregistrements peuvent être conservés jusqu’à six mois au maximum. Les documents d’analyse peuvent quant à eux être conservés jusqu’à un an.

Sixièmement, s’il y a un délégué à la protection des données, celui-ci doit être associé à la mise en œuvre des écoutes ou des enregistrements des appels ou, plus généralement, du dispositif de surveillance (CNIL).

Septièmement, il faut savoir que les salariés qui télétravaillent à domicile disposent, dans certains cas, d’un doit spécifique d’opposition au traitement.

C’est-à-dire lorsque que :

  • la surveillance ne peut être considérée comme nécessaire à l’exécution du contrat… en d’autres termes qu’elle est fondée sur l’intérêt légitime de l’entreprise,
  • que le traitement est susceptible de conduire à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l’affectant de manière significative de façon similaire (cas de scoring ou de profilage ayant des conséquences directes, sans appréciation humaine, sur la rémunération ou la carrière)[6].

Huitièmement, le dispositif mis en place ne doit pas porter atteinte au secret des correspondances (analyse des messages d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité)[7].

CAS PARTICULIERS

Certains usages sont invalidés par la CNIL.

L’employeur ne peut pas mettre en place un dispositif d’écoute ou d’enregistrement permanent ou systématique, sauf texte légal (par exemple pour les services d’urgence).

Ainsi, la CNIL considère que quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.

La CNIL considère également que compte tenu des impacts et risques de détournement et de surveillance associés à ces dispositifs, le couplage des enregistrements téléphoniques avec l’image (capture d’écran ou vidéo) des actions de l’employé est disproportionné lorsqu’il est utilisé pour d’autres finalités que la formation, telles que l’évaluation du personnel, la lutte contre la fraude interne, etc. L’employeur doit alors utiliser des moyens alternatifs à ce type de dispositif.

Par ailleurs, l’écoute en temps réel et l’enregistrement sonore des appels sur le lieu de travail peuvent être réalisés en cas de nécessité reconnue et doivent être proportionnés aux objectifs poursuivis (par ex. formation).

Pascal ALIX, avocat à la Cour, DPO externe, lead auditor (certification EUROPRIVACY – RGPD)

[1] le 11 février 2002

[2] Article L. 1222-4 CT : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

[3] Au sens de l’article 6 du RGPD

[4] Monitoring de l’usage des logiciels et des applications (lesquelles, combien de temps, etc.), de la navigation sur le réseau internet (quel site – typologie, pro/non-pro, etc.) de l’utilisation de la messagerie (combien d’e-mail, quels destinataires, etc.) quels documents ont été scannés et imprimés, l’utilisation des réseaux sociaux (temps, etc.), jusqu’à l’enregistrement de la frappe sur le clavier et à l’enregistrement avec une fréquence déterminée des écrans affiché par le moniteur ou de la voix.

[5] Article 35 du RGPD

[6] Article 22 du RGPD

[7] Cour de cassation, chambre sociale, 23 octobre 2019, pourvoi n° 17-28448

Lire la suite

Le cabinet propose, en partenariat avec l’organisme de formation Elegia, une journée sur la mise en conformité des contrats au RGPD. Cette journée se tiendra le 9 novembre 2020. La formation aura lieu exceptionnellement en ligne.

Lire la suite

Pour la quatrième année consécutive, le cabinet est classé par le magazine Décideurs parmi les meilleurs cabinets d’avocats français dans la catégorie « Nouvelles technologies – Données personnelles », dans la rubrique « Forte Notoriété -1″.

Lire la suite

Pour la troisième année consécutive, le cabinet est classé par le magazine Décideurs parmi les meilleurs cabinets d’avocats français dans la catégorie « Nouvelles technologies – Données personnelles », dans la rubrique « Forte Notoriété -1″.

Lire la suite

Une nouvelle délibération[1] de la CNIL permet de souligner l’importance de veiller à la sécurité des données lorsque l’on en confie le traitement, totalement ou partiellement, à un sous-traitant.

La société sanctionnée, Darty, utilisait un logiciel développé par la société EPTICA pour sa gestion des demandes de service après-vente. Informée par un éditeur de site internet spécialisé dans la sécurité des systèmes d’information d’une violation de données à caractère personnel, la CNIL a réalisé un contrôle en ligne le 2 mars 2017, puis un contrôle sur place le 15 mars 2017. Elle a pu observer à cette occasion que l’URL à partir de laquelle les clients peuvent déposer leur demande de service après-vente permettait d’accéder très facilement à 912 938 fiches, en modifiant simplement le numéro d’identifiant présent dans l’URL. Les données accessibles sur ces fiches sont les noms, prénoms, adresse postale et électronique ainsi que les commandes effectuées.

Cette délibération permet de faire un rappel de la différence entre responsable de traitement et sous-traitant et de mettre une nouvelle fois en lumière l’importance pour le responsable de traitement de veiller scrupuleusement sur les traitements confiés au sous-traitant.

I- Définition du responsable de traitement

Est responsable de traitement, selon l’article 3 de la loi Informatique et Libertés modifiée, « (…) la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Darty a fait valoir qu’elle n’avait jamais demandé la création de l’URL viciée à son sous-traitant. Ce développement n’apparaît d’ailleurs pas dans le cahier des charges de la mission confiée au sous-traitant. Darty indiquait de plus ne jamais utiliser cette URL car elle disposait de son propre formulaire de collecte sur son site internet.

Ainsi, pour Darty, c’était le sous-traitant seul qui avait déterminé les moyens du traitement, en créant cette URL ainsi que tout le contenu du formulaire de collecte qui n’était pas personnalisable par Darty. Partant, le sous-traitant devrait être considéré, pour Darty, comme responsable de traitement.

La CNIL n’a pas suivi ce raisonnement. En effet, Darty et son sous-traitant s’étaient mis d’accord sur des moyens de traitement même si la création de l’URL mise en cause n’en faisait pas partie. Le seul fait qu’EPITCA ait ajouté un moyen de traitement non défini au contrat n’est pas un caractère suffisant pour considérer cette société comme responsable de traitement. Par son développement sur l’identification du responsable de traitement, la CNIL montre surtout qu’entre la détermination des finalités et des moyens, la détermination des finalités est décisive dans la qualification du responsable de traitement.

Or, concernant la détermination des finalités, le rôle de Darty est très clair. Quels que soient les moyens de traitement utilisés, ils se rattachent tous à un seul et même traitement, celui des données à caractère personnel des clients de Darty et avec une seule finalité, le suivi des demandes de service après-vente adressées à Darty. Le sous-traitant ne pourrait être lui-même responsable de traitement ou coresponsable que s’il traitait les données pour son compte ou pour d’autres finalités que celles définies par la société Darty. Mais ceci n’est pas le cas en l’espèce.

Pour la CNIL, Darty agit donc bien en tant que responsable de traitement. L’ajout d’un moyen de traitement sans que Darty ne l’ait demandé n’est pas suffisant pour inverser les rôles. Darty est donc tenue au respect des articles 34 et 35 de la loi de janvier 1978 modifiée, et donc d’assurer la sécurité des données dont le traitement est confié au sous-traitant.

II – Le responsable de traitement a violé l’obligation de sécurité prévue par les articles 34 et 35 de la loi du 6 janvier 1978 modifiée

Darty étant responsable de traitement, il lui revient d’assurer la sécurité des données personnelles qu’elle traite ou dont elle confie le traitement.

La violation des données personnelles étant liée à un développement non demandé au sous-traitant,  la question se posait de savoir si la responsabilité de Darty pouvait être engagée. La jurisprudence est néanmoins très claire sur ce point : « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge par le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte »[2]. Quand bien même certains développements n’avaient pas été demandés par Darty, cette dernière, en tant que responsable de traitement, devait vérifier que l’ensemble des développements réalisés par le sous-traitant permettait d’assurer la sécurité des données comme l’y oblige l’article 35 de loi du 6 janvier 1978 modifiée. Et si certains modules étaient considérés comme inutiles, Darty aurait dû les faire désactiver.

La CNIL relève par ailleurs que Darty a choisi un logiciel standard pour son besoin relatif au service après-vente. Or, la CNIL rappelle que lorsqu’un responsable de traitement a recours à un logiciel standard, il lui revient d’en vérifier la sécurité et les caractéristiques. Le défaut de sécurité en l’espèce étant facilement détectable, la CNIL considère que Darty n’a pas respecté cette obligation. La CNIL en profite pour rappeler à tous les responsables de traitement qui liront la délibération, que la bonne pratique en matière de sécurité est de vérifier « de façon régulière » les formulaires accessibles et permettant la collecte de données personnelles. La CNIL rappelle également une autre bonne pratique, qui revient à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ». On peut relever que la CNIL ne s’arrête pas aux modules non utilisés mais va plus loin avec les modules qui ne seraient pas nécessaires. Ce faisant, la CNIL intègre le privacy by default, principe qui devient obligatoire le 25 mai 2018 avec l’entrée en application du RGPD et qui oblige les responsables de traitement à créer ou utiliser des outils de traitements qui ne réalisent par défaut que des traitements de données nécessaires et qui garantissant le plus haut niveau de protection. En laissant le module alors qu’il n’était pas nécessaire, en plus de violer l’article 34 sur la sécurité, Darty n’a pas respecté le privacy by default.

Enfin, la CNIL considère que Darty n’a pas veillé suffisamment à ce que, une fois signalée, la faille soit réparée au plus tôt. Darty a été informée de la violation par la CNIL le 6 mars. Elle a informé son prestataire le jour même. Mais la réparation n’a été effective que le 15 mars, à l’issue du second contrôle de la CNIL. Ce délai de 9 jours est trop long pour la CNIL. Darty aurait dû réaliser un suivi régulier de la résolution du litige alors qu’elle ne s’est tenue informée qu’une seule fois pendant ce délai de neuf jours. On comprend de la délibération que le suivi régulier, au regard de la faille, aurait dû être un suivi quotidien.

Mais malgré ce délai de réparation trop long, la CNIL relève que Darty a réagi rapidement en informant son sous-traitant le jour même et que la violation a cessé « dans un délai raisonnable ». Par ailleurs, la CNIL voit d’un bon œil l’audit que Darty a réalisé en août 2017 sur le nouvel outil de gestion. La mise en œuvre de cette bonne pratique tend en effet à montrer que Darty a bien intégré ce qui a pu lui être reproché.

La CNIL condamne donc Darty, en tenant compte de l’ensemble des circonstances, à une amende « proportionnée » d’un montant de 100 000 euros. Elle a par ailleurs souhaité la publication de sa décision « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».

Au regard de cette décision deux points semblent pouvoir être soulignés. La rigueur de la CNIL tout d’abord dans le contrôle de la relation responsable de traitement/sous-traitant. Le responsable de traitement aura bien du mal à se protéger derrière l’action d’un sous-traitant dès lors que les finalités du traitement concerné par la violation sont des finalités gérées pour le compte du responsable. Même si le sous-traitant n’a pas respecté le cahier des charges, le responsable de traitement est mis en cause car il lui revient de veiller à l’ensemble des mesures mises en place par le sous-traitant pour son compte. On ne saurait donc trop conseiller à tout responsable de traitement de prévoir au sein des contrats les liant avec leurs sous-traitants une clause d’audit permettant de s’assurer que la sécurité des données est respectée. Avec le RGPD, si la responsabilité du sous-traitant pourra plus facilement être engagée, cela ne dédouanera pas nécessairement le responsable de traitement qui pourra se voir infliger une sanction bien supérieure à 100 000 euros.

Le second point à souligner concerne justement le montant de la sanction. Après Hertz condamné à 40 000 euros cet été, également pour une faute d’un sous-traitant, les 100 000 euros de condamnation de Darty apparaissent comme une mise en garde pour les responsables de traitement. Alors que Darty a réagi dans un délai inférieur à 10 jours, que les données objet de la violation n’étaient pas des données sensibles, et que la CNIL souligne la bonne collaboration de Darty, elle inflige néanmoins une amende somme toute assez élevée, proche de l’ancien montant maximum de 150 000 euros (mais éloigné du montant maximum actuel qui est de 3 millions d’euros). Tout comme la publication de la décision permet de sensibiliser les personnes concernées, ce montant est un avertissement pour les responsables de traitement. La CNIL n’hésitera pas, progressivement, à sanctionner de plus en plus fortement une violation de données. Pour mémoire, à compter du 25 mai 2018, l’amende pourra atteindre, selon les cas, 10 ou 20 millions d’euros, 2% ou 4% du chiffre d’affaires annuel.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] CE, 11 mars 2015, Sté Total raffinage marketing et société X.

[2] Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société Etablissements Darty et Fils

Lire la suite

Juillet 2017 : le cabinet VIRTUALEGIS pour la deuxième fois consécutive dans le classement de la revue « DECIDEURS »des meilleurs cabinets d’avocats français dans la catégorie « Nouvelles technologies – Données personnelles », dans la rubrique « Forte Notoriété -1″.

Lire la suite

16 juin 2017 : RSSIA 2017 (conférence Cyber-sécurité) à Bordeaux : RGPD, cybersécurité, IoT, blockchains, confiance numérique | Intervention : « DPO un nouveau métier »

Lire la suite

Août 2016 : le cabinet VIRTUALEGIS intègre le classement de la revue « DECIDEURS » des meilleurs cabinets d’avocats français dans la catégorie « Nouvelles technologies – Données personnelles » , dans la rubrique « Forte Notoriété -1″

Lire la suite