De l’importance de choisir la base de licéité correcte pour le traitement des données …

Publié le par - 4773 vues

Pour avoir choisi une mauvaise base de licéité pour les traitements des employés de la société, PWC (PriceWaterhouseCoopers) est mise à l’amende. L’Autorité fait un lien direct entre les principes de base de l’art. 5 GDPR et le choix de la base de licéité idoine (art. 6.). En l’occurence, elle refuse que les traitements des ressources humaines reposent sur le consentement des salariés.

Pour que les données à caractère personnel soient traitées licitement, toutes les conditions relatives à l’application et au respect des principes énoncés à l’article 5 RPGD doivent être remplies, à commencer la par la licéité et la loyauté du traitement.

Pour l’autorité, licéité et loyauté impliquent le choix de la base juridique appropriée en vertu de l’article 6 GDPR.

Il en découle, selon l’Autorité, un raisonnement en trois temps :

  • le responsable du traitement doit choisir la base juridique appropriée avant de procéder au traitement,
  • il doit ensuite informer la personne concernée de son utilisation, car le choix de chaque base juridique a une incidence légale sur l’application des droits des personnes concernées,
  • s’il se trompe dans le choix de la base de licéité, le responsable se met ipso facto en situation de violation de l’article 5.

Les ressources humaines

Pour l’autorité hellénique, les principes du traitement licite, loyal et transparent des données à caractère personnel exigent que le consentement soit utilisé comme base juridique uniquement lorsque les autres bases juridiques ne sont pas applicables, de sorte qu’une fois le choix initial effectué, il est impossible de passer sur une autre base juridique. Si la personne concernée retire son consentement, le responsable n’est pas autorisé à poursuivre le traitement des données sur une base juridique différente.

Elle estime aussi que le consentement des personnes concernées dans le cadre des relations de travail ne peut être considéré comme donné librement en raison du déséquilibre manifeste entre les parties.

En l’espèce, le choix du consentement comme base juridique était inapproprié, étant donné que le traitement de données à caractère personnel était destiné à réaliser des actes directement liés à l’exécution de contrats de travail, au respect d’une obligation légale à laquelle le responsable du traitement est soumis et au bon fonctionnement de l’entreprise, comme son intérêt légitime.

En outre, l’entreprise a donné aux employés la fausse impression qu’elle traitait leurs données à caractère personnel en vertu de la base juridique du consentement, alors qu’en réalité, elle traitait leurs données sur une base juridique différente dont les employés n’avaient jamais été informés

L’Autorité exige que lorsque le responsable du traitement a des doutes quant à la licéité du traitement, il doit lever ces doutes avant le traitement ou s’abstenir de traiter jusqu’à ce que ces doutes aient été levés.

Compte tenu de ce qui précède, la DPA hellénique a conclu que PWC, en tant que responsable du traitement :

  • a traité illégalement les données à caractère personnel de ses employés en violation des dispositions de l’article 5 GDPR, car il a utilisé une base juridique inappropriée.
  • a traité les données à caractère personnel de ses employés d’une manière déloyale et non transparente, leur donnant l’impression erronée qu’il traite leurs données sur la base légale du consentement alors que dans les faits il traite leurs données sur une base juridique différente dont les employés n’avaient jamais été informés.
  • a violé le principe de responsabilité en transférant la charge de la preuve du respect aux personnes concernées.

Outre une mise en conformité, la société doit payer une amende de 150.000 EUR. Le préjudice d’image est important pour une société qui conseille nombre d’entreprises sur ce sujet.

Commentaires

Le refus du consentement en tant que base de licéité des traitements RH tend à devenir la doctrine des autorités européennes de protection des données. Selon elles, la relation hiérarchique empêche purement et simplement d’envisager un consentement “libre”. C’est un point de vue, il est respectable, mais le point de vue adverse se conçoit tout aussi bien. Par ailleurs, le GDPR permet-il  d’exclure par principe le consentement en présence d’une relation hiérarchique, sans prendre en compte la réalité de chaque dossier ? Ca se discute. Ce qui est étonnant, par contre, c’est qu’un professionnel aussi respectable que PWC ait pu ignorer cette doctrine (ou choisir de prendre le risque de passer outre).

Tout aussi doctrinale est l’affirmation selon laquelle le consentement n’est envisageable qu’à défaut d’une autre base de licéité. Cela ne ressort pas du texte mais c’est en effet la position désormais connue des autorités nationales. Le consentement n’est certes pas la panacée que l’on croit, mais de là à en faire une base qui ne peut s’envisager qu’à défaut de toute autre, il y a un pas que nous ne franchissons pas encore.

Derrière cette décision, il y a surtout un avertissement : choisir une « mauvaise » base de licéité engendre la violation des conditions de base énoncées à l’article 5 GDPR. En d’autres termes, on est au sommet de la violation possible. Quand on sait à quel point il est parfois difficile de choisir la ou les base(s) de licéité, l’avertissement vaut son pesant d’or …

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK