Fichiers de données personnelles : gare aux pratiques des collaborateurs !

Pour les besoins de leur travail, la plupart des salariés et agents peuvent être amenés à collecter et exploiter des données à caractère personnel concernant des collègues, des clients et prospects, des fournisseurs, des partenaires, des patients, etc.

Tous les services et échelons de l’entreprise sont concernés, à des degrés divers : RH, paye, informatique, commercial, marketing, achats, comptabilité, développement, sécurité, etc.

La démultiplication des données personnelles brassées par une entreprise, ajoutée aux capacités d’interconnexion numérique et à la rapidité des flux d’information, pose notamment un défi pour les entreprises : comment assurer la conformité dans la création et l’utilisation des traitements de données à caractère personnel au sein de l’organisation ?

En effet, les données personnelles ne sont pas des données comme les autres ; elles sont protégées par un cadre juridique strict et particulièrement renforcé depuis l’entrée en vigueur du RGPD le 25 mai 2018, auquel vient se superposer la loi informatique et libertés (« LIL » révisée par la loi n° 2018-493 du 20 juin 2018 et son décret d’application n° 2018-687 du 1er août 2018).

Qu’est-ce qu’un traitement de données à caractère personnel ?

Rappelons d’emblée quelques définitions légales sur ce qu’est :

1. Un traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » ;
2. Une donnée à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable (…) directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » ;
3. Un fichier : « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

Ces définitions sont très larges.

Le RGPD et la LIL prévoient d’ailleurs qu’ils s’appliquent à tout traitement de données à caractère personnel totalement ou partiellement automatisé, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier, sauf lorsqu’il s’agit d’une personne physique agissant dans le cadre d’une activité strictement personnelle ou domestique.

Dans le cadre de son emploi, le salarié agit à titre professionnel pour le compte et sous la subordination juridique de son employeur, lequel ne peut donc en principe se prévaloir de cette dérogation liée aux activités personnelles.

Les risques de pratiques déviantes au sein de l’entreprise

Ce risque ne doit pas être éludé, car il correspond souvent à une réalité dans les entreprises et organisations, quelle qu’en soit la forme juridique.

Comme dit l’adage, « l’enfer est pavé de bonnes intentions » … Combien de collaborateurs sont ainsi amenés à constituer de leur propre initiative, souvent en toute bonne foi et croyant « bien faire », des fichiers à partir de données personnelles et renseignements collectés directement ou indirectement, et à les réutiliser –occasionnellement voire en permanence– comme outils de travail ?

Lorsque ces données ne sont pas disponibles dans le système d’informations de l’entreprise, ces outils  peuvent être en outre perçus comme un moyen complémentaire de facilitation dans l’exécution du travail, et d’amélioration de la performance individuelle, d’où une possible « dissémination » dans les différents supports informatiques et/ou papier.

Un cran supplémentaire peut être franchi lorsque les outils et les consignes de travail conduisent le salarié à constituer, à l’insu ou non de sa hiérarchie (et en tout cas sans information des personnes concernées), des fichiers  clandestins à caractère illicite en violation des règles sur la protection des données personnelles, telles que listes noires (blacklists), susceptibles alors de porter atteinte aux droits ou libertés des personnes concernées.

Cela rappelle la célèbre « affaire des fiches », qui n’est pas étrangère à la mise en place d’un cadre protecteur avant-gardiste en France. Certaines affaires médiatiques se font l’écho de pratiques occultes en entreprise sur lesquelles les employeurs responsables de traitement doivent se montrer très vigilants compte tenu des risques de responsabilités juridique et de préjudice d’image lorsque la chose vient à être mise sur la place publique.

Contrairement à une idée souvent répandue, qui appelle à un travail de sensibilisation, les données sensibles ne se limitent pas aux informations patrimoniales.Peuvent être regroupées sous la bannière des données sensibles, notamment :

• Les données dites « particulières » tout d’abord, dont le traitement est en principe interdit (la liste recoupe ici les données à caractère discriminatoire, à savoir ici celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ; ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle de la personne) ;
• Les données relatives aux antécédents judiciaires, très réglementées ;
• Le numéro de Sécurité sociale (ou NIR), bien souvent considéré à tort comme une simple donnée administrative, alors que son traitement est très strictement encadré ;
• Les données relatives aux mineurs ;
• Mais également, les données non réglementées en tant que telles et qui peuvent sembler neutres en apparence, mais s’avèrent en fait sensibles compte tenu des répercussions possibles pour la personne en cas de violation (cf. coordonnées, adresse, rémunération, famille, etc.).

Les risques pour le responsable du traitement

Lorsque l’employeur est le responsable de traitement, il doit être en mesure de démontrer sa conformité à tout moment (principe d’accountability).

L’existence de traitements illicites dans l’organisation du système d’informations est susceptible de traduire un défaut de surveillance et de contrôle, de nature à engager sa responsabilité au regard du RGPD, en cas de plainte, de contrôle ou de violation de données.

Dans ce domaine, la CNIL dispose notamment d’une panoplie de mesures permettant d’ordonner des mesures conservatoires ou de prononcer des sanctions adaptées au cas par cas, et proportionnées au manquement.

En particulier, le prononcé d’une amende administrative doit tenir compte de nombreux critères, tels que le fait que la violation a été commise délibérément ou par négligence de la part du responsable du traitement.

Le fait que de tels fichiers soient tenus à son insu, malgré ses consignes et ses campagnes de contrôle, peut certainement venir atténuer sa responsabilité (à condition de pouvoir justifier des diligences mises en œuvre).

D’ailleurs, cela pose diverses questions, sur lesquelles la jurisprudence pourra très probablement être appelée à statuer :

• Dans quelle mesure l’employeur peut-il réellement être considéré comme le responsable du traitement illicite, alors que cette qualité incombe légalement à la personne –y compris physique, ce qui peut s’appliquer à des salariés pris isolément ou en groupe- qui, seule ou conjointement avec d’autres, « détermine les finalités et les moyens » du traitement ?N’y a-t-il pas là matière à discussions dès lors qu’il est établi que l’employeur n’a pas participé à la détermination des finalités et moyens ?Il serait contestable qu’il soit automatiquement responsable du seul fait que le traitement est utilisé dans son intérêt. D’ailleurs est-ce vraiment bien son intérêt si le traitement est illicite et de nature à engager sa responsabilité ? Toujours est-il qu’il n’appartient pas au salarié d’en décider.
• Cela amène à la question subsidiaire de la responsabilité du salarié, qu’il soit d’ailleurs considéré ou non comme le responsable du traitement :
  • Sur le plan disciplinaire, le non-respect des consignes constitue une faute professionnelle passible d’une sanction pouvant aller jusqu’au licenciement.La faute lourde, qui permet à l’employeur de mettre en cause la responsabilité civile contractuelle du salarié pour obtenir –s’il est solvable … – la réparation des préjudices subis, sera-t-elle invocable ? Tout dépend des circonstances, mais d’une manière générale, la jurisprudence se montre réticente, en exigeant de l’employeur qu’il prouve l’existence d’une intention du salarié de nuire à l’entreprise, « laquelle implique la volonté du salarié de lui porter préjudice dans la commission du fait fautif et ne résulte pas de la seule commission d’un acte préjudiciable à l’entreprise » (Cass. Soc. 8 février 2017, n° 15-21064). C’est en principe la gravité du manquement qui compte ici, et non celle du préjudice.Le seul fait que le salarié ait agi de manière illicite en violation des règles de l’entreprise ne suffit donc pas.
  • Vis-à-vis de la ou des personnes victimes, le salarié agissant en excédant les limites de la mission impartie par son employeur peut voir sa responsabilité civile extracontractuelle engagée (Cass. Ass. Plén. 25 février 2000, n° 97-17378). Dans ce cas, il ne bénéficie plus d’une immunité de responsabilité civile à l’égard des tiers.Tel est également le cas dans l’hypothèse d’une condamnation pénale pour avoir intentionnellement commis une infraction ayant porté préjudice à un tiers, « fût-ce sur l’ordre du commettant » (Cass. Ass. Plén. 14 décembre 2001, n° 00-82066) : le préposé engage sa responsabilité civile à l’égard de la victime.Cela reste souvent assez théorique, car la victime aura en général plus intérêt à agir contre l’employeur, a priori plus solvable, sachant qu’il est très difficile à celui-ci de s’exonérer de sa responsabilité en tant que commettant (sauf à apporter la preuve difficile d’un abus de fonctions, entendu comme le fait pour le salarié d’agir hors de ses fonctions, sans autorisations et à des fins étrangères à ses attributions – Cass. Ass. Plén. 19 mai 1988, n° 87-82654).
    Rappelons à ce sujet qu’il existe désormais en matière de données personnelles un cadre spécifique pour l’action de groupe en cas de dommage dont le fait générateur est postérieur au 24 mai 2018 (cf. LIL, art. 43 ter).
  • Enfin et surtout, le risque est d’ordre pénal, compte tenu des diverses infractions prévues en matière de protection des données personnelles.Ainsi, le Code pénal réprime sévèrement différents agissements –peu important que leur auteur soit responsable du traitement ou non (cf. « le fait de … ») -, tels que notamment : le traitement du numéro de Sécurité sociale hors des cas autorisés (C. Pén., art. 226-16-1) ; la collecte de données personnelles via un moyen frauduleux, déloyal ou illicite (art. 226-18) ; l’enregistrement ou la conservation de « données particulières » ci-dessus (origines, opinions, etc.) sans le consentement exprès (art. 226-19) ; la divulgation de données à un tiers non habilité susceptible de porter atteinte à la considération ou à l’intimité de la vie privée (art. 226-22) ; le transfert de données hors UE en-dehors des cas autorisés (art. 226-22-1).Dans un registre analogue, d’autres dispositions répriment les atteintes aux traitements automatisés de données (accès frauduleux, détournement ou altération de données, etc. – cf. art. 323-1 s.). A titre d’illustration, dans une affaire récente, un salarié a été poursuivi et condamné pénalement pour avoir installé sur l’ordinateur de ses collègues un dispositif d’espionnage (keylogger – illicite en vertu de l’article 323-3-1) lui permettant d’intercepter à leur insu les codes d’accès et de pouvoir ainsi accéder à leurs échanges de courriels, en violation du secret des correspondances (Cass. Crim. 16 janvier 2018, n° 16–87 168).
    Citons également, à une époque où la donnée est monétisable, le risque lié à la fuite (voire la vente illicite) de données par un collaborateur malveillant à des tiers, concernant non pas l’entreprise elle-même mais des personnes au sujet desquelles elle détient des informations, comme cela a pu être rapporté par les médias.

Ces cas extrêmes, même s’ils ne sont pas monnaie courante, ne peuvent pas laisser indifférents compte tenu des risques qu’ils engendrent pour l’entreprise.
 

Les axes de bonnes pratiques

Tout d’abord, dans le cadre des actions de mise en conformité avec le RGPD, le responsable du traitement doit s’assurer, au travers d’un audit interne des pratiques auprès des services et métiers mené le cas échéant en lien avec le DPO, afin de bâtir le registre des activités de traitement et au passage, d’identifier les éventuels traitements non nécessaires ou non conformes.

Ses résultats doivent permettre de décider de mesures correctrices appropriées à mettre en œuvre, sur le plan organisationnel et technique.

Le seul fait que les collaborateurs soient soumis à une obligation contractuelle de confidentialité –qui recouvre surtout les données propres à l’entreprise- ne décharge pas l’employeur de ses obligations en tant que responsables du traitement.

Parmi les nombreux axes prévus au RGPD, citons notamment :

• La minimisation de la collecte des données ;
• La limitation des accès (et des actions possibles) aux seules personnes habilitées et dont les fonctions rendent nécessaires l’accès aux données ;
• La sensibilisation du personnel sur les bonnes pratiques en matière de collecte, d’information, d’exploitation, de conservation, de transfert etc. de données personnelles ;
• La mise en place de consignes écrites ;
• Le déploiement d’une formation adaptée sur l’organisation mise en place ;
• L’implication du management sur la posture à adopter dans la mise en œuvre de la politique de protection des données personnelles ;
• La mise en place d’un suivi et de remontées d’information ;
• La mise en place d’un support afin de conseiller en amont les métiers dans leurs projets et demandes de création de traitements de données personnelles ;
• La formalisation des mesures aux fins de traçabilité et d’opposabilité au personnel ;
• La déclinaison des règles de vigilance auprès des sous-traitants, qui ne doivent être autorisés à traiter les données personnels que sur instruction documentée du responsable de traitement.

*Article publié sur www.preventica.com