Associer les représentants du personnel et formalités auprès de la Cnil : quelles obligations pour l’employeur ? Laurent Badiane, associé du département IP/IT et Stéphane Bloch, associé du département droit social du cabinet KGA Avocats expliquent les dispositions qui doivent être prises.
L’introduction de nouvelles technologies dans l’entreprise (vidéosurveillance, géolocalisation, contrôles biométriques, etc.) ressemble parfois à un véritable chausse-trappe. L’employeur doit en effet, à des degrés divers, y associer les représentants du personnel à peine de sanctions civiles et/ou pénales. Lorsque l’introduction de ces nouvelles technologies conduit à la mise en œuvre d’un traitement de données à caractère personnel, l’employeur doit également procéder à des formalités auprès de la CNIL et informer ses salariés.
La consultation du Comité d’Entreprise
Plusieurs dispositions disséminées dans le Code du travail imposent tout d’abord à l’employeur de consulter le comité d’entreprise (ci-après « CE ») à l’occasion de l’introduction de nouvelles technologies. Le maillage est ici si dense qu’en pratique aucun projet d’introduction de nouvelles technologies ne semble pouvoir échapper à la compétence consultative du comité à un titre ou à un autre.
Ainsi, le CE doit être informé et consulté « en cas de problème ponctuel intéressant les conditions de travail résultant […] de la technologie »[1] ainsi que « sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci » et « sur les moyens ou les techniques permettant un contrôle de l’activité des salariés »[2].
Par ailleurs, le CE doit être consulté au titre de sa compétence générale « sur les questions intéressant l’organisation, la gestion et la marche générale de l’entreprise, notamment sur les mesures de nature à affecter le volume ou la structure des effectifs, la durée du travail ou les conditions d’emploi, de travail et de formation professionnelle »[3], pour autant que ces mesures revêtent une certaine importance et qu’elles n’aient pas un caractère ponctuel ou individuel[4].
Enfin et surtout, il doit être informé et consulté « préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail »[5] ainsi que sur le plan d’adaptation que l’employeur a l’obligation de mettre en place préalablement à la mise en œuvre de mutations technologiques « importantes et rapides »[6].
Dans ces deux derniers cas, donc sous réserve que le projet soit suffisamment « important », le comité peut même, si l’employeur en est d’accord, se faire assister par un expert rémunéré par l’entreprise [7].
L’importance d’un projet se déduit d’un faisceau d’indices (ex. : nombre de salariés impactés, durée de la formation nécessaire à la prise en main du nouvel outil, répercussions sur la situation du personnel dans l’entreprise, caractère pérenne et importance financière du projet).
Par exemple, l’employeur qui déploie un nouveau système informatique affectant 600 postes de travail et impliquant une nouvelle formation du personnel doit, à ce titre, consulter le CE qui peut alors s’adjoindre le concours d’un expert rémunéré par l’entreprise[8].
En revanche, ne constitue pas un projet « important » justifiant le recours à un tel expert le déploiement d’un nouveau logiciel de gestion des absences du personnel sans conséquence sur l’emploi au sein de l’entreprise[9], ou encore l’utilisation dans des conditions nouvelles des techniques déjà en vigueur dans l’entreprise[10]. La Cour d’appel de Paris a ainsi refusé au CE d’un gestionnaire de centre médicaux le droit de recourir à un expert rémunéré par l’employeur dès lors que le projet litigieux se bornait à élargir les fonctionnalités de l’ancien logiciel pour rendre ce dernier compatible avec la nouvelle carte Vitale et remédier aux insuffisances constatées, que les tâches du personnel administratif n’avaient pas été modifiées, que les conditions et l’organisation du travail n’avaient pas été impactées et que la prise en main du nouvel outil ne nécessitait qu’une période de formation de deux jours par agent concerné[11].
La consultation du Comité d’Hygiène de Sécurité et des Conditions de Travail ou à défaut des représentants du personnel
Le comité d’hygiène, de sécurité et des conditions de travail (ci-après « CHSCT »), ou, en l’absence d’un tel comité, les délégués du personnel, doi(ven)t également être consulté(s) préalablement à la mise en œuvre d’un projet important d’introduction de nouvelles technologies et lors de leur introduction ainsi que sur leurs conséquences sur la santé et la sécurité des travailleurs[12]. SFR a ainsi été civilement condamnée à payer une provision à l’un de ses CHSCT pour ne pas l’avoir consulté au titre du déploiement de la 4G alors même que l’introduction de cette technologie nouvelle allait impacter un certain nombre de postes dans l’entreprise[13]. Tout comme le CE, le CHSCT peut lui aussi s’adjoindre le concours d’un expert rémunéré par l’employeur[14].
Le respect de la procédure
Pour autant, il ne suffit pas à l’employeur de consulter les représentants du personnel. Encore faut-il qu’il le fasse en respectant la procédure idoine organisée par le Code du travail, tout manquement pouvant en vicier la régularité et, par suite, exposer l’entreprise voire ses dirigeants à des sanctions civiles et pénales. Le canevas à retenir est, à grands traits, le suivant :
– Le projet d’introduction de nouvelles technologies ne peut évidemment pas commencer à être mis en œuvre tant que la procédure d’information-consultation des instances représentatives n’est pas terminée ;
– Le CHSCT doit être chronologiquement consulté avant le CE[15] ;
– Le CE doit pouvoir disposer de toutes les informations lui permettant d’émettre un avis éclairé, celles-ci devant lui être communiquées suffisamment à l’avance pour qu’il puisse disposer d’un délai d’examen suffisant[16] (au plus tard un mois avant la date prévue pour la réunion lorsque le comité est consulté au titre d’un projet important d’introduction de nouvelles technologies)[17]. Il en est de même pour le CHSCT (transmission au plus tard 8 jours avant la date de la réunion[18]) ;
– A compter de la transmission des informations, le CE et le CHSCT disposent d’un certain délai pour rendre leur avis. Ces délais sont fixés soit par voie d’accord (accord collectif ou, en l’absence de délégués syndicaux, accord conclu avec l’instance concernée) soit, à défaut, par décret (de 1 à 2 mois pour le CHSCT selon qu’un expert intervient ou non[19], de 1 à 4 mois pour le CE selon là encore qu’un expert intervient ou non et/ou que le CHSCT est concurremment consulté[20]) ;
– L’avis du CHSCT doit être transmis au CE au plus tard 7 jours avant l’expiration du délai imparti à ce dernier pour émettre son avis[21] ;
– A l’issue du délai qui lui est imparti, l’instance restée silencieuse est réputée avoir été régulièrement consultée et avoir émis un avis négatif[22] : le refus des représentants du personnel de prendre position ne peut donc pas bloquer indéfiniment l’employeur ;
– Enfin, un avis négatif ne lie pas l’employeur qui reste libre de mettre son projet à exécution : les représentants du personnel n’ont donc pas de pouvoir de véto.
L’enchevêtrement des procédures consultatives se caractérise donc par sa lourdeur. Une lourdeur à laquelle la future réforme du Code du travail par ordonnances devrait mettre un terme : le projet de loi d’habilitation présenté le 28 juin dernier prévoit en effet de fusionner les instances représentatives du personnel (CE, CHSCT et délégués du personnel) au sein d’une instance unique.
Les sanctions
Le fait de ne pas informer et/ou consulter régulièrement les instances représentatives du personnel sur l’introduction de nouvelles technologies ou de ne pas leur fournir, à l’occasion de la procédure d’information-consultation, des informations leur permettant d’émettre un avis circonstancié, ou encore de mettre à exécution le projet d’introduction de nouvelles technologies sans attendre la fin de la procédure d’information-consultation, est passible de sanctions civiles et pénales[23].
Au plan pénal, l’entreprise et/ou ses organes et représentants personnes physiques peuvent être poursuivis pour délit d’entrave[24] et encourent à ce titre une amende d’un montant maximum de 7.500 €, porté au quintuple pour l’entreprise.[25]
Au plan civil, l’employeur peut être condamné en référé, à l’initiative des instances représentatives du personnel ou de toute personne intéressée, à suspendre la mise en œuvre du projet (le cas échéant sous astreinte) jusqu’à ce que les instances représentatives du personnel aient été régulièrement informées et consultées[26]. L’employeur peut également être condamné au paiement d’une provision en référé[27], ou à des dommages-intérêts dans le cadre d’une procédure au fond.
Enfin, les preuves obtenues à l’aide d’un dispositif qui n’aurait pas fait l’objet d’une information-consultation régulière (et/ou, s’il s’agit d’un dispositif de contrôle de l’activité du personnel, qui n’aurait pas été préalablement porté à la connaissance des intéressés tel qu’un dispositif d’enregistrement audio/visuel clandestin[28]), sont inopposables aux salariés :une telle preuve ne pourra donc pas être valablement produite en justice pour, par exemple, justifier un licenciement ou contrecarrer une demande de rappels de salaires pour heures supplémentaires. En effet, si la preuve est libre dans le procès prud’homal, il n’en reste pas moins qu’elle doit être obtenue par des procédés conformes à la loi[29]. Ainsi par exemple, l’employeur qui, au moyen d’un système de vidéosurveillance mis en place sans avoir consulté le CE, surprend son salarié en train de voler, ne pourra pas produire les enregistrements réalisés pour justifier le licenciement de ce dernier[30].
Des obligations complémentaires en cas de traitement de données personnelles
Après avoir consulté les Instances Représentatives du Personnel, si l’employeur décide de mettre en œuvre son projet, il doit également, lorsque celui-ci implique le traitement de données à caractère personnel relatives à ses salariés, respecter certaines obligations issues de la loi dite « Informatique et Libertés »[31].
L’employeur doit notamment, préalablement à leur mise en œuvre, procéder à des formalités[32] auprès de la CNIL[33], qui, selon la nature du traitement, prendront la forme soit d’une déclaration de conformité[34], soit d’une déclaration normale[35], soit d’une demande d’autorisation[36].
Dans tous les cas de figure, l’employeur sera également tenu d’informer individuellement ses salariés de l’existence des traitements contenant des données personnelles les concernant (par exemple : par email, courrier, note d’information, publication dans l’intranet, affichage, etc). Cette information devra porter sur la finalité du traitement, les conséquences individuelles qui pourront en résulter, les destinataires des données et les droits d’accès, de rectification et d’opposition dont disposent les salariés[37].
Le non-respect de ces obligations pourra faire l’objet de sanctions pénales[38] et/ou de sanctions financières prononcées par la CNIL, qui pourront dans certains cas être rendues publiques.
L’entrée en application du RGPD
On précisera qu’à compter du 25 mai 2018, avec l’entrée en application du Règlement Européen de protection des données à caractère personnel (RGPD)[39], les obligations de l’employeur vont être modifiées.
Ainsi, les formalités préalables auprès de la CNIL disparaitront pour la quasi-totalité des traitements.
Les traitements de données mis en œuvre par l’employeur devront néanmoins être conformes au RGPD et ce dernier devra notamment :
- documenter les différentes caractéristiques desdits traitements (tenue d’un registre, documentation interne, etc.) ;
- être en mesure de démontrer leur proportionnalité ;
- respecter les principes de protection des données par défaut et dès la conception ;
- dans certains cas, réaliser une analyse d’impact relative à la protection des données[40].
S’agissant de l’information des salariés, cette obligation sera renforcée, le RGPD imposant, entre autres, de fournir des informations transparentes, facilement accessibles et intelligibles ou encore d’informer les salariés sur la possibilité d’introduire une réclamation[41].
[1] Art. L.2323-46 C. Trav.
[2] Art. L.2323-47 C. Trav.
[3] Art. L.2323-1 C. Trav.
[4] Cass. crim. 13 janv. 1998 n° 96-81478
[5] Art. L.2323-29 C. Trav.
[6] Art. L.2323-30 C. Trav.
[7] Art. L.2325-38 et R.2325-7 C. Trav.
[8] Cass. soc., 28 oct. 1996 n° 94-15914
[9] Cass. crim., 13 sept. 2005 n° 04-86887
[10] Cass. soc. 15 octobre 1987 n° 85-16.558
[11] CA PARIS 12 déc. 2011 n° 11/08402
[12] Art. L.4612-9 C. Trav.
[13] Cass. soc. 3 mars 2015 n° 13-26.258
[14] Art. L.4614-12 à L.4614-13-1 C. Trav.
[15] Art. R.2323-1-1 C. Trav. ; Cass. soc. 4 juil.2012 n° 11-19678 ; M. COHEN et L. MILET, Le droit des comités d’entreprise et des comités de groupe, LGDJ, 2016, n° 347 p. 258
[16] Art. L.2323-3 C. Trav.
[17] Art. L.2323-29 C. Trav.
[18] Art. R.4614-3 C. Trav.
[19] Art. R.4614-5-2 et R.4614-5-3 C. Trav.
[20] Art. R.2323-1 et R.2323-1-1 C. Trav.
[21] Art. R.2323-1-1 C. Trav.
[22] Art. L.2323-3 C. Trav.
[23] Art. L.2328-1 C. Trav. (CE) ; Art. L.4742-1 C. Trav. (CHSCT)
[24] A titre d’illustration : Cass. crim. 13 déc. 1994 n° 93-85.092
[26] CA PARIS 31 mars 2010 n° 09/22195
[27] Cass. soc. 3 mars 2015 n° 13-26.258
[28] Art. L.1222-4 C. Trav. ; Cass. soc. 20 nov. 1991 n° 88-43120
[29] Art. 9 C. proc. civ.
[30] Cass. soc. 7 juin 2006 n° 04-43866
[31] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[32] Chapitre IV de la Loi Informatique et Libertés
[33] Commission Nationale Informatique et Libertés
[34] Par exemple, la norme simplifiée n°51 pour la géolocalisation des véhicules des salariés.
[35] Par exemple : en cas de vidéosurveillance
[36] Par exemple, en cas de recours à un procédé de reconnaissance des empreintes digitales avec base centrale.
[37] Article 32 de la loi Informatique et libertés
[38] Articles 226-16, 226-16-1 A et R 625-10 du code pénal
[39] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
[40] Pour plus d’information : https://www.solutions-numeriques.com/juridique-rgpd-les-precisons-apportees-par-le-g-29-sur-les-analyses-dimpact/
[41] Articles 13, 14, 15 du RGPD