Obtenir le consentement de vos employés pour le traitement de leurs données personnelles n’est pas la panacée

shutterstock_1100496830 employees

C’est du moins ce que nous apprend une récente décision de l’autorité grecque de protection des données qui a condamné un employeur à une amende de 150.000 euros (soit environ 0,4 % de son chiffre d’affaires annuel) car, à ses yeux, le traitement en question des données personnelles de ses employés se justifiait plutôt sur base de l’exécution du contrat de travail, du respect des obligations légales de l’employeur et de la poursuite de l’intérêt légitime de ce dernier de veiller au bon fonctionnement de ses activités.

Pour cette autorité de protection des données, le consentement d’un employé ne peut pas être donné librement en raison du déséquilibre des rapports de force entre parties. C’est également en ce sens que s’était prononcé le groupe de travail « Article 29 », qui était un organe consultatif européen indépendant sur la protection des données, dans ses lignes directrices sur le consentement WP259 rev.01 du 10 avril 2018. Pour la majorité des traitements de données au travail, la base juridique ne peut pas être le consentement des employés en raison de la nature de la relation employeur/employé. Ce groupe de travail n’excluait cependant pas qu’il puisse exister des situations où l’employeur est en mesure de démontrer que le consentement est de facto donné librement, c’est-à-dire lorsqu’aucune conséquence négative ne résulte du refus de l’employé de donner son consentement.

Par ailleurs, ce qui est surtout reproché à l’employeur par l’autorité grecque de protection des données, c’est d’avoir donné l’impression aux employés concernés que c’était leur consentement qui légitimait le traitement de leurs données alors qu’en réalité, il s’agissait d’un autre fondement juridique dont ils ne furent pas informés.

Enfin, l’employeur a été mis à l’index pour n’avoir pas communiqué à l’autorité de protection des données la documentation interne qui aurait justifié le choix qui fut fait à l’époque de retenir le consentement comme fondement juridique du traitement en cause.

Cette décision du 31 juillet 2019 (en grec) et un résumé (en anglais), ainsi que les lignes directrices précitées du groupe de travail « Article 29 » sont disponibles sur le site internet du Comité Européen de la Protection des Données : https://edpb.europa.eu

En pratique, cela signifie qu’il vous faut relire l’information qui est destinée à vos employés et veiller à ce que les traitements les concernant soient correctement justifiés et dûment documentés (par exemple dans votre registre des activités de traitement).