Dans quelle mesure vos conventions collectives de travail sont-elles « compatibles » avec le RGPD ?

Pour rappel, une convention collective de travail (CCT) est définie, en droit belge, à l’article 5 de la loi correspondante du 5 décembre 1968 comme un « accord conclu entre une ou plusieurs organisations de travailleurs et une ou plusieurs organisations d’employeurs ou un ou plusieurs employeurs déterminant les relations individuelles et collectives entre employeurs et travailleurs au sein d’entreprises ou d’une branche d’activité et réglant les droits et obligations des parties contractantes. »

Toutefois, toute CCT doit respecter ce qu’on appelle la « hiérarchie des normes » et elle ne peut dès lors pas être contraire aux dispositions impératives des lois, ni aux traités ayant effet direct en Belgique, et ce sous peine de nullité.

A cet égard, il est intéressant de relever que l’article 88 du Règlement Général européen sur la Protection des Données (RGPD) prévoit la possibilité pour les Etats membres, par la loi ou au moyen d’une CCT, d’adopter des règles « spécifiques » pour la collecte et le traitement de données dans le cadre des relations de travail. Ces règles, cependant, doivent comprendre des “mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel (…) et aux systèmes de contrôle sur le lieu de travail. »

Pour la Cour de Justice de l’Union Européenne (CJUE), ces « règles spécifiques » peuvent concerner non seulement des employés mais également des fonctionnaires (§§44 à 56), ainsi que cela ressort d’un arrêt rendu le 30 mars dernier à l’occasion d’un système de diffusion en direct des cours par vidéoconférence qui fut mis en place dans certaines écoles allemandes et pour lequel le consentement préalable des enseignants concernés n’avait pas été prévu (à l’inverse de celui des élèves).

Cela étant, la marge d’appréciation dont bénéficient les Etats membres pour l’adoption de « règles spécifiques » n’est pas absolue, rappelle la CJUE (§§59 à 75) puisque, on l’a vu, cela nécessite également l’adoption de « mesures appropriées et spécifiques » pour protéger les travailleurs. De surcroît, les Etats membres ne peuvent pas, par la même occasion, « s’affranchir » des règles générales du RGPD (§§ 59 et 79), dont la nécessité de disposer d’une base juridique valable pour pouvoir traiter des données à caractère personnel parmi celles visées à l’article 6 du RGPD (§§ 69 et 70).

Qu’en retenir ?

Lorsqu’une CCT prévoit des « règles spécifiques » pour la collecte et le traitement de données de travailleurs, il conviendrait de vérifier si cette CCT contient par la même occasion des garanties spécifiques et appropriées qui visent à protéger leurs droits et libertés.

A défaut, nous dit la CJUE, elle pourrait être déclarée « inapplicable » (§§82 à 84) et il conviendrait alors de s’en référer aux règles générales du RGPD, à moins que cette CCT consacre là une mission d’intérêt public visée à l’article 6 §1 (e) et §3 du RGPD (§§86 à 89).

L’arrêt C-34/21 précité de la CJUE est disponible ici :

https://curia.europa.eu/juris/document/document.jsf;jsessionid=44043043AB617314E4BEB3934942B8A5?text=&docid=272066&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=8337486