A la suite de la cessation des mesures de confinement, de nombreux employeurs doivent faire face à des ­demandes émanant de différentes autorités, cherchant à se faire communiquer les données personnelles de leurs salariés, notamment afin de s’assurer du respect des dispositions relatives au recours au chômage partiel.

Cependant, avant de transmettre de telles données, les employeurs doivent (1.) vérifier le ­fondement de la ­demande, (2.) identifier la source de la demande et se limiter aux données personnelles qui sont nécessaires au but recherché et (3.) s’assurer que leur transmission s’effectue en toute sécurité.

 

(1.)  Vérifier le fondement de la demande

La communication de données personnelles par un responsable du traitement tel qu’un employeur n’est pas libre : elle doit être encadrée par un contrat assurant le partage des obligations et des responsabilités en matière de protection des données personnelles (article 28 du RGPD).

Comme le rappelle la CNIL dans un guide relatif aux tiers autorisés publié le 10 juillet 2020, un tel contrat n’est toutefois pas nécessaire lorsque le destinataire des données est un « tiers autorisé », c’est-à-dire lorsqu’il agit « dans le cadre d’une mission d’enquête particulière » en application d’une disposition légale ou réglementaire (article 4 (9) du Règlement général sur la protection des données).

Tel peut notamment être le cas de l’administration fiscale, des URSSAF, ou d’une inspection du travail.

Aussi, confrontées à une demande de transmission de données, il appartient aux entreprises de s’assurer que la demande est fondée sur une disposition légale ou réglementaire précisément identifiée.

A titre d’illustration, la demande d’un inspecteur du travail enquêtant sur des faits de harcèlement ne peut être fondée de manière générique sur le Code du travail, mais doit désigner spécifiquement l’article L. 8113-5 de ce Code.

 

(2.)  Vérifier l’identité du demandeur et identifier les données personnelles strictement nécessaires au but recherché

L’employeur auquel est adressé une demande de communication de documents doit s’assurer que la demande provient effectivement de l’administration compétente, et non d’une administration n’ayant pas qualité pour émettre une demande de communication sur le fondement des dispositions légales identifiées, ou de personnes mal intentionnées.

A cette fin, la CNIL recommande, par exemple, de contacter par téléphone l’administration concernée après avoir recherché le numéro sur un annuaire ou le site officiel de l’administration, sans se fier aux coordonnées figurant sur le courrier de demande.

En effet, en cas de transmission sans vérification préalable, l’employeur manquerait à ses obligations en matière de sécurité des données personnelles (cf. point 3).

Une fois cette vérification opérée, l’employeur doit identifier les données dont la communication à ­l’administration est nécessaire pour lui permettre de parvenir au but qu’elle poursuit (article 5 (1) c du RGPD). Il convient ainsi de ne pas communiquer de donnée non expressément demandée, et de ne communiquer que les données effectivement susceptibles de permettre à l’administration d’opérer les vérifications que les textes l’habilitent à conduire.

Dans son « recueil des procédures », la CNIL détaille un ensemble de procédures usuelles pour lesquelles elle précise les conditions des demandes et la nature des informations communicables. A titre d’exemple, le droit des données personnelles ne s’oppose pas à ce que l’employeur mis en cause par le défenseur des droits lui communique toutes informations et pièces utiles à l’exercice de sa mission.

Par ailleurs, la CNIL rappelle que les employeurs ne peuvent opposer la confidentialité des données ­personnelles pour refuser de répondre aux injonctions de communication de l’inspection du travail en matière de contrôle des livres, registres et documents rendus obligatoires par le code du travail (article L. 8113-4 du Code du travail) ou des documents justifiant notamment le respect des dispositions relatives au travail illégal, au travail dissimulé, au marchandage, au prêt de main d’œuvre illicite (articles L. 8211-1, L. 8221-1, L. 8231-1, L. 8241-1 du Code du travail).

 

(3.)  S’assurer que leur transmission s’effectue en toute sécurité

Enfin, la CNIL rappelle que l’obligation de transmettre des données personnelles ne dispense pas l’employeur de mettre en œuvre toutes les mesures de sécurité prévenant tout accès non autorisé aux données collectées.

De telles mesures peuvent correspondre à des procédés de cryptage, ou à l’envoi de documents protégés par un mot de passe communiqué dans un envoi séparé.

Une réponse inadéquate à une demande de communication d’informations et de données personnelles peut engager la responsabilité de l’employeur à divers titres.

Ainsi, une communication insuffisante peut engager la responsabilité pénale de l’employeur faisant ­obstacle à une demande légitime, par exemple au titre du délit d’obstacle aux fonctions d’un inspecteur du travail ; à ­l’inverse, une communication excessive ou sans vérification de la qualité de l’interlocuteur à recevoir les données peut entraîner des sanctions sur le terrain du droit des données personnelles et engager la responsabilité civile de l’employeur vis-à-vis du salarié dont les données ont été communiquées sans fondement ou sans mesure de sécurité nécessaire. Dans une telle hypothèse, une violation de données serait caractérisée, et imposerait à l’employeur d’en notifier la CNIL et, si cette fuite est susceptible d’engendrer un risque élevé pour les personnes concernées, les salariés dont les données personnelles ont été indûment communiquées (articles 33 et 34 du RGPD).


Pour aller plus loin

Vous souhaitez recevoir nos newsletters, informations et actualités ?

Inscrivez-vous ici