Je t’aime un peu, beaucoup, passionnément ou à la folie… Les entreprises font face à une hémorragie de demandes dites RGPD, émanant d’anciens collaborateurs ou de collaborateurs sur la sellette, convaincus d’avoir trouvé un nouveau levier de négociation et/ou de nuisance.
L’idée au départ est tout à fait louable : offrir à toute personne (par le biais des règles dites de RGPD) la possibilité de vérifier l’exactitude des données traitées la concernant, ainsi que la licéité de leur traitement et éventuellement en solliciter la rectification, l’opposition, l’effacement. Il s’agissait, de permettre aux personnes physiques d’être vigilantes, face au traitement d’information les concernant.
Déclinées aux relations salarié/employeur, ces règles sont devenues ingérables et perverses. Qui en porte la responsabilité ? Comment s’y opposer ? La troïka formée par la CNIL, la Cour de Cassation et le Conseil d’Etat, vient d’ouvrir la boîte de Pandore sans se demander à aucun moment, comment ces règles seront contournées, ni comment les entreprises petites ou grandes pourront répondre à ces nouvelles obligations, et avec quels moyens.
La chasse aux mails est ouverte !
Depuis un arrêt rendu par la Cour de cassation le 18 juin dernier, tout salarié peut accéder à ses mails professionnels, de manière quasi illimitée, même s’il ne fait plus partie des effectifs, sauf risque d’atteinte aux droits et libertés de tiers. La chasse aux mails est donc ouverte !
Les collaborateurs peu scrupuleux ont compris que leur employeur préférerait bien souvent les indemniser (surtout s’ils ne font plus partie des effectifs) plutôt que de monopoliser un membre de l’équipe RH durant plusieurs semaines, ou bien y passer ses jours et ses nuits, afin de faire droit à la demande de communication. Parfois la demande porte sur plusieurs années, avec des millions de mails à traiter…
Heureusement, la Cour d’Appel de Paris le 13 novembre dernier, est venue temporiser en affirmant que les documents et/ou pièces émis ou reçus par le salarié, ne constituaient pas en eux-mêmes des données personnelles. Les mails oui, mais pas les pièces jointes… Le dilemme est donc devenu basique : soit faire droit à la demande (mais bien souvent cela s’avère impossible matériellement), soit payer lorsqu’on le peut le salarié afin qu’il renonce à sa demande, soit attendre qu’une plainte ne soit déposée auprès de la CNIL. Un quasi racket tout à fait légal avec la bénédiction de nos juridictions suprêmes.
Depuis le 1er décembre dernier, un salarié visé par une « enquête interne » conserve son droit d’accès à ses données personnelles traitées dans le cadre de cette enquête. En d’autres termes, le salarié visé par une enquête interne, dans le cadre par exemple d’un harcèlement moral ou sexuel, pourra désormais s’immiscer dans le rapport lui-même et donc perturber la réalisation de cette enquête.
Or, même si l’enquête n’est pas imposée pour l’instant par la Loi, elle est indispensable pour délier les langues et permettre aux victimes de s’exprimer (qu’il s’agisse d’une enquête menée en interne ou confiée à un cabinet extérieur) et donc de sanctionner le fauteur de troubles.
En conclusion, il est vital pour les entreprises d’assumer leur opposition à de telles demandes, sans craindre de demander aux juridictions de s’interroger sur le sens même du RGPD. Elles doivent tenir bon car elles ne sont chargées par la Loi, ni de nourrir le contentieux prud’homal en communiquant tout et n’importe quoi, ni de participer à l’entrave des enquêtes internes, ne serait-ce qu’en raison du respect dû aux victimes. Une petite lueur d’espoir : le Comité européen de la protection des données (CEPD) a discuté les 2 et 3 décembre derniers, d’un projet de modification du RGPD.
Une proposition de règlement « Digital Omnibus » vise à modifier certaines législations européennes, notamment en permettant au responsable de traitement de refuser de donner suite à une demande exercée de façon abusive ou à facturer des frais raisonnables…
