Après plus de 16 mois, l’application du RGPD révèle des surprises sur des principes pourtant fondamentaux de la réglementation. La décision rendue par l’autorité grecque de protection des données personnelles (Hellenic Data Protection Authority) le 30 juillet 2019[1] en est l’illustration.
L’un des principes fondamentaux du RGPD prévoit que les données personnelles doivent être traitées de manière licite, loyale et transparente (art. 5. 1. a). Pour être licite, un traitement de données personnelles doit avant tout reposer sur une ou plusieurs des six bases légales énoncées par le RGPD (art. 6. 1.).
La société PWC BS avait basé le traitement des données personnelles de ses salariés sur leur consentement, lequel est une de ces six bases légales. L’autorité grecque, saisie par une plainte, a décidé que le consentement des salariés ne peut pas être considéré comme donné librement dans le contexte d’une relation de travail, compte tenu du rapport de force déséquilibré en faveur de l’employeur. Le consentement n’est donc pas valable.
Il s’agit là d’une simple application de l’avis formulé par le G29 dans ses directives sur le consentement du 18 novembre 2017, qui rappelle toutefois à juste titre que le consentement peut se concevoir pour fonder certains traitements de données personnelles de salariés.
L’autorité hellénique souligne par ailleurs que le traitement des données personnelles était en réalité destiné à accomplir des opérations nécessitées par l’exécution du contrat de travail ou le respect d’obligations légales de l’employeur ou justifiées par son intérêt légitime à assurer le fonctionnement efficace de l’entreprise. Ce faisant, elle indique trois autres bases légales qui auraient pu justifier valablement le traitement des données personnelles des salariés.
Elle tire de ce manquement au principe de licéité, la conclusion que l’employeur a également méconnu le principe de transparence et l’obligation d’information des personnes concernées. Elle considère ainsi que l’employeur a donné aux salariés l’impression erronée que leurs données personnelles étaient traitées sur la base de leur consentement alors qu’elles l’étaient en vertu d’autres bases légales dont ils n’étaient pas informés.
L’autorité grecque déroule l’examen des principes jusqu’au bout et relève que l’employeur a également méconnu le principe de « responsabilité » (accountability) dès lors qu’il n’a fourni aucune documentation justifiant le choix de la base légale retenue.
D’un manquement à l’exigence d’une base légale appropriée, la société PWC BS se retrouve finalement comptable de deux autres entorses au RGPD qui en découlent et se voit condamnée à se mettre en conformité et à verser une amende administrative de 150 000 euros.
Les pratiques de mise en conformité au RGPD montrent que le cas soumis à l’autorité hellénique n’est sans doute pas isolé compte tenu de la prépondérance parfois donnée, à tort, au consentement. Un simple coup d’œil au fondement assigné au traitement des données personnelles de ses salariés est de nature à se rassurer… ou à s’inquiéter.
[1] Décision n°26/2019 – https://www.dpa.gr/portal/page?_pageid=33,43590&_dad=portal&_schema=PORTAL
Loullig Bretel & Ines Benanaya