Gestion du personnel : Nouvelle règle de protection des données personnelles
Les DRH et responsables du personnel ont dû, le 25 mai 2018, mettre en conformité la gestion des données personnelles des salariés avec les nouvelles règles applicables en la matière. Nouvelles règles à appliquer Le règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (appelé “RGPD”) est définitivement applicable en France depuis le 25 mai 2018 (règlement UE du 27 avril 2016). En principe, il n’est pas nécessaire qu’une loi le transpose dans le droit français pour rendre ses dispositions applicables, notamment aux entreprises françaises. Toutefois, certaines de ses dispositions peuvent être précisées ou aménagées par les Etats membres. Dans un premier temps, la loi “informatique et libertés” a été modifiée pour rendre le droit français conforme au nouveau cadre européen. Dans un deuxième temps, une réforme de plus grande ampleur sera déclenchée. Vérifier les traitements RH Concernant la gestion en interne, le responsable du traitement doit désormais mettre en oeuvre des mesures techniques et organisationnelles appropriées pour s’assurer, et être en mesure de démontrer, que le traitement est effectué conformément aux règles de protection des données à caractère personnel et ce, dès sa conception. Cela revient notamment à garantir que, “par défaut”, seules les données nécessaires au regard de la finalité du traitement sont traitées. En pratique, il convient donc de favoriser les menus déroulants dans les logiciels de gestion des RH et d’éviter les zones de texte libre ou de commentaires. En outre, l’employeur ne peut pas collecter n’importe quelles données. Par exemple, il ne peut pas collecter via une plateforme de recrutement le numéro de sécurité sociale d’un candidat. En revanche, il peut le recueillir à l’embauche du candidat pour l’intégrer dans son logiciel de paie puisque ce numéro est requis pour la déclaration sociale nominative. En résumé, l’employeur doit s’assurer que l’outil ou le logiciel RH remplit toutes les conditions exigées par les nouvelles règles européennes. Concernant le recours à un sous-traitant, l’employeur a également de nouvelles obligations à respecter. Par exemple, il ne peut faire appel qu’à un sous-traitant qui respecte lui-même les règles de protection des données à caractère personnel. De plus, le contrat conclu avec le sous-traitant contient désormais des clauses impératives relatives à cette protection. Il doit être écrit (papier ou format électronique). En pratique, cela implique de mettre à jour les contrats existants avec les prestataires extérieurs par voie d’avenants et de s’assurer de la conformité des contrats signés à l’avenir. Suivre les nouvelles procédures Les traitements automatisés de données à caractère personnel, comme les fichiers de gestion des ressources humaines, étaient soumis à un régime déclaratoire de la CNIL, sauf cas de dispense en présence d’un correspondant informatique et libertés (CIL). Depuis le 25 mai 2018, la plupart de ces formalités préalables sont supprimées. Un traitement peut engendrer un risque élevé pour les droits et libertés des personnes physiques du fait de sa nature, de sa portée, de son contexte et de ses finalités, en particulier en cas de recours à des nouvelles technologies. Si tel est le cas, le responsable du traitement doit faire une analyse d’impact relative à la protection des données (AIPD) avant sa mise en oeuvre. L’AIPD n’est donc pas obligatoire pour tous les traitements RH, mais elle est recommandée en cas de doute. A titre d’exemple, elle est impérative avant la mise en place d’un système de surveillance systématique par une entreprise des activités de ses salariés, y compris leur poste de travail, leur activité sur internet… Les traitements déclarés à la CNIL ou listés par le CIL avant le 25 mai 2018 sont dispensés de l’AIPD, si ceux-ci restent inchangés et seulement jusqu’au 25 mai 2021. L’AIPD consiste à : – décrire le traitement réalisé ; – évaluer, d’un point de vue juridique, si le traitement est nécessaire et proportionné compte tenu de sa finalité et au regard des règles de protection des données à caractère personnel ; – étudier, d’un point de vue technique, les risques pour la sécurité des données puis envisager les mesures pour y faire face. L’employeur peut demander conseil au délégué à la protection des données. Il aura vraisemblablement à solliciter l’avis des représentants du personnel. Si l’AIPD révèle qu’un “risque élevé” subsiste malgré les mesures de sécurité envisagées par l’employeur, celui-ci doit consulter la CNIL avant de mettre en oeuvre son traitement. Si la CNIL considère que le traitement en cause constituerait une violation des règles relatives à la protection des données à caractère personnel, elle rend son avis, en principe, dans les 8 semaines après avoir reçu la demande de l’employeur. En d’autres termes, elle peut s’opposer à la mise en oeuvre du traitement. Dans les entreprises d’au moins 250 salariés, le responsable du traitement doit tenir un registre des traitements effectués dont les mentions sont précisément définies : coordonnées de l’employeur, finalités, personnes concernées…, sachant que la CNIL en propose un modèle sur son site internet. Dans les entreprises de moins de 250 salariés, le registre est impératif seulement dans certains cas et notamment quand les traitements sont habituels, ce qui est de fait le cas pour les traitements RH. Le registre peut être électronique et doit être tenu à la disposition de la CNIL à sa demande. En pratique, il est recommandé de le mettre régulièrement à jour. Nouveauté : le DAP Le correspondant informatique et libertés (CIL) est supprimé. En lieu et place, un délégué à la protection des données (DAP) doit être désigné dans certains cas. Sa désignation est recommandée dans la mesure où il a, entre autres fonctions, celle d’informer et de conseiller l’employeur sur ses obligations en matière de protection des données et d’être l’interlocuteur de la CNIL. Le DAP est un salarié ou un prestataire externe. Il doit avoir les qualifications requises pour exercer cette mission. Il n’est pas un salarié protégé. Il peut donc être licencié, comme tout autre salarié, mais seulement pour des motifs autres que l’exercice de ses missions de délégué. Droits et informations des salariés La loi prévoit déjà que les personnes ont un droit d’accès à leurs données, de rectification et d’opposition. Le RGPD y ajoute un droit à l’effacement dans certains cas et un droit à la portabilité des données à un autre responsable de traitement. Le RGPD réduit à 1 mois le délai de réponse. Le RGPD impose également d’informer les personnes dont les données personnelles sont collectées, de l’identité du responsable du traitement, de la finalité du traitement et de sa base juridique, des destinataires des données, de leur durée de conservation, du droit d’accès… Ces informations doivent être transmises au moment où les données sont collectées. Le RGPD augmente le nombre d’informations requises par rapport à ce qu’exigeait la loi “informatique et libertés”. Enfin, il impose que cette information soit faite de façon “concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”. Elle peut être écrite ou faite par voie électronique. En pratique, cela impose de rédiger des documents d’information, par exemple, à destination des candidats à l’embauche et des salariés.
Entreprise : Vol commis par un salarié
Un employeur qui constate des vols – ou auquel on rapporte la disparition d’objets, matériel, argent… – dans l’entreprise ou chez un client peut rechercher à en identifier le ou les responsables. Si les soupçons se portent sur des salariés, une enquête s’imposera afin de vérifier leur culpabilité. L’employeur va, par exemple, interroger les salariés soupçonnés et leurs collègues, visionner des images de vidéosurveillance s’il en existe, fouiller le vestiaire du salarié… Les preuves du vol d’un salarié doivent avoir été recueillies selon des procédés licites pour être recevables devant les juges et ainsi justifier une sanction (Cass. 4 juillet 2012). Les contrôles opérés par l’employeur ne doivent pas avoir apporté aux droits des salariés, et à leurs libertés individuelles et collectives, des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir, ni proportionnées au but recherché (article L.1121-1 du code du travail). En outre, la vie privée du salarié doit toujours être respectée (article 9 du code civil). L’employeur n’ayant pas les pouvoirs d’un officier de police judiciare, s’il peut agir dans le cadre de son pouvoir disciplinaire, il ne peut pas outrepasser ses droits. Les juges ont ainsi souligné que lors d’une enquête interne se déroulant au lieu et temps de travail, un employeur ne peut pas procéder à une “garde à vue”. Dans cette affaire, l’employeur et son DRH avaient retenu le salarié plusieurs heures pour l’interroger, sans qu’il puisse quitter la pièce sous peine d’être licencié. Dans ce cas, une condamnation pour détention ou séquestration pourrait être prononcée (Cass. 28 février 2018). Dès lors que les preuves sont recueillies par un système de surveillance technique des salariés (vidéosurveillance par exemple), elles seront valables à condition, notamment, que les salariés aient été informés avant la mise en place du système. Notons que l’employeur peut, à certaines conditions, accéder aux mails ou messages du salarié, qui figureraient sur son ordinateur ou son téléphone mobile professionnel, et qui pourraient attester de vols. La fouille pour trouver des objets volés est de la compétence des officiers de police judiciaire. Il est néanmoins admis que l’employeur organise une fouille de sacs des salariés s’il se trouve dans un contexte de plusieurs disparitions d’objets ou de matériels de l’entreprise, dans les conditions posées par le règlement intérieur. Il faut que le salarié donne son accord et sache qu’il peut exiger un témoin (Cas. 11 février 2009). Il est également possible d’ouvrir le vestiaire du salarié dans les conditions prévues par le règlement intérieur et en présence de l’intéressé ou une fois celui-ci informé (Cass. 11 décembre 2001). Il est possible d’apporter comme preuve du vol des témoignages qui vont prendre la forme d’attestations écrites. Celles-ci doivent relater les faits auxquels leurs auteurs ont assisté ou qu’ils ont personnellement constatés et présenter un certain nombre de mentions obligatoires (articles 201, 202 et 205 du code de procédure civile). Les témoins peuvent être des collègues du salarié fautif, voire un RRH. Le salarié qui vole des biens de l’entreprise, d’un salarié ou d’un client commet une faute dont la gravité varie compte tenu de divers critères tels que l’ancienneté du salarié, la modicité du vol, le caractère isolé de l’incident… (Cass. 29 janvier 2008). Lorsque la réalité du vol est établie, l’employeur qualifie la faute du salarié compte-tenu de ces éléments. Si la faute est simple, elle justifiera un rappel à l’ordre voire une sanction “légère” ; si la faute est grave, elle justifiera une sanction pouvant aller jusqu’au licenciement. Pour rappel, on parle de faute grave lorsque celle-ci empêche le maintien du salarié dans l’entreprise (Cass. 27 septembre 2007), même pendant son préavis, voire pendant la procédure disciplinaire (recours à une mise à pied conservatoire). En pratique : – le vol de biens de l’entreprise est souvent qualifié de faute simple ou grave ; – le vol au préjudice de collègues constitue une faute seulement s’il relève de la vie professionnelle (ex: dans le bureau, les poches, le vestiaire) ; – le vol au préjudice d’un client est reconnu par les juges comme une faute grave. La faute lourde est très rarement reconnue. L’employeur prend aussi en compte les éventuelles dispositions du règlement intérieur. Si plusieurs salariés ont commis la faute, les sanctions peuvent être individualisées (Cass. 1er février 1995). Enfin, l’employeur qui décide de sanctionner un salarié convaincu de vol, doit engager la procédure dans les 2 mois de la connaissance des faits (ex: en envoyant une convocation à un entretien préalable pour une sanction plus lourde qu’un simple avertissement) (article L.1332-4 du code du travail). Si la qualification de faute grave est a priori retenue, l’employeur doit engager la procédure sans tarder, le cas échéant après avoir mené son enquête (Cass. 24 novembre 2010). Après l’entretien, l’employeur notifie la sanction dans les conditions habituelles. Notons que le choix de la sanction et la mise en oeuvre de la procédure doivent respecter la liste des sanctions et les règles posées par le règlement intérieur et les conventions ou accords collectifs. Lorsque le salarié est en CDD, si le vol constitue une faute grave, celui-ci peut justifier la rupture anticipée du contrat de travail (article L.1243-1 du code du travail). Enfin, en présence d’un vol dans l’entreprise, l’employeur peut contacter les forces de l’ordre afin qu’elles mènent une enquête judiciaire. Cela n’empêche ni son enquête interne dans le cadre de son pouvoir disciplinaire (Cass. 28 février 2018), ni la poursuite de la procédure disciplinaire (Cass. 28 janvier 2012). Par exemple, il peut licencier le salarié sans attendre l’issue de l’enquête et d’un procès. D’ailleurs, une relaxe au pénal n’absout pas nécessairement le salarié au plan disciplinaire.
Congé maternité ou adoption : Revalorisation du salaire
Dans certains cas, l’employeur doit ajuster la rémunération du (de la) salarié(e) de retour d’un congé de maternité ou d’adoption. Il est en effet tenu de lui assurer les augmentations salariales accordées à ses collègues pendant son absence. Ce mécanisme de revalorisation suit des règles bien précises dont l’employeur ne peut s’écarter. Les augmentations salariales accordées à leurs collègues durant leur absence doivent être appliquées : – aux salariées de retour d’un congé de maternité (article L.1225-26 du code du travail) ; – aux salarié(e)s de retour d’un congé d’adoption (article L.1225-44 du code du travail). Si aucune augmentation n’est intervenue pendant l’absence, ce rattrapage salarial n’a pas lieu d’être. Par ailleurs, il s’agit d’un seuil plancher. L’employeur a donc la possibilité d’accorder une augmentation supplémentaire, liée aux mérites du salarié. Le rattrapage salarial légal ne s’applique qu’en l’absence d’accord collectif de branche ou d’entreprise fixant des garanties d’évolution de la rémunération au moins aussi favorables. En d’autres termes, l’employeur met en oeuvre le dispositif conventionnel s’il est plus favorable au salarié que le dispositif légal. Par exception, les accords collectifs conclus avant le 25 mars 2006 – date d’entrée en vigueur de cette garantie (loi du 23 mars 2006) – qui prévoient un mécanisme de rattrapage moins favorable, restent applicables. La mise en oeuvre du rattrapage salarial légal ou conventionnel doit être appréciée au niveau de l’entreprise, et non au niveau de l’établissement, du groupe ou de l’unité économique et sociale (article L.1225-26 du code du travail). Le montant de l’augmentation doit tenir compte (articles L.1225-26 et L.1225-44 du code du travail) d’une part, des augmentations générales et d’autre part, de la moyenne des augmentations individuelles perçues pendant la durée du congé par les salariés relevant de la même catégorie professionnelle (ou, à défaut, la moyenne des augmentations individuelles dans l’entreprise). Notons que l’employeur ne peut pas remplacer cette augmentation par le versement d’une prime exceptionnelle, même avec l’accord du salarié (Cass. 14 février 2018). En pratique, l’employeur doit : – décomposer la rémunération des salariés de la catégorie professionnelle en question, compris la rémunération du salarié concerné ; – identifier les augmentations individuelles et/ou collectives appliquées à chacun des éléments de la rémunération ; – calculer la moyenne de ces augmentations pour chacun des éléments ; – appliquer chaque taux moyen aux éléments correspondants de la rémunération du salarié. Il n’existe pas de définition légale de la catégorie professionnelle. Selon l’administration, il s’agit des salariés ayant le même coefficient dans la classification de l’entreprise pour le même type d’emploi. L’employeur peut tenir compte d’une subdivision supplémentaire par métier lorsque les coefficients s’appliquent à des emplois dont le contenu est différent. La rémunération à prendre en compte est le salaire de base ou minimal et tous les autres avantages et accessoires payés, directement ou indirectement, en espèces ou en nature, au salarié en raison de son emploi. Il faut écarter : – les primes liées à une sujétion particulière qui ne concerne pas le salarié (salissures, travail de nuit, du dimanche…) ; – les primes exceptionnelles liées à la personne du salarié ; – les augmentations liées à une promotion entraînant un changement de catégorie ; – les mesures de participation, d’intéressement ou de distribution d’actions gratuites ou d’options sur actions. L’augmentation accordée au titre de la nouvelle garantie de rémunération doit intervenir “à la suite” du congé de maternité (et non “à l’issue”). Selon l’administration, le rattrapage est dû à compter du retour de congé de maternité ou d’adoption. En outre, lorsque le(la) salarié(e) enchaîne son congé de maternité (ou d’adoption) et un congé parental d’éducation total, le rattrapage salarial intervient : – au retour du congé parental ; – sur la base des seules augmentations intervenues pendant le congé de maternité (ou d’adoption), abstraction faite de celles survenues durant le congé parental. Lorsque le(la) salarié(e) enchaîne son congé de maternité (ou d’adoption) et un congé parental à temps partiel, le rattrapage intervient lorsque le salarié reprend son activité à temps partiel dans le cadre du congé parental. Enfin, les périodes de congé maternité ou adoption sont assimilées à des périodes de présence pour l’attribution de l’intéressement et de la participation aux résultats. Lorsque leur répartition se fait en fonction des salaires perçus, l’employeur doit établir, pour son calcul, les salaires qui auraient été perçus par le(la) salarié(e) s’il(elle) n’avait pas été en congé.