Chaque fois que des données personnelles sont traitées dans une entreprise, le responsable doit respecter les dispositions légales en matière de protection des données. En cas de violation des dispositions légales relatives à la protection des données, des amendes élevées peuvent être infligées. En règle générale, cette amende est infligée à l'employeur en cas d'infraction. Mais si le traitement est effectué par le comité d'entreprise, celui-ci peut également être sanctionné. responsable de la protection des données être ?

Dans quelle mesure le comité d'entreprise traite-t-il des données ?

Dans les entreprises dotées d'un comité d'entreprise (entreprises codéterminées), la majorité des décisions concernant données à caractère personnel sur ce dernier. Le conseil d'entreprise doit être impliqué lors de l'embauche de nouveaux collaborateurs. Il reçoit alors tous les documents de candidature (§ 99 I BetrVG). De même, il est informé des motifs de licenciement, des incapacités de travail prolongées et des grossesses. En outre, le comité d'entreprise peut consulter les listes de salaires non anonymes (§ 80 II 2 BetrVG). Ainsi, non seulement données à caractère personnelLe comité d'entreprise ne traite pas seulement des données personnelles, mais aussi des données de catégorie particulière (article 9 du RGPD).

Où le traitement des données et la responsabilité sont-ils réglementés ?

En principe, la RGPD tout traitement de données en Europe. Pour le traitement des données dans le contexte de l'emploi, le RGPD contient une clause d'ouverture (article 88 du RGPD). Cela signifie que des réglementations nationales sont possibles dans ce domaine. Le législateur allemand a donc créé l'article 26 de la BDSG. Celui-ci ne contient toutefois pas de réglementation sur la question de savoir si le comité d'entreprise peut être responsable. Le site Définition du terme "responsable relève entièrement du RGPD. En résumé, le responsable est celui qui données à caractère personnel et décide des finalités et des moyens du traitement (article 4, point 7, du RGPD).

Le comité d'entreprise peut-il être responsable ?

Que le comité d'entreprise données à caractère personnel est évident.

En outre, en tant que responsable, il devrait également décider des moyens et des finalités du traitement. Cette étape se situe mentalement avant le traitement proprement dit. Enfin, la Traitement des données à caractère personnel ne sont légitimes que pour des finalités déterminées au préalable (article 5 Ib du RGPD). De même, un responsable du traitement décide des moyens de traitement, c'est-à-dire principalement des méthodes techniques.

Un comité d'entreprise décide lors Traitement des données à caractère personnel non seulement s'il en prend connaissance ou dans quel but (finalité), mais aussi comment ou ce qu'il fait ensuite avec ces données (moyens). De ce point de vue, il peut être considéré comme responsable.

Critique du droit du travail

Ce sont surtout les spécialistes du droit du travail qui critiquent ce point de vue. Ils soulignent que la BetrVG impose des limites strictes au comité d'entreprise pour décider si et comment les données doivent être traitées. Ainsi, il ne peut pas décider librement et ne peut pas être le responsable.

La conséquence de ce point de vue serait que toutes les opérations de traitement des données du comité d'entreprise devraient être imputées à l'employeur. Cependant, le comité d'entreprise traite les données pour lui-même et non pour l'employeur, dans le cadre fixé par la BetrVG. L'employeur n'a aucun droit de regard sur les décisions du comité d'entreprise concernant l'opportunité et la manière de traiter les données. Les restrictions imposées par la BetrVG ne changent rien à cette situation.

Problème de la capacité juridique

En outre, on oppose à l'opinion qui affirme la responsabilité que la responsabilité en tant que responsable est en contradiction avec l'activité au sein du comité d'entreprise en tant que fonction bénévole non rémunérée. Le comité d'entreprise lui-même n'a pas de masse de responsabilité et les membres ne doivent pas être tenus personnellement responsables en raison de leur statut de bénévole. Aucun dédommagement effectif ne peut être exigé.

Selon la CJCE, la capacité juridique de la personne responsable ne joue toutefois aucun rôle. La responsabilité doit donc être interprétée au sens large comme étant celle de celui qui est capable de prendre des décisions. Il convient ensuite d'examiner à qui cette action est imputable, dans l'intérêt de qui le traitement est donc effectué. Selon la CJUE, le comité d'entreprise, sous la forme de ses membres, peut donc en principe être considéré comme responsable s'il prend des décisions de manière autonome. Il n'est donc ni un sous-traitant (article 28 III du RGPD) ni une personne subordonnée (article 29 du RGPD).

Conséquences pour le comité d'entreprise

En tant que responsable, le comité d'entreprise est donc soumis aux obligations légales en matière de protection des données. Selon la jurisprudence, ces obligations peuvent également être exigées de lui. De même, le comité d'entreprise est alors le destinataire des droits des personnes concernées.

Si le comité d'entreprise ne remplit pas ces obligations, il peut faire l'objet de mesures d'enquête (article 58 I du RGPD), de mesures correctives (article 58 II du RGPD) et, en dernier recours, d'amendes (article 83 du RGPD à l'encontre du membre individuel) en cas d'infraction suffisamment importante. En cas d'infraction, l'employeur n'est en principe pas responsable aux côtés du comité d'entreprise.

Vous souhaitez des conseils sur Protection des données dans l'entreprise ? Notre équipe d'experts se fera un plaisir de vous aider !

DSB buchen
fr_FRFrançais