Chaque fois que des données personnelles sont traitées dans une entreprise, le responsable doit respecter les dispositions légales en matière de protection des données. En cas de violation des dispositions légales relatives à la protection des données, des amendes élevées peuvent être infligées. En règle générale, cette amende est infligée à l'employeur en cas d'infraction. Mais si le traitement est effectué par le comité d'entreprise, celui-ci peut-il également être responsable en matière de protection des données ?

Dans quelle mesure le comité d'entreprise traite-t-il des données ?

Dans les entreprises dotées d'un comité d'entreprise (entreprises participatives), la majeure partie des décisions relatives aux données personnelles revient à ce dernier. Le comité d'entreprise doit être impliqué lors de l'embauche de nouveaux collaborateurs. Il reçoit alors tous les dossiers de candidature (§ 99 I BetrVG). De même, il est informé des motifs de licenciement, des incapacités de travail prolongées et des grossesses. En outre, le comité d'entreprise peut consulter les listes de salaires non anonymisées (§ 80 II 2 BetrVG). Ainsi, le comité d'entreprise ne traite pas seulement des données à caractère personnel, mais aussi des données de catégorie particulière (article 9 du RGPD).

Où le traitement des données et la responsabilité sont-ils réglementés ?

En principe, le RGPD réglemente tout traitement de données en Europe. Pour le traitement des données dans le contexte de l'emploi, le RGPD contient une clause d'ouverture (article 88 du RGPD). Cela signifie que des réglementations nationales sont possibles dans ce domaine. Le législateur allemand a donc créé l'article 26 de la BDSG. Celui-ci ne contient toutefois pas de réglementation sur la question de savoir si le comité d'entreprise peut être responsable. Le site Définition du terme "responsable relève entièrement du RGPD. En résumé, le responsable est celui qui traite effectivement des données à caractère personnel et qui détermine les finalités et les moyens du traitement (article 4, point 7, du RGPD).

Le comité d'entreprise peut-il être responsable ?

Il est évident que le comité d'entreprise traite des données à caractère personnel, comme nous l'avons déjà constaté.

En outre, en tant que responsable, il devrait également décider des moyens et des finalités du traitement. Cette étape se situe intellectuellement avant le traitement proprement dit. En effet, le traitement de données à caractère personnel n'est licite qu'à des fins prédéfinies (article 5 Ib du RGPD). De même, un responsable décide des moyens de traitement, c'est-à-dire principalement des méthodes techniques.

Lors du traitement de données à caractère personnel, un comité d'entreprise ne décide pas seulement si ou pourquoi il en prend connaissance (finalité), mais aussi comment ou ce qui est ensuite fait avec ces données (moyens). De ce point de vue, il peut être considéré comme un responsable.

Critique du droit du travail

Ce sont surtout les spécialistes du droit du travail qui critiquent ce point de vue. Ils soulignent que la BetrVG impose des limites strictes au comité d'entreprise pour décider si et comment les données doivent être traitées. Ainsi, il ne peut pas décider librement et ne peut pas être le responsable.

La conséquence de ce point de vue serait que toutes les opérations de traitement des données du comité d'entreprise devraient être imputées à l'employeur. Cependant, le comité d'entreprise traite les données pour lui-même et non pour l'employeur, dans le cadre fixé par la BetrVG. L'employeur n'a aucun droit de regard sur les décisions du comité d'entreprise concernant l'opportunité et la manière de traiter les données. Les restrictions imposées par la BetrVG ne changent rien à cette situation.

Problème de la capacité juridique

En outre, on oppose à l'opinion qui affirme la responsabilité que la responsabilité en tant que responsable est en contradiction avec l'activité au sein du comité d'entreprise en tant que fonction bénévole non rémunérée. Le comité d'entreprise lui-même n'a pas de masse de responsabilité et les membres ne doivent pas être tenus personnellement responsables en raison de leur statut de bénévole. Aucun dédommagement effectif ne peut être exigé.

Selon la CJCE, la capacité juridique de la personne responsable ne joue toutefois aucun rôle. La responsabilité doit donc être interprétée au sens large comme étant celle de celui qui est capable de prendre des décisions. Il convient ensuite d'examiner à qui cette action est imputable, dans l'intérêt de qui le traitement est donc effectué. Selon la CJUE, le comité d'entreprise, sous la forme de ses membres, peut donc en principe être considéré comme responsable s'il prend des décisions de manière autonome. Il n'est donc ni un sous-traitant (article 28 III du RGPD) ni une personne subordonnée (article 29 du RGPD).

Conséquences pour le comité d'entreprise

En tant que responsable, le comité d'entreprise est donc soumis aux obligations légales en matière de protection des données. Selon la jurisprudence, ces obligations peuvent également être exigées de lui. De même, le comité d'entreprise est alors le destinataire des droits des personnes concernées.

Si le comité d'entreprise ne remplit pas ces obligations, il peut faire l'objet de mesures d'enquête (article 58 I du RGPD), de mesures correctives (article 58 II du RGPD) et, en dernier recours, d'amendes (article 83 du RGPD à l'encontre du membre individuel) en cas d'infraction suffisamment importante. En cas d'infraction, l'employeur n'est en principe pas responsable aux côtés du comité d'entreprise.

Vous souhaitez obtenir des conseils sur la protection des données en entreprise ? Notre équipe d'experts se fera un plaisir de vous aider !

fr_FRFrançais