Trans­fert de don­nées de col­la­bo­ra­teurs au sein du grou­pe après le RGPD ?

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

,

Thè­mes

,
Ven­te à emporter (AI)
  • En Sui­s­se, l’art. 328b CO exi­ge une pesée des inté­rêts au cas par cas en cas de trans­mis­si­on de don­nées rela­ti­ves aux employés, et non une nor­me d’in­ter­dic­tion générale.
  • Sous le RGPD, l’ar­tic­le 6, para­gra­phe 1, point f), est une base juri­di­que pos­si­ble, mais tout trans­fert néces­si­te un con­trô­le de pro­por­ti­on­na­li­té documenté.
  • Le tri­bu­nal régio­nal supé­ri­eur de Hamm a déci­dé que la trans­mis­si­on n’é­tait pas auto­ri­sée lorsque des don­nées pseud­ony­mi­sées ou anony­mi­sées étai­ent suf­fi­san­tes ; exami­ner sérieu­se­ment les alternatives.

La que­sti­on de la trans­mis­si­on des don­nées des col­la­bo­ra­teurs (don­nées des employés) au sein d’un grou­pe se pose très sou­vent. En Sui­s­se, la Art. 328b CO per­ti­nen­tes (réfé­rence au poste de tra­vail des don­nées). Selon la juris­pru­dence actu­el­le du Tri­bu­nal fédé­ral l’art. 328b CO ne doit tou­te­fois pas être com­pris com­me une nor­me d’in­ter­dic­tion, mais com­me la con­cré­ti­sa­ti­on, dans le cad­re du cont­rat de tra­vail, des prin­cipes de trai­te­ment de la pro­tec­tion des don­nées que sont la fina­li­té et la pro­por­ti­on­na­li­té. L’art. 328b CO ne peut donc pas s’op­po­ser a prio­ri à une trans­mis­si­on, mais il exi­ge – par le biais du droit de la pro­tec­tion des don­nées – une Mise en balan­ce des inté­rêts au cas par cas.

Selon le RGPD, la com­mu­ni­ca­ti­on de don­nées rela­ti­ves aux employés au sein d’un grou­pe exi­ge, com­me tou­te aut­re for­me de trai­te­ment, une base juri­di­que (c’est-à-dire que la com­mu­ni­ca­ti­on et le trai­te­ment qui s’en­su­it exi­gent une base juri­di­que, la com­mu­ni­ca­ti­on par l’em­ployeur étant éga­le­ment sou­mi­se au droit de la pro­tec­tion des don­nées des employés et le trai­te­ment qui s’en­su­it par la socié­té tier­ce desti­na­tai­re étant uni­quement sou­mis au droit géné­ral de la pro­tec­tion des don­nées). L’ar­tic­le 6, para­gra­phe 1, lett­re f du RGPD, l’in­té­rêt légiti­me, ent­re en ligne de comp­te. C’est ce que sug­gè­re éga­le­ment le con­sidé­rant 48, qui cite ent­re aut­res la gesti­on inter­ne au sein du grou­pe com­me inté­rêt éven­tu­el­le­ment légitime :

(48) Les respons­ables qui Par­tie d’un grou­pe d’entre­pri­ses ou d’un grou­pe d’en­ti­tés rat­ta­chées à un orga­nis­me cen­tral peu­vent avoir un inté­rêt légiti­me à trai­ter des don­nées à carac­tère per­son­nel au sein du grou­pe d’entre­pri­ses à des fins de gesti­on inter­ne y com­pris le trai­te­ment des don­nées à carac­tère per­son­nel des cli­ents et des employés. Les prin­cipes de base régis­sant le trans­fert de don­nées à carac­tère per­son­nel au sein d’un grou­pe d’entre­pri­ses vers une ent­re­pri­se d’un pays tiers ne sont pas affectés.

Tou­te­fois, cela ne signi­fie pas que tou­te com­mu­ni­ca­ti­on au sein du grou­pe est auto­ri­sée si elle sert à la gesti­on inter­ne – il faut tou­jours un Pesée des inté­rêts au cas par cas, qui, selon le RGPD, doit (et ne dev­rait pas seu­le­ment) être docu­men­tée, con­trai­re­ment à ce que pré­voit la loi révi­sée sur la pro­tec­tion des données.

Le site Le tri­bu­nal régio­nal supé­ri­eur de Hamm (OLG Hamm) vient de déci­derqu’u­ne com­mu­ni­ca­ti­on con­crè­te n’é­tait pas com­pa­ti­ble avec l’ar­tic­le 6, para­gra­phe 1, point f), du RGPD, essen­ti­el­le­ment par­ce que des don­nées anony­mes ou pseud­ony­mes étai­ent éga­le­ment suf­fi­san­tes. aurai­ent eu. Il s’a­gis­sait d’un cont­rat de manage­ment avec une socié­té mère du grou­pe, qui avait un droit de veto sur les cont­rats de tra­vail dont le salai­re dépas­sait un cer­tain seuil. Afin de déter­mi­ner le nombre de cont­rats de ce type, la socié­té mère a effec­tué une enquête auprès des socié­tés du grou­pe en deman­dant, ent­re aut­res, le nom des employés concernés.

Il n’y avait pas non plus de base juri­di­que § 26 DE LA LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉESLa nor­me par­al­lè­le à l’art. 328b CO dans la loi fédé­ra­le alle­man­de sur la pro­tec­tion des don­nées, qui auto­ri­se en prin­ci­pe le trai­te­ment des don­nées des employés, dans la mesu­re où cel­les-ci “est néces­saire pour déci­der de l’é­ta­blis­se­ment d’u­ne rela­ti­on de tra­vail ou, après l’é­ta­blis­se­ment d’u­ne rela­ti­on de tra­vail, pour l’exé­cu­ti­on ou la fin de cel­le-ci, ou pour exer­cer ou rem­plir les droits et obli­ga­ti­ons de la repré­sen­ta­ti­on des inté­rêts des tra­vail­leurs décou­lant d’u­ne loi ou d’u­ne con­ven­ti­on coll­ec­ti­ve, d’un accord d’entre­pri­se ou de ser­vice (con­ven­ti­on coll­ec­ti­ve)”. § L’ar­tic­le 26 de la BDSG prime sur le RGPD en ver­tu de l’ar­tic­le 88 du RGPD, mais la com­mu­ni­ca­ti­on n’é­tait justem­ent pas néces­saire dans le cas présent.

La décis­i­on de l’OLG n’est pas sur­pren­an­te. Elle mont­re sur­tout que lors de l’ex­amen de la pro­por­ti­on­na­li­té, tou­jours néces­saire, il faut sérieu­se­ment se deman­der s’il exi­ste des alter­na­ti­ves – l’ob­jec­tion sou­vent un peu glo­ba­le du “busi­ness” selon laquel­le un objec­tif de trai­te­ment ne peut pas être att­eint avec des don­nées anony­mes dev­rait donc sou­vent être remi­se en question.