Mercredi dernier, le 24 avril 2024, les députés européens ont adopté le texte de la nouvelle directive sur les conditions de travail des travailleurs des plateformes numériques. Comme nous l’apprend le communiqué de presse publié sur le site institutionnel du Parlement, la directive vise « à garantir que les personnes travaillant via des plateformes aient un statut professionnel correctement défini et à corriger le « faux travail indépendant » en introduisant « une présomption de relation de travail (par opposition au travail indépendant) qui est déclenchée dès que des faits indiquent la présence d’un contrôle et d’une direction conformément au droit national et aux conventions collectives [ …] ».
Parmi les innovations introduites par la directive, dans la mesure où elles nous intéressent ici, figurent des limitations au traitement des données à caractère personnel par des systèmes de prise de décision ou de contrôle automatisés. Par exemple, aucun traitement ne peut être effectué sur (i) les données relatives à l’état émotionnel ou psychologique de la personne effectuant un travail via des plateformes numériques ; (ii) les données à caractère personnel relatives à des conversations privées ; (iii) les données appartenant à la catégorie des données spéciales (anciennement désignées en tant que données sensibles) ou les données biométriques ; ou (iv) les données du travailleur effectuant des activités via une plateforme numérique lorsqu’il n’effectue pas son activité via la plateforme elle-même ne pourront pas être collectées.
Tout ceci sera valable et devra être appliqué dès le début des procédures de recrutement et de sélection et pendant toute la durée de la relation. Il est entendu que, compte tenu du type de traitement et du risque élevé qu’il peut entraîner pour les droits et libertés des personnes physiques, les traitements de données effectués par l’intermédiaire d’une plateforme numérique de travail devront faire l’objet d’analyses d’impact spécifiques en vertu de l’article 35 du règlement (UE) 2016/679. Les analyses d’impact réalisées par l’employeur doivent ensuite être partagées avec les représentants des travailleurs.
Un autre élément clé concerne les obligations de transparence. Les personnes qui travaillent sur des plateformes numériques devront être informées, de manière transparente, intelligible et facilement accessible, dans un langage simple et clair, de tous les types de décisions soutenues ou prises par des systèmes automatisés de prise de décision ou de contrôle. Il s’agit d’un élément avec lequel le système juridique national italien s’est déjà « familiarisé », tant à la suite de l’introduction des dispositions énoncées dans le règlement (UE) 2016/679 que du dénommé « Décret transparence ».
Enfin, il est entendu que les États membres devront exiger que les plateformes numériques de travail garantissent des ressources humaines suffisantes pour contrôler et évaluer efficacement l’impact des décisions individuelles prises ou soutenues par des systèmes automatisés de prise de décision ou de contrôle.
◊◊◊◊
Le texte approuvé par le Parlement européen devra maintenant être formellement adopté par le Conseil et publié au Journal officiel de l’Union européenne. Suite à la publication, chaque État membre disposera de deux ans pour transposer les nouvelles dispositions dans son droit national.
Autres informations connexes :
Mercoledì 13 marzo 2024, il Parlamento europeo ha approvato la proposta di testo del c.d. “A.I. Act”, il primo testo normativo, un Regolamento, in materia di intelligenza artificiale, che – stabilendo obblighi per l’A.I. sulla base dei possibili rischi e del livello d’impatto – si pone l’obiettivo di proteggere il rispetto dei diritti fondamentali degli individui, della democrazia e della sostenibilità ambientale dai sistemi “ad alto rischio”.
Sono “ad alto rischio” i sistemi di A.I. destinati a essere utilizzati per:
Per avere maggiori informazioni sull’argomento, contattaci a info@delucapartners.it
D’un côté, la conjoncture, avec le cycle de croissance qui est en train de ralentir et la crainte que de nombreuses entreprises devront jeter l’éponge dans les mois à venir. De l’autre, les changements structurels qui surviennent dans la société et qui entraînent une demande croissante de profils professionnels difficiles à trouver sur le marché, étant donné que la formation évolue très lentement. Le travail continue d’être en haut de l’agenda politique, avec les hypothèses de réforme qui se suivent, à la recherche d’un difficile équilibre entre la garantie d’une rétribution décente pour tous et la flexibilité nécessaire pour ne pas étouffer l’énergie du marché. Les changements en cours ne concernent pas seulement les dynamiques de la demande et de l’offre et les choix du législateur, mais aussi les sentences des tribunaux, qui dans ce domaine jouent depuis toujours un rôle important. Le dernier exemple de ce type remonte à il y a quelques semaines, quand le Conseil Constitutionnel est de nouveau intervenu sur la réglementation des licenciements (arrêt n° 125/2022). « Le démantèlement de la réforme lancée par le législateur en 2012 se poursuit », analyse Vittorio De Luca, managing partner du cabinet d’avocats De Luca & Partners, se référant d’abord à la loi Fornero, et aux mesures prises par le Gouvernement Renzi ensuite. « Déjà dans le passé deux sentences ont frappé le contrat à protection croissante, prévu par la réforme dite Jobs Act, en déclarant l’illégitimité du mécanisme automatique de détermination de l’indemnité paramétré seulement sur l’ancienneté de service ». De plus, concernant l’art. 18 du Statut des Travailleurs, le Conseil Constitutionnel est intervenu sur la partie concernant les licenciements économiques.
Pour gérer correctement un système de lanceurs d’alerte, il est indispensable d’accorder toute l’attention nécessaire à la protection des données personnelles traitées.
Pour atteindre l’équilibre nécessaire entre l’exigence de confidentialité du lanceur d’alerte et du signalement, la nécessité de vérification du fait illégal et le droit de la personne signalée à se défendre et au débat contradictoire, l’adoption de mesures propres à garantir la protection et la sécurité des informations personnelles constituent un facteur déterminant.
Vittorio De Luca, Managing Partner du cabinet De Luca & Partners commente : « La récente décision du Garant pour la protection des données personnelles n’est que la dernière des mesures adoptées sur ce thème qui, comme le rappelle le Garant, s’insère dans un plan d’inspection plus ample visant à vérifier le respect maximum de la protection des données personnelles dans le cadre de la gestion des signalements de conduites illégales. Ceci étant précisé, il convient de souligner qu’une gestion correcte du « système de lanceurs d’alerte » doit s’insérer également au sein d’une stratégie efficace de compliance de l’entreprise. Implémenter des modèles d’organisation, de gestion et de contrôle construits à partir des résultats d’une analyse des risques préliminaire permet de réduire aussi bien le danger que l’infraction soit commise que le risque d’encourir les lourdes sanctions prévues par la réglementation applicable aujourd’hui. Dans un tel contexte, il convient donc d’adopter des procédures spécifiques dans l’entreprise, ainsi que des mesures techniques et d’organisation appropriées, visant à garantir la protection et la sécurité des informations de toutes les personnes impliquées ; cela sans négliger l’importance de la sensibilisation et de la formation aussi bien des utilisateurs de ces systèmes que de ceux qui sont chargés de gérer et de vérifier les signalements effectués. Atteindre un niveau élevé de sensibilisation et de culture au sein de l’entreprise doit constituer un des premiers objectifs à atteindre ».
Ces derniers jours, des services en ligne et des sites italiens, parmi lesquels les sites internet du Sénat et du Ministère de la Défense, ont subi une attaque informatique de la part d’un groupe de cyber-criminels russes. Vittorio De Luca, du Cabinet De Luca & Partners commente :
« Ce qui s’est passé démontre que les attaques informatiques sont à l’ordre du jour et que personne ne peut se considérer comme étant à l’abri. Les attaques aux institutions, en effet, font sensation. Mais, depuis des années désormais, chaque jour des centaines d’entreprises sont la cible des cyber-criminels. Ces attaques ont d’importantes répercussions sur la productivité, elles entraînent des vols de données et une interruption des services, sans compter les dommages à l’image qu’elles provoquent. Une solide sécurité informatique est essentielle pour protéger le patrimoine de connaissances de la société et la continuité de ses activités. De plus, le RGPD en matière de vie privée impose aux sociétés – qu’elles soient de petites ou de grandes dimensions – d’effectuer un recensement des principaux risques informatiques auxquels elles sont exposées ainsi que des impacts que ces risques pourraient avoir sur leur activité. Il convient donc d’établir un plan de riposte aux « accidents », en adoptant des politiques et des mesures de sécurité spécifiques, en mesure de protéger le système informatique, et en effectuant périodiquement des audits. Il est également fondamental de sensibiliser, au moyen de sessions spécifiques de formation, ses propres salariés sur le thème de la cyber-sécurité, afin qu’ils puissent reconnaître et affronter les différentes menaces. La protection contre les attaques informatiques se fait, en substance, en deux phases : une phase de prévention et une phase de protection. Il est à peine nécessaire de rappeler que, en cas d’attaque réussie, les sociétés doivent informer le garant de la vie privée, en activant la procédure de « data breach » dans les 72 heures, à compter du moment où elles en ont connaissance ».
Au Journal Officiel n° 246 du 14 octobre 2021, il a été publié le Décret du président du Conseil des ministres du 12 octobre 2021 (le « Décret »).
Le Décret, venant compléter et actualiser la première version du 17 juin, et porte sur les modalités selon lesquelles les employeurs public et privés peuvent effectuer, depuis le 15 octobre, les contrôles sur les pass sanitaires Covid-19 (« Green pass ») des salariés.
En l’espèce, le décret présente les nouvelles fonctions de contrôle du pass sanitaire en complément de l’application « VerificaC-19 », déjà utilisée pour accéder aux endroits dans lesquels le certificat est exigé.
Dans le secteur privé, le contrôle du pass sanitaire, quotidien et automatisé peut être effectué comme suit :
Il est de plus précisé que les activités de contrôle concernent exclusivement le personnel effectivement en service dont l’accès au lieu de travail est prévu le jour où le contrôle est effectué, à l’exclusion des salariés absents pour certains événements (ex. congés, maladies, RTT) ou qui travaillent en Smart Working.
Les deux fonctions de contrôle précitées doivent être mises en place sur demande de l’employeur et sont uniquement mises à la disposition du personnel autorisé à effectuer le contrôle pour le compte de ce dernier.
De plus, le travailleur soumis au contrôle qui, en cas de contrôle effectué selon les modalités ci-dessus révèle qu’il ne possède pas de pass sanitaire valable, a le droit de demander un nouveau contrôle de son certificat au moment de l’accès au lieu de travail via l’app « Verifica C-19 ».
Enfin, le Décret, apporte des précisions importantes, y compris en matière de protection des données personnelles. Il est précisé, en particulier, que pour effectuer les activités de contrôle, l’employeur :
Il est précisé que sur les nouvelles indications contenues dans le Décret, l’Autorité de contrôle a exprimé un avis favorable [doc. web. n° 9707431], confirmant ainsi le respect des règles en matière de protection des données à caractère personnel.
Insighta corrélés :
Confindustria, à travers une lettre interne de son directeur général envoyée par e-mail aux directeurs des associations territoriales et sectorielles du système, a exprimé sa ligne en faveur de la possession du certificat vert Covid-19 (mieux connu sous le nom de pass sanitaire) pour accéder aux lieux de travail de l’entreprise.
Selon la position adoptée par Confindustria, la présentation du certificat vert devrait faire partie des obligations de diligence, de loyauté et de bonne foi sur lesquelles se fonde la relation de travail. Par conséquent, l’employeur pourrait, dans la mesure du possible, affecter le travailleur non vacciné à des tâches autres que celles qu’il accomplit normalement et le rémunérer en conséquence ; si cela n’est pas possible, l’employeur devrait pouvoir refuser d’admettre la personne au travail, avec suspension de la rémunération en cas de renvoi de l’entreprise.
Il est certain qu’une telle initiative, ainsi que le protocole de sécurité mis à jour le 6 avril dernier et le protocole pour les vaccinations sur le lieu de travail signé à la même date, vise à protéger la santé et la sécurité des travailleurs, ainsi que le déroulement des processus de production. La proposition serait également justifiée au vu de la vive inquiétude suscitée par une éventuelle troisième vague de pandémie qui pourrait entraîner un nouvel arrêt de travail et, par conséquent, la nécessité d’une énième extension des amortisseurs sociaux « Covid-19 ».
Cependant, d’un point de vue purement juridique, la question présente plusieurs aspects critiques.
Tout d’abord, dans la sphère des droits individuels, il convient de considérer l’article 32 de la Constitution relatif au « droit à la santé », qui représente en fait un kaléidoscope de multiples formes de protection de la santé. Cet article affirme en premier lieu que « la République protège la santé comme un droit fondamental de l’individu et dans l’intérêt de la collectivité » et précise ensuite que « nul ne peut être contraint de se soumettre à un traitement de santé déterminé, si ce n’est par une disposition légale ».
La disposition constitutionnelle en question protège donc la santé à la fois en tant que droit fondamental de l’individu et en tant qu’intérêt de la collectivité, et permet d’imposer un traitement de santé s’il est destiné, comme l’a précisé la Cour constitutionnelle, « non seulement à préserver l’état de santé de la personne qui y est soumise, mais aussi à préserver l’état de santé d’autrui » (voir, en ce sens, la décision n° 5/2018 de la Cour constitutionnelle).
Lire la suite dans la version complète publiée par Guida al Lavoro de Il Sole 24 Ore.
Avec la Loi n° 81 du 22 mai 2017 portant « Mesures pour la protection du travail indépendant non issu de l’entreprise et mesures visant à favoriser l’organisation flexible concernant les délais et les lieux d’exercice du travail subordonné », le travail agile (appelé communément « smart working ») a été réglementé pour la première fois dans notre ordonnancement. Il s’agit d’une modalité flexible d’exécution de la prestation de travail, dans le cadre de la relation de travail subordonné, caractérisée par l’absence d’obligations liées à l’horaire et au lieu de travail et par des formes d’organisation par phases, cycles et objectifs.
Lorsqu’il applique le travail agile dans son entreprise, l’employeur doit tenir compte de la réglementation en matière de protection des données personnelles.
Le Règlement (UE) 2016/679 en matière de protection des données personnelles (« RGPD ») a introduit le principe dit «de responsabilisation», c’est-à-dire l’adoption, par le Titulaire du traitement (dans notre cas l’employeur), de comportements proactifs et de nature à démontrer l’adoption concrète de mesures finalisées à garantir l’application du RGPD. En substance, l’employeur est tenu de déterminer et de gérer les risques relatifs aux traitements effectués, dans le respect du principe de protection des données, dès la conception de chaque traitement (« by design ») et de protection des données par défaut (« by default »).
Cela signifie que, dans le travail agile, l’employeur doit effectuer une analyse des risques appropriée et, si nécessaire, une évaluation d’impact, de façon à analyser tous les risques existants et potentiels et de façon à déterminer les mesures de sécurité, techniques et d’organisation, propres à garantir la sécurité et la protection des données. Dans cette optique, l’employeur doit adopter des Règlements, des Politiques ou des Lignes Directrices indiquant les comportements que les travailleurs agiles doivent suivre afin de garantir la confidentialité, l’intégrité et la disponibilité des données traitées dans l’exercice de leurs fonctions.
L’employeur doit aussi vérifier que le contrôle à distance ne soit pas intrusif, en violation de l’art. n° 4 de la loi n° 300/1970. Cela comporte un examen détaillé des systèmes permettant un contrôle continu de l’utilisation des instruments de travail et du réseau de l’entreprise de la part des salariés.
C’est justement pour cela que le travailleur agile doit être informé de façon détaillée sur les modalités selon lesquelles l’employeur exerce son pouvoir de contrôle et sur les comportements passibles d’une éventuelle sanction disciplinaire.
Mais pas seulement. L’employeur doit former les travailleurs agiles afin que ceux-ci soient pleinement conscients et à connaissance des instruments mis à leur disposition, des risques et des mesures à adopter pendant le travail agile.