Il y a quelques jours, le Garant italien de la vie privée est revenu sur le sujet de la conservation des métadonnées des courriels professionnels par l’employeur. La décision du 6 juin, intitulée « Programmes et services informatiques de gestion du courrier électronique dans le cadre professionnel et traitement des métadonnées », étend la durée de conservation des métadonnées de 7 à 21 jours. Cette décision, n° 364 du 6 juin 2024, intervient quelques semaines après la publication d’une première version du document d’orientation sur la conservation des métadonnées, qui avait suscité de nombreux doutes et discussions parmi les professionnels au point d’amener l’Autorité à engager une consultation publique.

Que sont les métadonnées ?

Il convient avant tout de clarifier la définition des « métadonnées ». En effet, ce terme ne désigne pas les informations contenues dans les messages de courriels dans leur « corps », mais plutôt les informations relatives aux opérations d’envoi et de réception et de tri des messages qui peuvent inclure les adresses électroniques de l’expéditeur et du destinataire, les adresses IP des serveurs ou clients impliqués dans l’acheminement du message, les heures d’envoi, de retransmission ou de réception, la dimension du message, la présence et la dimension des éventuelles pièces jointes et, dans certains cas, eu égard au système de gestion du service de messagerie utilisé, également l’objet du message envoyé ou reçu.

Comme mentionné ci-dessus, avec les directives de l’Autorité, la période de conservation a été étendue à 21 jours, ce délai étant toutefois à considérer comme indicatif.

En effet, toute conservation pour une durée plus longue ne peut être réalisée qu’en présence de conditions spécifiques qui rendent la prolongation nécessaire et, dans tous les cas, les spécificités de cette nécessité doivent être suffisamment prouvées.

Continuez à lire la version complète dans Economy Magazine.

Les données sont devenues le nouveau pétrole et leur rôle est susceptible de s’accroître encore à mesure que le numérique devient plus central dans nos vies. Avec des conséquences non négligeables sur la vie privée, comme le souligne Vittorio De Luca, fondateur du cabinet d’avocats De Luca & Partners. «  Le législateur européen est intervenu de manière significative dans ce domaine au cours des dernières années, mais au niveau des entreprises, le tableau reste diversifié entre les réalités qui ont mis en œuvre et structuré de véritables modèles internes de conformité et qui, au fil du temps, ont réussi à changer la culture et la sensibilité de tous ceux qui composent l’organisation, et les autres qui continuent à considérer la protection des données comme un coût commercial plutôt que comme un investissement », souligne-t-il.

Les règlementations en matière de protection des données et de droit du travail sont désormais étroitement liées, et pas seulement en ce qui concerne le traitement des données relatives aux ressources humaines.« De plus en plus souvent, nous aidons les entreprises à traiter correctement les demandes d’accès aux documents et aux dossiers personnels qui sont – légitimement – présentées par des travailleurs dans le cadre de procédures disciplinaires engagées à leur encontre », souligne-t-il également. Avec les risques liés à une mauvaise gestion de ces demandes « Outre les conséquences sur le plan du droit du travail, une personne concernée (dans ce cas, l’employé) a toujours la possibilité d’émettre un signalement auprès de l’autorité chargée de la protection des données », explique M. De Luca.

Lire la version intégrale publiée dans La Repubblica.

Autres informations connexes :

• Les données de géolocalisation collectées sans information adéquate rendent le licenciement du salarié illégal
• Intelligence artificielle et ressources humaines : à quels défis un responsable des ressources humaines doit-il se préparer ?

Mercredi dernier, le 24 avril 2024, les députés européens ont adopté le texte de la nouvelle directive sur les conditions de travail des travailleurs des plateformes numériques. Comme nous l’apprend le communiqué de presse publié sur le site institutionnel du Parlement, la directive vise « à garantir que les personnes travaillant via des plateformes aient un statut professionnel correctement défini et à corriger le « faux travail indépendant » en introduisant « une présomption de relation de travail (par opposition au travail indépendant) qui est déclenchée dès que des faits indiquent la présence d’un contrôle et d’une direction conformément au droit national et aux conventions collectives [ …] ».

Parmi les innovations introduites par la directive, dans la mesure où elles nous intéressent ici, figurent des limitations au traitement des données à caractère personnel par des systèmes de prise de décision ou de contrôle automatisés. Par exemple, aucun traitement ne peut être effectué sur (i) les données relatives à l’état émotionnel ou psychologique de la personne effectuant un travail via des plateformes numériques ; (ii) les données à caractère personnel relatives à des conversations privées ; (iii) les données appartenant à la catégorie des données spéciales (anciennement désignées en tant que données sensibles) ou les données biométriques ; ou (iv) les données du travailleur effectuant des activités via une plateforme numérique lorsqu’il n’effectue pas son activité via la plateforme elle-même ne pourront pas être collectées.

Tout ceci sera valable et devra être appliqué dès le début des procédures de recrutement et de sélection et pendant toute la durée de la relation. Il est entendu que, compte tenu du type de traitement et du risque élevé qu’il peut entraîner pour les droits et libertés des personnes physiques, les traitements de données effectués par l’intermédiaire d’une plateforme numérique de travail devront faire l’objet d’analyses d’impact spécifiques en vertu de l’article 35 du règlement (UE) 2016/679. Les analyses d’impact réalisées par l’employeur doivent ensuite être partagées avec les représentants des travailleurs.

Un autre élément clé concerne les obligations de transparence. Les personnes qui travaillent sur des plateformes numériques devront être informées, de manière transparente, intelligible et facilement accessible, dans un langage simple et clair, de tous les types de décisions soutenues ou prises par des systèmes automatisés de prise de décision ou de contrôle. Il s’agit d’un élément avec lequel le système juridique national italien s’est déjà « familiarisé », tant à la suite de l’introduction des dispositions énoncées dans le règlement (UE) 2016/679 que du dénommé « Décret transparence ».

Enfin, il est entendu que les États membres devront exiger que les plateformes numériques de travail garantissent des ressources humaines suffisantes pour contrôler et évaluer efficacement l’impact des décisions individuelles prises ou soutenues par des systèmes automatisés de prise de décision ou de contrôle.

◊◊◊◊

Les prochaines étapes

Le texte approuvé par le Parlement européen devra maintenant être formellement adopté par le Conseil et publié au Journal officiel de l’Union européenne. Suite à la publication, chaque État membre disposera de deux ans pour transposer les nouvelles dispositions dans son droit national.

Autres informations connexes :

• Les systèmes entièrement automatisés maintiennent les obligations du « Décret transparence »

À partir du 1^er octobre 2024, les entreprises et les travailleurs indépendants opérant sur des chantiers temporaires ou mobiles, tels que définis par la Loi italienne consolidée sur la sécurité (en particulier, l’article 89, alinéa 1, lettre a), du Décret législatif italien n° 81/2008), doivent disposer d’une licence, en format numérique, délivrée par le bureau local compétent de l’Inspection nationale du travail italienne.

Cette exigence a été récemment introduite par l’article 29, alinéa 19, lettre a), du Décret législatif italien du 2 mars 2024, n° 19, non encore converti en loi, qui, remplaçant l’article 27, alinéa 1, de la Loi italienne consolidée sur la sécurité, introduit un système d’accréditation des crédits pour les entreprises et les travailleurs indépendants. La licence sera délivrée à condition de satisfaire aux exigences spécifiquement identifiées par la loi, à savoir : (i) l’inscription auprès de la Chambre de commerce ; (ii) le respect des obligations de formation prévues à l’article 37 de la Loi italienne consolidée sur la sécurité applicable aux employeurs, cadres, dirigeants et travailleurs de l’entreprise ; (iii) le respect des obligations de formation par les travailleurs indépendants ; (iv) la détention d’un certificat de régularité des cotisations sociales (Documento Unico di Regolarità Contributiva, « DURC ») en cours de validité ; (v) la détention d’un document d’évaluation des risques ou (vi) la détention d’un certificat de régularité fiscale (Documento Unico di Regolarità Fiscale, « DURF »).

Dans l’attente de la délivrance d’une licence, et sauf avis contraire de l’Inspection du travail italienne, les entreprises et les travailleurs indépendants pourront toujours opérer au sein des chantiers de construction.

Le nouveau système prévoit un solde initial de 30 crédits et un minimum de 15 crédits. Si le score est inférieur au seuil minimal, sauf exceptions, il n’est pas possible d’opérer sur des chantiers temporaires ou mobiles. Le système d’accréditation prévoit des réductions de crédit face à certains événements, évaluations ou mesures émises à l’encontre des employeurs, cadres, dirigeants d’entreprise ou du travailleur indépendant. Sans préjudice de ce qui précède, il est également prévu que les crédits réduits puissent être rétablis.

La vérification de la détention de la licence est déléguée au donneur d’ordre ou au directeur des travaux. L’exécution de travaux en l’absence de licence ou avec une licence dont le score est inférieur au minimum est passible d’une amende administrative pouvant aller jusqu’à 12 000 euros et d’une exclusion de la participation aux travaux publics pour une période de six mois.

◊◊◊◊

Avant le 1^er octobre 2024, et compte tenu du fait que des modifications peuvent être apportées au décret avant qu’il ne soit converti en loi, les entreprises et les travailleurs indépendants qui sont soumis aux nouvelles obligations doivent adopter des mesures pour assurer la conformité avec les dispositions du nouveau système d’accréditation.

Autres informations connexes :

• Accidents du travail résolus par voie de règlement à l’amiable : les dommages futurs restent indemnisables si le caractère imprévisible de l’altération de la santé est prouvé
• Accidents du travail : Responsabilité non-automatique de l’employeur

Le Garant pour la protection des données personnelles (« le Garant »), par une ordonnance d’injonction
du 28 avril 2022 a infligé à une société chargée de gérer le service de collecte des déchets
urbains pour la Commune de Taranto (« la Commune ») une sanction de 200 000 euros, pour avoir confié à un de ses
sous-traitants certains traitements de données personnelles sans avoir demandé ni obtenu
préalablement une autorisation écrite, spécifique ou générale, de la part de la Commune, responsable du
traitement.
En l’espèce, la Commune, suite à l’abandon diffus des déchets sur le territoire
relevant de sa compétence, avait conféré à une société – entièrement détenue par la Commune – des fonctions
de contrôle et de contestation immédiate d’éventuelles infractions dérivant de la violation des
règles municipales en matière d’élimination des déchets. La Commune et la société avaient décidé d’un commun accord
d’installer des systèmes de vidéosurveillance sur les sites considérés
comme particulièrement sensibles, s’agissant de lieux où l’abandon illégal des déchets survenait
le plus fréquemment.
D’après un signalement parvenu au Garant, il ressortait que la société avait diffusé, par
publication sur sa page Facebook, certaines vidéos et images, obtenues au moyen des
systèmes de vidéosurveillance, sur lesquelles étaient identifiés, ou pour le moins identifiables, les citoyens
transgresseurs.

Suite au signalement reçu, le Garant avait ouvert une instruction, de laquelle il ressortait que la société
chargée avait commencé ses activités de traitement en mars 2012, conformément à une ordonnance
municipale sans que, à la lumière de la législation en vigueur, le rapport avec la Commune soit
réglementé. À partir du mois de novembre 2020, elle avait utilisé, pour la collecte des images de vidéosurveillance, les services d’un fournisseur (régulièrement désigné comme sous-traitant pour le traitement des données) sans « l’autorisation écrite, spécifique ou générale, du responsable du traitement (ndr : la Commune) », telle qu’elle est
prévue par l’article 28 du RGPD. C’est seulement en janvier 2022 qu’elle avait signé avec la Commune, conformément à l’art. 28 du RGPD, un « accord pour la protection des données personnelles et la désignation d’un sous-traitant externe pour le traitement ». Et c’est seulement dans cet accord que la Commune avait précisé que « la société, sur autorisation écrite de la Commune, pourrait devoir communiquer ou rendre disponibles les données personnelles dont cette dernière est responsable du traitement à une ou plusieurs tierces parties (sous-traitants) afin de leur confier une partie des activités de traitement ».

Continuez à lire la version intégrale publiée sur Norme & Tributi Plus Diritto de Il Sole 24 Ore.

Sur indication d’un groupe d’associés travailleurs d’une société coopérative, l’Autorité Garante pour la protection des données personnelles le « Garant «) a constaté l’illégalité de certains traitements effectués au moyen de la publication, sur le tableau d’affichage de l’entreprise, d’informations relatives aux évaluations sur leur travail.

En particulier, dans le cadre d’un « jeu-concours pour les associés travailleurs, intitulé « Associés… Regardons-nous les yeux dans les yeux ! » dans le but d’encourager les associés les plus méritants et […] d’éviter les dysfonctionnements », la société coopérative avait l’habitude de publier chaque semaine les évaluations des destinataires, au moyen d’émojis (appelés « émoticônes ») accompagnés de jugements synthétiques (comme, à titre d’exemple, « absentéisme », « simulation de maladie ») placés à côté de l’image et du nom de chacun. Ces informations était visibles non seulement par le travailleur concerné mais aussi par toute personne entrant dans la pièce où se trouvait le tableau d’affichage, y compris les personnes extérieures présentes de façon occasionnelle dans les locaux. Elles avaient pour but de récompenser, en argent, les trois premiers classés.

Les contrôles effectués par le Garant ont fait apparaître le caractère illégal des traitements pour violation des principes fondamentaux de licéité, loyauté et transparence, ainsi que de minimisation des données. Le Garant, en effet, a certes d’une part confirmé que l’employeur peut traiter légalement les informations nécessaires et pertinentes pour la gestion du contrat de travail – y compris les données nécessaires pour évaluer l’exécution correcte de la prestation de travail et/ou exercer son pouvoir disciplinaire (selon les modalités et dans les limites prévues par la réglementation du secteur). Mais il a d’autre part souligné que la mise à disposition systématique de ces informations par affichage au tableau permettait à des personnes (comme des collègues ou des tiers) non habilitées à connaître des informations sur les évaluations et les avis disciplinaires de traiter les données.

De plus, le Garant a confirmé que l’obtention du consentement, dans des circonstances comme celles objet du contrôle, ne peut être considérée comme une base juridique apte à justifier le traitement de données à caractère personnel. Ce car l’asymétrie entre les parties respectives du contrat de travail ne peut présupposer un consentement donné de façon expresse, libre et spécifique et relatif à un traitement spécifiquement déterminé. Le consentement donné au moment de l’approbation de la délibération de l’assemblée, comme le soutient en revanche la société, est « fonctionnellement différent » du consentement aux traitements effectués par la société afférents aux évaluations sur le travail des associés.

Pour tous ces motifs, le Garant a confirmé que « […] soumettre constamment à l’observation des collègues les évaluations sur la qualité du travail effectué ou sur la justesse de la prestation, même dans le cadre d’un jeu-concours public » lèse des aspects comme ceux de la dignité personnelle, de la liberté et de la confidentialité des travailleurs.

◊◊◊◊

La société a déposé un recours contre la décision du Garant, tout d’abord par-devant le Tribunal compétent puis par-devant la Cour de Cassation. Cette dernière, par son arrêt n° 17911/2022, publié le 1^er juin dernier, a rejeté le pourvoi – en confirmant la décision du Garant – et réaffirmé le principe selon lequel « la légalité du traitement présuppose un consentement donné valablement, de façon expresse, libre et spécifique, pour un traitement clairement indiqué ;  ce principe de portée générale s’applique et prévaut dans tout rapport  ».

Contenus corrélés :

• Protection des données et évaluation des résultats : le revers du numérique
• Le droit du travail se connecte aux ESG

Le Tribunal de Venise, par son jugement n° 494/2021, a déclaré que l’entreprise, ayant subi une attaque informatique et contrainte de payer une rançon pour récupérer les données soustraites, peut licencier le salarié qui a navigué de façon répétée sur des sites non sûrs à des fins privées, compromettant ainsi la sécurité interne.

Les faits

Un travailleur, embauché par une société exerçant l’activité d’agence maritime, a été licencié pour juste motif, suite à la procédure disciplinaire légitimement engagée, pour avoir utilisé de façon impropre l’ordinateur de l’entreprise.

Notamment, les griefs formulés par la société à l’encontre du salarié étaient de deux ordres :

1. avoir exercé une activité extra-professionnelle pendant les heures de travail, en consultant son courrier électronique personnel, en visualisant des photos et en navigant de façon répétée et prolongée sur internet, sur des sites d’information, de réservation de voyages et même sur des sites pornographiques. Ce en violation des prescriptions du Règlement adopté dans l’entreprise, compromettant ainsi la sécurité du système informatique et soustrayant du temps à sa prestation de travail (même pendant des journées pour lesquelles il avait demandé l’autorisation d’effectuer des heures supplémentaires) ;
2. avoir, toujours pendant ses heures de travail, rédigé et transmis à des tiers des déclarations au nom de l’entreprise, en abusant du papier à en-tête et du timbre de cette dernière.

Le salarié a contesté le licenciement en invoquant sa nature discriminatoire et de rétorsion, car ayant pour seul objectif de l’exclure car il était représentant syndical dans l’entreprise (« RSA ») et considéré de ce fait comme un « salarié gênant ». Le salarié, de plus, soutenait que les comportements contestés ne pouvaient pas lui être attribués, car l’ordinateur qui lui avait été fourni n’était doté d’aucun mot de passe et, par conséquent, n’importe qui aurait pu y accéder.

La société employeur s’est constituée en justice, en rejetant les revendications du salarié et en soulignant le caractère tout à fait fortuit de la découverte des faits, découverts dans le cadre des contrôles rendus nécessaires par le piratage subi par ses systèmes informatiques et la diffusion d’un virus ransomware.

La décision du Tribunal

Le Tribunal de Venise – confirmant la décision du Juge des référés – a déclaré l’existence d’un juste motif de résiliation et, par conséquent, que le licenciement était légal.

Le Juge saisi a, tout d’abord, souligné que les griefs à l’encontre du salarié avaient été formulés par la société conformément aux dispositions de l’art. 4, du Statut des Travailleurs. Selon cet article, en effet, l’employeur peut légalement obtenir des informations sur les instruments de l’entreprise assignés aux salariés et les utiliser à toutes les fins relatives à la relation de travail (y compris à des fins disciplinaires). Ce à la condition que ces derniers aient reçu une information appropriée quant aux modalités d’utilisation de ces instruments et de déroulement des contrôles, dans le respect des dispositions du Code de la protection des données personnelles. Et la société avait adopté un Règlement sur l’utilisation des instruments fournis aux salariés, ayant dès son adoption été exposé sur le tableau d’affichage et publié dans un dossier spécifique dans le serveur accessible à tous les salariés.

Le Juge a ensuite précisé que, même abstraction faite de l’adoption effective du règlement (objet de contestation de la part du travailleur), ce qui importe en l’espèce est l’utilisation répétée et continue de l’ordinateur, à des fins personnelles évidentes (et non contestées), justifiant la sanction disciplinaire pour les faits reprochés.

Enfin, le Juge a rejeté la contestation du salarié concernant l’inexistence d’un mot de passe personnel sur l’ordinateur. Selon le Juge saisi, en effet, son utilisation impropre était sans aucun doute imputable au salarié en question, étant donné que ce dernier avait : consulté son courrier personnel, réservé des voyages à son nom, utilisé des clés USB personnelles, visité des réseaux sociaux lui étant rattachés, etc.

À la lumière de ce qui est indiqué ci-dessus, selon le Tribunal saisi, les griefs formulés à l’encontre du salarié et légitimement invoqués par l’entreprise, ont été démontrés par les faits et ont été d’une gravité de nature à en justifier le licenciement sur-le-champ.

À la lumière des principes contenus dans la sentence Schrems II de la Cour de Justice du 16 juillet 2020, la Commission européenne, par la Décision n° 2021/914 du 4 juin 2021, a approuvé deux nouvelles séries de Clauses contractuelles standard (« SCC » – Standard Contractual Clauses) qui à compter du 27 septembre prochain devront être insérées dans les contrats pour réglementer un transfert de données personnelles vers des pays en dehors de l’UE ou des organisations internationales. Pour tous les contrats conclus avant cette date, au contraire, une période de transition sera prévue, qui se terminera le 27 décembre 2022, pourvu que les traitements objet des contrats restent inchangés et les « vieilles » clauses garantissent que le transfert de données personnelles soit soumis à des garanties appropriées. Après cette échéance, ces contrats devront également être actualisés sur la base des nouvelles SCC. Pour entrer dans le détail, les nouvelles SCC couvriront les hypothèses de transfert de données personnelles vers des pays en dehors de l’UE ou des organisations internationales qui n’offrent pas un système de protection équivalent à celui assuré par le Règlement (UE) 2016/679 en matière de protection des données personnelles (le « RGPD »). Les nouvelles SCC devront être adoptées en cas de transfert de données personnelles : (i) entre les titulaires du traitement ; (ii) entre un titulaire du traitement et son responsable du traitement ; (iii) entre un responsable du traitement et son (sous-)responsable et (iv) entre un responsable du traitement et son titulaire si ce dernier n’est pas soumis au cadre d’application du RGPD.

Contenus corrélés :

• Privacy Shield : le Comité européen de la protection des données (EDPB) a publié des FAQ sur l’arrêt Schrems de la CJUE
• Privacy Shield (ndt : Bouclier de Protection des Données) : la Cour de Justice Européenne annule l’Accord UE – USA