Étiquette : RGPD

Le juge civil n’échappe pas non plus à l’application du RGPD

Dans son arrêt du 2 mars 2023, la Cour de justice a clarifié que le Règlement général sur la protection des données (RGPD) s’applique également aux procédures civiles. Cela signifie que les juges nationaux doivent tenir compte des dispositions du RGPD lorsqu’ils examinent des demandes visant à produire des preuves contenant des données personnelles. Dans quelle mesure le RGPD peut-il être invoqué comme argument pour exclure certains éléments de preuve défavorables de la procédure ?

Les faits

Un maître d’ouvrage suédois d’un immeuble de bureaux contestait les heures facturées par l’entrepreneur pour son personnel, affirmant que les heures réellement travaillées étaient bien inférieures à celles facturées. Pour étayer cette affirmation, le maître d’ouvrage a demandé au juge, dans le cadre de la procédure, de transmettre le registre du personnel de l’entrepreneur. Ce que l’entrepreneur a refusé, invoquant les dispositions du RGPD. La Cour suprême de Suède a alors soumis deux questions préjudicielles à la Cour de justice.

Évaluation de la Cour 

La Cour a constaté que le traitement des données personnelles par le pouvoir judiciaire relève du champ d’application matériel du RGPD. L’obligation de produire des preuves contenant des données personnelles peut donc être considérée comme un traitement au sens du RGPD.

Conformément à l’article 6 du RGPD, tout traitement de données personnelles doit reposer sur une base légale, qui peut, selon la Cour, être une disposition du droit procédural national. L’une de ces bases légales est que le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou à l’exercice de l’autorité publique confiée au responsable du traitement. Selon la Cour, le pouvoir judiciaire peut donc être qualifié à juste titre de « mission d’intérêt public » et est habilité, dans certaines circonstances, à traiter des données personnelles sans le consentement préalable des personnes concernées.

Le juge national devra, au cas par cas, déterminer s’il est opportun que certains documents contenant des données personnelles soient communiqués. Il devra effectuer une mise en balance des intérêts entre, d’une part, la protection des données personnelles et, d’autre part, le droit d’une partie à accéder aux preuves pour étayer ses prétentions.

Le principe de proportionnalité et celui de minimisation des données doivent guider le juge dans cette mise en balance. Si d’autres preuves moins intrusives pour la vie privée peuvent être fournies ou si certains noms peuvent être anonymisés tout en atteignant l’objectif visé, cette option doit être privilégiée. Le juge est tenu, dans la mesure du possible, d’utiliser des moyens moins intrusifs, tels que :

  • La présentation de preuves alternatives contenant moins de données personnelles ;
  • L’anonymisation des personnes concernées ;
  • La limitation de l’accès à certaines données personnelles au public.

Conclusion

Depuis l’entrée en vigueur du nouveau droit de la preuve en Belgique le 1er novembre 2020, les parties sont légalement tenues de collaborer à l’administration de la preuve. Cela peut engendrer des complications dans des situations où des données personnelles sont demandées. Toutefois, le RGPD oblige les juges à faire preuve de retenue, ce qui soulève la question de savoir si la recherche de la vérité est limitée par le RGPD. Le juge doit gérer ce conflit avec soin et rechercher en permanence une solution équilibrée.

Avec cet arrêt, la Cour de justice souligne que le RGPD ne peut pas être ignoré, même dans les procédures civiles. Bien que le droit à la protection des données personnelles doive être garanti, cela ne doit pas automatiquement conduire à l’exclusion de preuves contenant des données personnelles. Cela pourrait inutilement entraver la recherche de la vérité. Le juge doit toujours examiner si des mesures moins intrusives sont possibles, telles que des témoignages, l’anonymisation des données personnelles ou la restriction de l’accès public à certaines informations.

En tant qu’avocats, nous sommes critiques à l’égard de l’utilisation du RGPD comme argument ou excuse pour dissimuler des preuves accablantes. La transparence et une procédure équitable exigent que tous les faits pertinents soient pris en considération. Le refus de fournir des preuves ne devrait donc être acceptable que dans des situations exceptionnelles. Notre préférence va à la transparence et à la recherche de la vérité, tout en respectant, dans la mesure du possible, la protection de la vie privée.

Si vous avez des questions après avoir lu cet article, n’hésitez pas à nous contacter via [email protected] ou au 03 216 70 70.

Sources juridiques :

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
  • CJUE, 2 mars 2023, C-268/21,
  • B. ALLEMEERSCH, « Les juges qui ordonnent la production de documents doivent respecter le RGPD », RW 2022-23, n° 36, 6 mai 2023.

Divers médias ont fait état d’une plainte pénale déposée contre ING Belgique.[1] L’établissement de crédit aurait surveillé le trafic d’emails de quelque 2 000 employés. Cela soulève la question de savoir si, en tant qu’employeur, il est permis de surveiller le trafic d’emails de ses employés. Est-ce autorisé ou faut-il respecter des conditions particulières ? Nous avons étudié la question pour vous.

Droit à la vie privée vs.  droit de contrôle

Le droit à la vie privée est un droit fondamental, ce qui signifie qu’en principe un employeur n’est pas autorisé à surveiller votre trafic d’emails. En d’autres termes, les violations de cette règle sont punies par la loi. Il existe toutefois des exceptions à cette interdiction de principe, de sorte que, dans des circonstances exceptionnelles et sous des conditions strictes, l’employeur est autorisé à contrôler les emails de ses employés. De son côté, l’employeur a un droit de contrôle et ce sont ces deux principes qui doivent toujours être mis en balance dans la pratique pour évaluer correctement l’admissibilité du contrôle du trafic d’emails d’un employé.

Les employeurs peuvent avoir diverses raisons de contrôler le trafic d’emails comme l’application des politiques de l’entreprise, la protection des informations de l’entreprise, la prévention des comportements inappropriés ou le respect des obligations légales.

Que dit l’Autorité de protection des données ?[2] 

L’Autorité de protection des données (ci-après : APD) est l’organe de contrôle indépendant qui supervise tout ce qui concerne le traitement des données à caractère personnel dans le cadre du RGPD et peut être considéré comme le chien de garde de la vie privée en Belgique.

En résumé, selon l’APD, les employeurs ont en principe le droit de contrôler les communications électroniques effectuées par les employés en utilisant les moyens mis à leur disposition pour leur travail. Ceci à condition que certains principes tels que le droit au respect de la vie privée et le secret des correspondances soient garantis. Afin de protéger la vie privée de l’employée, l’employeur doit tenir compte des principes de base suivants :

  • Principe de finalité

L’employeur doit toujours poursuivre un but légitime comme, par exemple, le suivi de la correspondance professionnelle avec la clientèle. Ainsi, l’employeur n’est pas autorisé à effectuer des contrôles par curiosité, mais bien pour sauvegarder les intérêts de l’entreprise.

  • Principe de proportionnalité

Deuxièmement, l’employeur doit limiter le contrôle au strict nécessaire. Le contrôle doit être nécessaire pour atteindre cet objectif. Si un e-mail est destiné au service des ressources humaines, il n’est pas prévu que d’autres services puissent le lire. Cela signifie que la collecte des données doit en principe rester globale et que l’individualisation (c’est-à-dire l’identification d’un employé spécifique) n’est en principe pas autorisée. Ce faisant, l’employeur ne doit pas avoir accès aux emails personnels de l’employé, sauf si ce dernier les utilise à des fins professionnelles.

  • Principe de transparence

Enfin, l’employé doit être informé de tout contrôle électronique et de la manière dont il sera effectué. L’APD recommande de diffuser cette information par le biais du règlement de travail, mais une politique transparente en matière d’ ICT, une disposition spécifique dans le contrat de travail individuel ou une convention collective sont également des possibilités. Un employeur ne doit jamais effectuer de contrôles dans le dos de ses employés.

Que dit le RGPD[3]?

Conformément à l’article 6 du règlement général sur la protection des données (ci-après dénommé « RGPD »), tout traitement de données à caractère personnel doit être fondé sur un fondement licite. Le droit légal de l’employeur d’exercer son autorité peut être un motif licite pour l’employeur de surveiller électroniquement le trafic électronique sur internet et le trafic d’email de ses employés. En revanche, le consentement de l’employé, selon l’APD, ne peut servir de fondement licite puisque l’employé est nécessairement en position de subordination par rapport à son employeur et ne peut donc pas donner son consentement de son plein gré.

CCT n° 81[4] 

L’objectif de cette CCT n°81 est de garantir le respect de la vie privée du travailleur lorsque l’employeur collecte des données à partir de communications du réseau électronique à des fins de contrôle et comprend les trois principes fondamentaux du droit de la vie privée, tels qu’indiqués ci-dessus, à savoir les principes de finalité, de proportionnalité et de transparence.

En outre, le principe d’individualisation jour également un rôle, qui stipule que les contrôles de l’employeur ne peuvent normalement se faire que de manière globale et non individuelle. Toutefois, dans certains cas, l’employeur peut effectuer des contrôles auprès d’un employé en particulier, à savoir

  • Prévention des actes illégaux ou diffamatoires, des actes contraires aux bonnes mœurs ou des actes susceptibles de porter atteinte à la dignité d’autrui ;

  • La protection des intérêts économiques, commerciaux et financiers de l’entreprise pour lesquels il existe un aspect de confidentialité ;

  • La sécurité et/ou le bon fonctionnement technique des systèmes informatiques du réseau de l’entreprise et la protection physique des installations de l’entreprise.

Conclusion

La réglementation permettant à l’employeur d’accéder légalement aux communications électroniques de son employé est sujette à interprétation. Le droit à la vie privée de l’employé et le droit de contrôle de l’employeur doivent toujours être mis en balance. Selon l’ADP, l’employeur a le droit de contrôler les communications électroniques de ses employés sous certaines conditions. Dans ce cas, les principes de finalité, de proportionnalité et de transparence doivent toujours être respectés.

Il est conseillé de demander un avis juridique spécifique à un professionnel du droit de la vie privée pour comprendre comment les règles s’appliquent spécifiquement à votre situation. Studio Legale Advocaten dispose de trois DPO accrédités, spécialisés dans le droit de la protection de la vie privée, qui peuvent vous guider tout au long de ce processus.

Si vous avez des questions après avoir lu cet article, n’hésitez pas à nous contacter via [email protected] ou au 03 216 70 70.

Sources juridiques :

  • RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

  • Convention collective de travail n° 81 du 26 avril 2002 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communications électroniques en réseau ;

Liens vers les médias :

[1]https://www.tijd.be/ondernemen/banken/strafklacht-tegen-ing-en-toplui-voor-inkijken-e-mails-personeel/10460323.html

[2] https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/toezicht-van-de-werkgever/elektronisch-toezicht-op-internet-en-e-mail

[3] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[4] Convention collective de travail n° 81 du 26 avril 2002 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communications électroniques en réseau ;

Hoofdwebsite Contact
rendez-vous upload






      GDPR proof area
      Téléchargez vos documents





      glissez vos documents jusqu’ici ou choisissez un fichier


      glissez vos documents jusqu’ici ou choisissez un fichier











        Benelux (€... )EU (€... )International (prix sur demande)

        En soumettant la demande, vous acceptez expressément nos conditions générales et confirmez que vous avez lu attentivement notre déclaration de confidentialité. L’envoi de cette demande fera office de confirmation de commande.
        error: Helaas, deze content is beschermd!