André Roeltgen, président de l’OGBL / Frédéric Krier, membre du bureau exécutif de l’OGBL
Le Luxembourg est en train de se mettre en conformité avec la nouvelle directive européenne sur la protection des données (Règlement n o 2016/679, dit règlement général sur la protection des données, RGPD dans la suite du texte). Le RGPD vise à renforcer le droit des citoyens, en particulier des consommateurs, de disposer de leurs données personnelles, de renforcer la protection de leur vie privée et en même temps de responsabiliser les acteurs traitant les données: administrations, associations et entreprises.
Un tel renforcement des droits des personnes est a priori à saluer; il était en effet grand temps d’adapter la protection des données (qui basait sur une directive âgée de plus de 20 ans) aux mutations technologiques rapides dans le cadre de la digitalisation de l’économie et de la société.
Ceci dit, si le RGDP vise à renforcer la protection du consommateur et du citoyen, sa transposition au Luxembourg, telle qu’elle est proposée à l’heure actuelle, la détériore en même temps … pour le salarié. Or, rappelons tout de même que la très grande majorité des consommateurs et des citoyens sont également des salariés!
La protection du salarié contre la surveillance sur le lieu de travail date au Luxembourg de la loi du 2 août 2002. Les articles correspondants ont été repris dans le Code du travail sous la forme des articles L.261-1 et L.261-2.
Ces articles limitent de façon stricte les possibilités d’introduire des mesures de surveillance que si elles sont nécessaires:
1. pour les besoins de sécurité et de santé des salariés,
2. pour les besoins de protection des biens de l’entreprise,
3. pour le contrôle du processus de production portant uniquement sur les machines,
4. pour le contrôle temporaire de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact,
5. dans le cadre d’une organisation du travail selon l’horaire mobile.
Les points 1, 4 et 5 sont soumis, dans les entreprises avec plus de 150 salariés, à la codécision entre employeur et représentants des salariés dans le cadre du comité mixte d’entreprise, respectivement, après les prochaines élections sociales à la codécision entre l’employeur et les délégations du personnel, suivant les dispositions de l’article L.423-1 du Code du travail.
Dans le projet initial du gouvernement (en 2016), il n’était pas prévu de modifier quoique ce soit par rapport à cette limitation du champ d’application, particulièrement importante pour la protection de la sphère privée des salariés. Toutefois, ce projet prévoyait une mesure qui mettait en danger un autre élément primordial de protection contre une mise en place unilatérale de mesures de surveillance: l’abolition de l’autorisation préalable de la Commission nationale de protection des données (CNPD).
Après diverses démarches de l’OGBL, culminant dans une manifestation devant la Chambre des députés le 1 er juin 2017, le gouvernement a en fin de compte revu sa copie et accepté un compromis. Même si l’autorisation préalable reste abolie, le gouvernement a soumis une proposition de modification de l’article L. 261-1, qui prévoit l’introduction de la possibilité pour les délégations du personnel, ou à défaut pour les salariés, de demander un «avis préalable» de la CNPD avec effet suspensif pour toute mesure de surveillance sur le lieu du travail.
A priori l’OGBL pouvait saluer cette proposition de compromis, qui n’est certes pas le maintien de l’ancienne autorisation préalable, mais laisse aux salariés et à leurs représentants une possibilité de réagir en amont à l’instauration d’une nouvelle mesure de surveillance sur le lieu de travail, si … Si elle n’était pas contrebalancée, voire réduite à néant par une nouvelle proposition absolument inacceptable de modification de l’actuel article L.261-1! Le gouvernement veut en effet étendre le champ d’application pour l’introduction d’une mesure de surveillance. Les cinq cas de figure cités ci-dessus seraient donc remplacés par un simple renvoi au RGPR, puis, dans la version révisée des amendements gouvernementaux du 14 mai, à un renvoi à l’article 6, paragraphe 1 points a) à f) du même règlement. Or, une telle modification du champ d’application de l’article L. 261-1 ouvre en fait la porte à toute forme de surveillance sur le lieu de travail, et dépasserait largement le cadre des cinq cas de figure actuels.
Ceci d’autant plus que le texte du RGPR laisse beaucoup de champ possible à des interprétations différentes, voir par exemple le point f) précité: «le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant» …
La version révisée du 14 mai réintroduit certes la notion du Code du travail actuel, essentielle au vu du lien de subordination du salarié, que le «consentement de la personne concernée ne rend pas légitime le traitement mis en œuvre par l’employeur» – mais l’affaiblit en même temps par rapport au texte actuel en ajoutant le mot «d’office».
Cela ne crée pas seulement une insécurité juridique (dans quels cas le traitement serait-il légitime par simple consentement de la personne concernée?), elle ouvre une porte à mettre en place des mesures de surveillance soumis au simple consentement du salarié concerné – qui, dans la réalité du monde du travail, n’aura souvent pas d’autre choix, s’il souhaite garder son emploi. Une autre modification subtile, mais importante, est le fait de biffer le mot «temporaire» au niveau du «contrôle de la production», qui est une autre dégradation inacceptable, ouvrant la voie à des mesures de surveillance définitives et permanentes.
Il est dans ce contexte tout à fait ridicule que le directeur de la Fédération des artisans insinue dans son dernier éditorial ( D’Handwierk 3/2018) que l’OGBL serait l’initiateur des nouveaux amendements – l’OGBL est en fait loin d’être satisfait de ces amendements! De même, l’affirmation du directeur de la FDA que les dits amendements mèneraient à des «règles plus strictes» au détriment des entreprises, est tout à fait fausse, si on les compare à la législation actuelle. En réalité, l’ouverture du champ d’application constitue une ouverture des possibilités potentiellement très vaste. En fin de compte, plutôt que de règles plus strictes, il s’agit plutôt d’une dérégulation.
Les derniers amendements prévoient certes la possibilité pour le salarié d’introduire une réclamation auprès de la CNPD. Même si le texte proposé précise qu’une «telle réclamation ne constitue ni un motif grave, ni un motif légitime de licenciement», il faut craindre que très peu de salariés vont faire une telle démarche, qui risque malgré tout d’entraîner des conséquences négatives pour leur carrière professionnelle.
Il est à regretter que le gouvernement ne prévoit pas dans ce cas la possibilité d’actions collectives, donc ouvrir la possibilité de réclamation aux délégations du personnel et aux syndicats, alors que le RGPD introduit explicitement la possibilité aux associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données d’introduire des recours collectifs.
Surtout, il n’est pas compréhensible pourquoi le gouvernement ne choisit pas de se référer à l’article 88 du RGPD, qui permet justement des règles plus spécifiques pour assurer la protection des droits et libertés des salariés en ce qui concerne le traitement des données à caractère personnel dans le cadre des relations de travail, pour justifier le maintien de la limitation actuelle à cinq cas de figure. Dans le cas contraire, il faut bien craindre que les nouvelles possibilités technologiques de surveillance vont réduire progressivement à néant les protections existantes, surtout dans les entreprises avec moins de 150 salariés. Ne rappelons que quelques-unes des situations actuellement encore soumis à une autorisation préalable de la CNPD: vidéosurveillance, moyens de géolocalisation dans les véhicules de la société, tracement des agissements des salariés moyennant des lecteurs de badges …
Demain, il s’agira d’outils de travail connectés à l’»internet of things», de vêtements de travail «intelligents» (gants, chaussures …), ou encore d’algorithmes qui permettent de suivre l’activité du salarié en analysant son style de frappe, son rythme cardiaque ou sa courbe thermique. Les possibilités technologiques existent déjà. Le juriste Jean-Luc Putz parle dans ce contexte d’un «contrôle patronal omniprésent», d’une «forme de ’super-subordination’, dans laquelle chaque geste est enregistré, analysé, contrôlé et le cas échéant sanctionné» («Le travail flexible et atypique», 2016, p. 13). Il faut tout faire pour éviter un tel scénario à la Orwell!
Même si le RGPD est entré en vigueur le 25 mai 2018, les travaux législatifs pour la transposition du règlement au Luxembourg n’ont pas encore abouti. Il n’est donc pas encore trop tard pour revoir le projet de loi pour maintenir des limitations strictes au niveau du champ d’application.
Dans le cadre de l’étude TIR («Third Industrial Revolution»), dite étude «Rifkin», le gouvernement a présenté la digitalisation de l’économie et de la société comme une «révolution» pour le bien et dans l’intérêt des femmes et des hommes. Une dégradation de la protection des données des salariés va cependant dans le sens inverse. N’entamons pas la révolution 3.0 avec une détérioration de la protection des salariés contre la surveillance sur le lieu de travail!
Sie müssen angemeldet sein um kommentieren zu können