La gestion des Risques Psychosociaux à l épreuve de la loi Informatique et Libertés

Transcription

1 ARMANDE BRU-FRANCOIS La gestion des Risques Psychosociaux à l épreuve de la loi Informatique et Libertés Etude de la conformité des traitements de données à caractère personnel ayant pour finalité la mesure, la prévention et la gestion des risques psychosociaux, avec la loi du 6 janvier 1978 modifiée. Thèse professionnelle présentée le 2 décembre 2013 pour l obtention du Mastère spécialisé en Management et Protection des données à caractère personnel Sous la direction de Madame Mireille DESHAYES

2 Remerciements Je tiens à adresser ma gratitude et mes profonds remerciements aux personnes suivantes ayant contribué à la réussite de ce projet : Madame Mireille DESHAYES, qui, à la fois tutrice de cette thèse et maître de stage, a su me guider dans toutes les étapes de ce projet, se rendre entièrement disponible pour donner du sens, s impliquer, débattre, relire, corriger, me motiver et m accompagner, et, sans nul doute, me transmettre les clefs de ma prochaine réussite professionnelle. Toutes les personnes ayant bien voulu répondre aux questions, parfois délicates, que je leur ai posées dans le cadre de cette étude, sans lesquelles le contenu de la thèse aurait été creux et non pertinent. Madame Muriel GRATEAU, Correspondant Informatique et Libertés mutualisé de Groupama et les membres de son équipe, pour m avoir fait confiance et qui a supporté les longues discussions sur les risques psychosociaux. L équipe pédagogique de l ISEP dans son ensemble pour l apport théorique et pratique, et les autres élèves de la promotion Eric Arthur Blair, pour leur soutien tout au long de ce parcours, leur solidarité et leur bonne humeur. A titre privé, je souhaite également remercier mon mari, mes amis et ma famille, qui ont tous contribué, certains directement, d autres indirectement, au résultat de ce projet et à ma réussite. 1

3 Résumé La gestion des risques psychosociaux à l épreuve de la loi Informatique et Libertés En vertu de l obligation de sécurité de la santé mentale et physique des travailleurs obligation de résultat l employeur doit mettre en place un plan d action afin de lutter efficacement contre les risques pesant sur les travailleurs (harcèlement et violence au travail, incivilités et agressions, discrimination, stress et mal-être, etc.). La mise en œuvre de ce plan d action de prévention induit l utilisation des données à caractère personnel de ses salariés : ces informations nominatives servent ainsi pour l évaluation, la mesure et la prévention des risques psychosociaux, ainsi que pour la gestion (parfois informelle) des situations à risque signalées et/ou avérées. Les différents traitements de données personnelles mis en œuvre par l employeur à des fins de prévention des risques d atteinte à la santé physique et mentale des travailleurs soulèvent plusieurs questions sur leur conformité avec la loi du 6 janvier 1978 modifiée : par exemple, l impossibilité, en l état actuel, d identifier de manière exhaustive tous les traitements qui sont et seront mis en œuvre par les employeurs, ou encore le fait que des données relatives à la santé, aux infractions, aux difficultés sociales, aux comportements et ressentis des salariés, et à leur vie privée, soient traitées. Différentes solutions juridiques sont envisageables pour mettre ces traitements en conformité avec la loi précitée (entre consentement et anonymat) mais dans certains cas, l incompatibilité totale des dispositions nécessite une approche par les risques. Abstract Preventing workers exposure to social and psychological risks versus complying with personal data protection law According to the safety obligation of employee s physical and mental health, obligation to produce a result falling on employer employers must implement an action plan to efficiently prevent workers exposure to social and psychological risks (harassment, violence at work, incivility and aggression, discrimination, stress and anxiety, etc.) The implementation of the preventive action plan involves the use of employee s personal data: those nominatives data are used to evaluate, measure and prevent social and psychological risks, as well as handling (sometimes by informal procedures) present or suspected risk situations. The wide range of personal data that is processed in the prevention of workers mental and physical health abuses, raises several issues regarding the personal data protection regulation: for instance, the current difficulty in obtaining a comprehensive view on all the personal data processings performed by employers, or the fact that sensitive data, such as information about employees health, criminal record, social and financial difficulties, behavior, feelings and private life, are processed. In order to ensure compliance with the personal data protection requirements, different legal options should be considered (like consent and anonymity), and in some cases, the complete contradiction between legal provisions implies a risk-based approach. 2

4 Sommaire Remerciements Résumé/Abstract Sommaire Table des matières Introduction générale Chapitre liminaire : LA DEFINITION DES RISQUES PSYCHOSOCIAUX A. L ambigüité de la notion B. Les perspectives internationales C. Les tentatives de définitions Chapitre 1. LES OBLIGATIONS DE L EMPLOYEUR I. La prévention des RPS : une obligation de résultat A. Genèse de l obligation de prévention des risques psychosociaux B. La notion de prévention : une obligation de résultat II. L obligation de conformité avec la loi Informatique et Libertés A. Les obligations Informatique et Libertés de l employeur B. Le traitement des données sensibles III. L analyse par les risques A. Les risques engendrés par la loi Informatique et Libertés B. Les risques engendrés par les risques psychosociaux Chapitre 2. LA PREVENTION DES RISQUES PSYCHOSOCIAUX : PRATIQUE ET CONFORMITE 43 I. Les acteurs de la mesure, prévention et gestion des risques psychosociaux A. Les acteurs en interne B. Les acteurs en externe C. Et le CIL II. Les actions de la prévention : mise en conformité A. Les actions d'évaluation et de mesure des risques B. Les actions de prévention des risques C. Les actions de gestion des risques avérés III. Synthèse des solutions de conformité A. Tableau récapitulatif des solutions de conformité B. Stratégies de formalités Conclusion Bibliographie Annexe 1 : Tableau des sanctions financières les plus importantes prononcées par la CNIL par année Annexe 2 : Tableau des sanctions pénales Informatique et Libertés Annexe 3 : Questionnaire relatif aux pratiques de mesure, prévention et gestion des risques psychosociaux dans les organismes

5 Table des matières Remerciements Résumé /Abstract Sommaire Table des matières Introduction générale Chapitre liminaire : LA DEFINITION DES RISQUES PSYCHOSOCIAUX A. L ambigüité de la notion B. Les perspectives internationales C. Les tentatives de définitions Chapitre 1. LES OBLIGATIONS DE L EMPLOYEUR I. La prévention des RPS : une obligation de résultat A. Genèse de l obligation de prévention des risques psychosociaux L apparition de la notion au niveau sociologique Les développements politiques La genèse législative B. La notion de prévention : une obligation de résultat Ce que disent les textes L interprétation de la Cour de cassation : l obligation de sécurité de résultat La portée de l obligation de prévention II. L obligation de conformité avec la loi Informatique et Libertés A. Les obligations Informatique et Libertés de l employeur Les notions de la loi a. Une donnée à caractère personnel b. Le traitement des données c. Le responsable du traitement des données Les obligations du responsable de traitements a. L obligation d information des personnes b. Proportionnalité et pertinence des données collectées (principe de finalité) c. Durée de conservation (principe du droit à l oubli) d. Obligation de sécurité (principe de confidentialité) e. Obligation de formalités préalables B. Le traitement des données sensibles La définition des données sensibles a. Le cas de la donnée de santé b. Le cas de la donnée relative aux infractions c. Le cas de la donnée comportementale Les conditions de traitement des données sensibles a. Les règles d utilisation des données sensibles b. Le régime d exception de l article III. L analyse par les risques A. Les risques engendrés par la loi Informatique et Libertés Les sanctions administratives Les sanctions civiles

6 3. Les sanctions pénales B. Les risques engendrés par les risques psychosociaux La responsabilité de l entreprise Les conséquences financières Chapitre 2. LA PREVENTION DES RISQUES PSYCHOSOCIAUX : PRATIQUE ET CONFORMITE 43 I. Les acteurs de la mesure, prévention et gestion des risques psychosociaux A. Les acteurs en interne L employeur, responsable de traitements L ensemble des salariés Le CHSCT et le CE Les professionnels de la santé B. Les acteurs en externe C. Et le CIL II. Les actions de la prévention : mise en conformité A. Les actions d'évaluation et de mesure des risques Description des traitements a. Les documents obligatoires b. Les questionnaires et baromètres c. Les statistiques d utilisation du dispositif de soutien psychologique d. Les chiffres des cas à risques Les enjeux Informatique et Libertés a. Définition des finalités b. Traitement des données sensibles Les solutions de conformité a. Déterminer les risques recherchés b. Anonymat et consentement B. Les actions de prévention des risques Description des traitements a. Les opérations de sensibilisation b. Les formations des managers et des salariés aux bonnes pratiques c. Les actions visant la prévention des risques propres à l entreprise d. Le service de santé au travail e. Le dispositif de soutien psychologique Les enjeux Informatique et Libertés a. L identification des traitements b. Les données relatives à la santé et la vie privée c. Les traitements des professionnels de santé Les solutions de conformité a. Proportionnalité et pertinence des données traitées b. L intervention du personnel de santé c. La responsabilité des personnels de santé sur les traitements qu ils effectuent C. Les actions de gestion des risques avérés Description des traitements a. Les dispositifs de signalements et d alertes b. L accompagnement social Les enjeux Informatique et Libertés a. Le détournement de finalité b. Le traitement des données sensibles

7 c. Le cas des alertes non automatisées d. Le cas des incivilités et agressions Les solutions de conformité a. La forme du signalement b. L anonymat de l alerte c. Le traitement des données sensibles d. Limitation du périmètre de chaque dispositif e. Les personnes autorisées à utiliser les dispositifs f. Les destinataires des informations g. Le caractère facultatif h. L information des personnes i. Les droits des personnes j. Les mesures d investigation k. La conservation et les mesures de sécurité La formation des personnes en charge de la gestion des situations signalées et/ou avérées III. Synthèse des solutions de conformité A. Tableau récapitulatif des solutions de conformité B. Stratégies de formalités Conclusion Bibliographie Annexes

8 Introduction générale Selon une enquête publiée par la Direction de l Animation de la Recherche, des Etudes et des Statistiques (DARES), 1 en 2010, sur 60 % des salariés ayant des troubles chroniques à cause de leur travail, 30% évoquent le stress et l anxiété. Les chiffres relatifs aux risques psychosociaux auxquels les travailleurs sont exposés, commencent tout juste à être rendus publics par les organismes de statistique. Autrement dit, la prise en compte dans l évaluation des risques professionnels des facteurs psychosociaux croît de manière significative depuis moins d une dizaine d années. En effet, sans être assurément un effet de mode 2, une «nouvelle» catégorie de risques professionnels existe dorénavant : les risques psychosociaux (RPS). Le sujet est devenu un enjeu majeur de la classe politique, en témoignent les deux plans successifs relatifs à la santé au travail axés notamment sur les mesures d urgence que les employeurs sont invités à prendre pour prévenir les risques psychosociaux. 3 Le sujet a également été largement débattu au sein des organisations syndicales qui, depuis 2006, signent des accords nationaux interprofessionnels négociant des engagements avec les employeurs pour prévenir le stress, le harcèlement et les violences au travail, les discriminations, et autres risques psychosociaux et pour garantir une meilleure qualité de vie au travail. Le sujet étant de surcroît hautement médiatisé, notamment suite à la vague de suicides touchant les grands groupes français, les risques psychosociaux sont entrés en moins de dix ans, au cœur des discussions sur la santé au travail, tant au niveau national, qu au niveau européen et international. Les dispositions légales relevant des articles L à 5 du Code du travail, prévoient une obligation pesant sur l employeur de mesurer et prévenir les risques professionnels. Ce sont donc, pour l heure, ces mêmes dispositions qui encadrent les obligations des employeurs s agissant de la prévention des risques psychosociaux. A ceci, il convient d ajouter, entre autres, les règles applicables aux comités d hygiène, de sécurité et des conditions de travail (CHSCT), la législation en matière de harcèlement, le régime de la faute inexcusable, et les définitions légales de l accident et de la maladie professionnelle. Le cadre légal relatif à la prévention des risques psychosociaux, complexe et mouvant, introduit à la charge de l employeur une obligation de résultat de prévention des risques. Pour satisfaire à ces obligations, de plus en plus d employeurs mettent en œuvre plusieurs traitements de données à caractère personnel de leurs travailleurs. A titre d exemple : 2 Sur ce sujet voir les travaux de Marc LORIOL, et notamment l article paru dans la revue Sociologie du travail, «pourquoi tout ce stress?», 2001, vol.53, n 1 3 Lors du Conseil d Orientation sur les Conditions de Travail (COCT) du 9 octobre 2009, le ministre du Travail avait annoncé un plan d urgence pour la prévention du stress au travail. Plusieurs conférences nationales sur les conditions de travail se sont tenues en 2007 et A l occasion du lancement du 2 ème plan de santé au travail ( ) le ministre du Travail a décidé de prendre des mesures d urgence dans le domaine des risques psychosociaux pour mobiliser les employeurs des secteurs privé et public sur la prévention des risques psychosociaux dans les entreprises et ainsi «de permettre à chacun de pouvoir trouver l épanouissement dans son travail, que le travail soit synonyme de bien-être et non plus de souffrance». 7

9 - Pour mesurer les risques, l employeur traite, notamment, les données nominatives sous forme de statistiques disponibles dans le(s) système(s) d information des ressources humaine (RH) ; - Pour prévenir les risques, l employeur, souvent par le biais d un prestataire, analyse les réponses à des questionnaires remplis par les salariés ; - Pour signaler des cas à risque, l employeur met en place des dispositifs automatisés de remontée d incidents. Ces actions de mesure, de prévention et de gestion des risques psychosociaux, répondent donc à une obligation pesant sur l employeur en vertu du Code du travail. Elles posent de nombreuses difficultés au regard de la conformité avec la loi n du 6 janvier 1978 modifiée relative aux fichiers et aux libertés, plus communément appelé «loi Informatique et Libertés», ci-après «la loi du 6 janvier 1978 modifiée». L interdiction de traitement des données de santé ou relatives à des infractions, les règles entourant le traitement des autres données dites sensibles ou bien celles des traitements engendrant l exclusion d une personne d un droit, sont les écueils les plus remarquables à la conformité de ces traitements avec la loi du 6 janvier 1978 modifiée. Le choix du sujet de cette thèse professionnelle a donc été motivé par ces deux principales considérations : la prévention des risques psychosociaux est un sujet d actualité et pourtant, pour différentes raisons, la question de l utilisation des données des salariés dans ce contexte est encore très peu soulevée ; en outre, le sujet relève d un fort degré de complexité juridique. Pour le Correspondant Informatique et Libertés (CIL), en charge d assurer la conformité des traitements de données à caractère personnel mis en œuvre par le responsable de traitements l ayant désigné, plusieurs difficultés se présentent à lui s agissant des traitements relatifs à la prévention des risques psychosociaux : d abord la notion n est pas définie ; ensuite les dispositions législatives sont parfois en contradiction ; enfin car le nombre de traitements mis en œuvre est en forte progression. La problématique est donc de savoir dans quelle mesure le CIL peut-il garantir la conformité des traitements relatifs à la prévention et la gestion des risques psychosociaux avec la loi du 6 janvier 1978 modifiée au regard de l obligation légale de résultat du Responsable de Traitement tirée des articles L à 5 du Code du travail? Seras donc présenté dans un chapitre liminaire, la première épreuve du CIL s agissant des risques psychosociaux : l absence de définition de ces risques. Le premier chapitre s attachera à présenter les obligations des employeurs en termes de prévention des risques psychosociaux d une part et de conformité avec la loi du 6 janvier 1978 modifiée d autre part, pour en dégager la difficile coexistence. L état de la pratique en matière de prévention des risques psychosociaux, la formulation des enjeux Informatique et Libertés et les propositions de solution de conformité seront l objet du deuxième chapitre. A titre de remarque, notons que la présente thèse professionnelle s adresse aux organismes ayant désigné un CIL c est un parti pris mais les solutions proposées pour mettre en conformité les traitements relatifs à la prévention des risques psychosociaux sont également 8

10 tout à fait valables pour les responsables de traitement n ayant pas désigné de CIL. Seul le régime des formalités peut être différent s agissant d une partie des traitements. Enfin, le champ de l analyse étant limité aux personnes morales de droit privé, les solutions de conformité proposées ne seront pas forcément applicables aux organismes soumis au droit public. 9

11 Chapitre liminaire : LA DEFINITION DES RISQUES PSYCHOSOCIAUX Depuis une dizaine d années maintenant, est fait référence aux risques psychosociaux, nouveaux arrivés dans le domaine des risques professionnels. Alors qu à l origine, cette notion visait exclusivement les risques physiques encourus par les travailleurs, de «nouveaux» risques, d ordre psychique, ont en effet émergé du discours politique, jusqu à en devenir une priorité nationale, et européenne. Il reste cependant quasiment impossible d en trouver une définition claire. A. L ambigüité de la notion La principale difficulté s agissant des risques psychosociaux est sa définition : de quoi parle-ton? Le dictionnaire Petit Robert définit un risque comme «un danger éventuel plus ou moins prévisible, un hasard ou péril. L éventualité d un évènement ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d un objet ou autre dommage. Par extension un évènement contre la survenance duquel on s assure» 4. Appliquée au domaine psychosocial, la définition du Petit Robert ne semble pas si simple. En effet, pour Marie-Anne Dujarnier, maître de conférences en sociologie à l'université de Paris- III et à l'école polytechnique, le terme même de risques psychosociaux relève plusieurs ambigüités 5. Tout d abord, le terme «risque psychosocial n indique pas si le psychosocial est la cause ou l objet du risque». Est-ce une dimension psychosociale du travail qui fait courir des risques aux employés, ou bien est-ce le travail qui génère des effets néfastes, de nature psychosociale? Le risque psychosocial s apparente-t-il, comme le soutien Hervé Lanouzière, conseiller technique à la direction générale du Travail, à la charge de travail, la reconnaissance du travail, la qualité du travail et les restructurations (selon la définition du Petit Robert : les facteurs du risque) 6? Ou bien l expression caractérise-t-elle les symptômes délétères tels que la perte de l estime de soi, le mal-être, les addictions, le stress, la dépression ou le suicide (le risque)? Certains professionnels de la prévention des risques psychosociaux dégagent trois niveaux 7 : les facteurs de risques plurifactoriels, liés par exemple à l environnement structurel ou organisationnel de l entreprise, qui peuvent engendrer des risques de nature psychosociale, 4 Paul Robert, «Le Nouveau Petit Robert», édition Dictionnaires Le Robert Paris, Collège des Risques Psychosociaux au Travail, Audition de Marie-Anne DUJARIER, in Rapport du collège d expertise sur le suivi des risques psychosociaux au travail. (2011). Présidé par Michel GOLLAC, intitulé «Mesurer les facteurs psychosociaux de risques au travail pour les maîtriser». 6 LANOUZIÈRE, H. (2011). «La prévention des risques psychosociaux du point de vue du code du travail», Semaine Sociale Lamy, 21 fév., n 1480, forum réflexion. 7 Cabinet Sextan, Intervenant en Prévention des Risques Professionnels (IPRP), Document de présentation de l offre commerciale,

12 tels que le harcèlement, la discrimination ou la violence au travail, qui eux-mêmes ont des effets sur les salariés (mal-être, stress, isolement, etc ). Bien qu une telle définition soit assez compréhensible, son application dans la pratique n est pas si évidente : que faire du stress par exemple? Il est en même temps un risque et une conséquence du risque. Ainsi, comme l indique le rapport de Philippe Nasse et Patrick Légeron du 12 mars 2008 : «la grande variété des thèmes mis sous [ce] vocable [...] est source d une grande confusion. 8 Ces thèmes recouvrent en effet les déterminants et les effets, sans distinguer entre les causes et les conséquences. Cette confusion tient non seulement à la diversité de ces risques mais aussi à la complexité des liens qui les unissent et qui ne relèvent pas toujours de la causalité linéaire car, interagissant fortement entre eux, ils sont plutôt de type circulaire ou systémique». L expression risques psychosociaux peut donc être interprétée des plusieurs manières, fort différentes. La notion peut, par ailleurs, s étendre à la santé des salariés, ou bien au risque encouru par l employeur (civil, pénal, financier, commercial). Le fait qu aucune définition officielle n ait encore été trouvée, ni au niveau international, ni au niveau national, et/ou reprise par le législateur ou le juge, ne facilite pas le rôle du CIL dans sa mission de garant de la conformité des traitements relatifs à la prévention et la gestion des risques psychosociaux. Comment assurer la conformité d un traitement dont le concept même n est pas défini? Le terme concept est ici utilisé intentionnellement. Les finalités des traitements mis en œuvre par les employeurs sont d ordinaire attachées à des tâches : par exemple, le contrôle de l activité des employés peut être effectué via la cyber surveillance, la gestion du recrutement représente une succession de tâches définies, etc. Mais la prévention et la gestion des risques psychosociaux n est, en l état actuel, qu un concept non défini dont les tâches d exécution ne sont ni identifiées, ni définitives. Le Code du travail ne prévoit rien de spécifique, l évolution de la pratique permet à tout le moins de donner quelques exemples : pour la mesure des risques, la tenue d un bilan social reprenant les informations du service des ressources humaines, pour la prévention, l organisation de campagne de prévention de santé ou de formation à la gestion des risques psychosociaux, la mise à disposition de lignes d écoutes psychologiques ; pour la gestion, la mise en place de dispositif de signalement de cas à risque. Qui sait quelles actions seront mises en place demain par l employeur pour prévenir des risques non encore identifiés et qui seront considérés comme relevant des risques psychosociaux? La prévention des risques psychosociaux s arrêtait il y a quelques années aux mesures prises contre le harcèlement, puis s est étendue au stress et aujourd hui touche la qualité de vie au travail autre concept dont le consensus sur la définition est encore loin d être trouvé. Pour un CIL, comment assurer la conformité d un traitement dont la finalité est un concept, mouvant et en expansion? 8 NASSE (Philippe) et LEGERON (Patrick) étude sur «la détermination, la mesure et le suivi des risques psychosociaux au travail» de mars

13 D autre part, et en conséquence de cette absence de définition des risques psychosociaux, les données recueillies dans le cadre des traitements mis en œuvre ne sont, en l état actuel, ni identifiées, ni qualifiées, et risquent de connaître des développements comparables. B. Les perspectives internationales Au niveau international, la notion de risque psychosocial ne trouve pas non plus de définition claire. L expression n est pas utilisée dans tous les pays, la Belgique et les Pays-Bas préférant par exemple la notion de «charge psychosociale», ce qui ne facilite pas le consensus. 9 Les risques psychosociaux sont néanmoins reconnus par le Bureau International du Travail «comme étant des problèmes de portée mondiale, qui touchent tous les pays, toutes les professions et tous les travailleurs». 10 En réalité, les instances internationales se concentrent surtout sur les facteurs de risque : les facteurs organisationnels ou managériaux, le harcèlement, la violence au travail, etc. et donnent pour chacun de ces facteurs des définitions détaillées. C. Les tentatives de définitions Certains guides disponibles gratuitement sur internet proposent une description des risques psychosociaux. Par exemple, le guide de l Association pour l Amélioration des Conditions de Travail (ARACT) de Haute-Normandie, «Prévenir les risques psychosociaux», propose la définition suivante : «Les risques psychosociaux apparaissent dans des situations de travail où il existe une tension importante entre les exigences des salariés et les exigences de l organisation, avec : - des causes différentes : conditions d emploi, organisation du travail, relations professionnelles, modes de management, etc ; - des effets variés : stress, violences, mal-être, burn-out, harcèlement, conflits interpersonnels et collectifs ; - des relations de causes à effets complexes : une cause ne crée pas un seul effet, mais plusieurs causes vont créer plusieurs effets, de nature différente selon le contexte de l entreprise et les individus exposés 11. Les risques psychosociaux résultent donc de la perception négative qu une personne a de ses conditions de travail. Mais attention, ce n est généralement pas le travail lui-même ou le 9 Jean-Benoît COTTIN et Jean-Michel MIR, «Risques psychosociaux : perspectives internationales», Les Cahiers de la DRH, 2011 n 173, ed. Lamy. 10 Bureau International du Travail, «Risques émergents et nouvelles formes de prévention dans un monde du travail en mutation», avril 2010, rapport remis à l occasion de la journée mondiale de la sécurité et de la santé au travail. 11 Association Régionale pour l Amélioration des Conditions de Travail (ARACT) de Haute-Normandie «Prévenir les risques psychosociaux, Guide pratique, outils pour l action», Sept. 2012, disponible à l adresse suivante : 12

14 métier qui est en cause, ce sont bien les conditions de réalisation de l activité et leur évolution qui le sont.» D autres guides, au contraire, ne s aventurent pas dans une tentative de définition, comme celui de l Institut National de Recherche et de Sécurité pour la prévention des accidents du travail et des maladies professionnelles (INRS) 12 ou celui d EUROGIP 13 : «se lancer dans l élaboration d une définition des RPS dans la présente note se révélerait donc un exercice périlleux [ ]» En 2011, le rapport de collège d experts a défini les risques psychosociaux comme «les risques pour la santé mentale, physique et sociale engendrés par les conditions d emploi et les facteurs organisationnels et relationnels susceptibles d interagir avec le fonctionnement mental.» 14 Pour le Ministère du Travail, les risques psychosociaux «recouvrent des risques professionnels qui portent atteinte à l intégrité physique et à la santé mentale des salariés : stress, harcèlement, épuisement professionnel, violence au travail...» 15. Selon l Institut National de la Santé et de la Recherche Médicale (INSERM), «les facteurs psychosociaux au travail désignent un vaste ensemble de variables, à l intersection des dimensions individuelles, collectives et organisationnelles de l activité professionnelle, d où leur complexité et leur caractère souvent composite» 16. Autrement dit, s agissant des risques professionnels, «les RPS [ ] ont la palme de la complexité. Ils sont à la fois plurifactoriels et particulièrement poreux, car ils mêlent systématiquement les sphères intime et professionnelle de la personne.» 17 La définition des risques psychosociaux donnée par le Ministère du Travail et celle des facteurs de risques donnée par l INSERM, plutôt insatisfaisantes puisque ne se positionnant pas sur l ambigüité cause/conséquence, apparaissent néanmoins être les plus utilisées par la doctrine et seront donc prises comme référence pour la présente thèse. En outre, et afin de mener une étude précise sur la conformité des traitements relatifs à la prévention et à la gestion des risques psychosociaux, il est nécessaire de délimiter les sujets de l analyse. Les quatre grands facteurs de risques aujourd hui identifiés par le Ministère du 12 Guides de l INRS «Dépister les risques psychosociaux, des indicateurs pour vous guider», 2010 et «Evaluer les facteurs de risques psychosociaux, l outil RPS-DU», février Note Thématique d EUROGIP (organisme français chargé d étudier les questions relatives à l'assurance et à la prévention des accidents du travail et des maladies professionnelles aux plans européen et international). «Risques Psychosociaux au travail : une problématique européenne», 2010, disponible sur le site 14 Rapport du collège d expertise sur le suivi des risques psychosociaux au travail, présidé par Michel GOLLAC, intitulé «Mesurer les facteurs psychosociaux de risques au travail pour les maîtriser», Définition des risques psychosociaux du Ministère du Travail, disponible à l adresse suivante : 16 Inserm (dir.). «Rachialgies en milieu professionnel : Quelles voies de prévention?» Rapport. Paris : Les éditions Inserm, 1995, p.86 sur 193p. (Expertise collective). Disponible à l adresse suivante : 17 Hervé Lanouzière, «la prévention des risques psychosociaux du point de vue du code du travail», Semaine Sociale Lamy, 21 fév. 2011, n 1480, forum réflexion. 13

15 Travail et les syndicats nationaux et internationaux 18, que sont le stress (comme source extérieure), le harcèlement, la violence, la souffrance au travail, ainsi que les discriminations constitueront ici les références exclusives aux déterminants, ou facteurs, pouvant entraîner la survenance du risque : la maladie ou l accident professionnel (dépression, mal-être, etc. pouvant conduire au suicide). Il convient cependant de noter que ces «maladies» professionnelles ne sont pas reconnues par le Ministère du Travail en tant que telles, puisqu elles n apparaissent, à ce jour, dans aucun des tableaux annexés au code de la sécurité sociale référençant les maladies qualifiées et reconnues comme professionnelles. Il est toutefois possible dans la pratique de demander une expertise médicale afin de faire reconnaître qu un état de santé (le plus souvent de type dépressif ou post-traumatique) est en lien avec le travail. 19 Les définitions de ces facteurs de risque sont donc néanmoins plus faciles à trouver, et communément acceptées : - s agissant du stress : le stress est ressenti lorsqu'un déséquilibre est perçu entre ce qui est exigé de la personne et les ressources dont elle dispose pour répondre à ces exigences 20 ; - s agissant du harcèlement : le harcèlement se caractérise par des agissements répétés ayant pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte aux droits et à la dignité, d altérer la santé physique ou mentale ou de compromettre l avenir professionnel du salarié. Le harcèlement survient lorsqu un ou plusieurs salariés font l objet d abus, de menaces et/ou d humiliations répétés et délibérés dans des circonstances liées au travail, soit sur les lieux de travail, soit dans les situations liées au travail 21 ; - s agissant de la violence au travail : elle se produit lorsqu un ou plusieurs salariés sont agressés dans des circonstances liées au travail. Elle va du manque de respect à la manifestation de la volonté de nuire, de détruire, de l incivilité à l agression physique. La violence au travail peut prendre la forme d agression verbale, d agression comportementale, notamment sexiste, d agression physique ; - s agissant de la discrimination: la discrimination est le traitement inégal et défavorable appliqué à certaines personnes en raison notamment, de leur âge, de leur origine, de leur nom, de leur sexe, de leur apparence physique, de leur handicap, ou de leur appartenance à un mouvement philosophique, syndical ou politique Voir les sites Internet du ministère du travail : ou de l Institut National de Recherche et de Sécurité pour la prévention des accidents du travail et des maladies professionnelles : de l Agence nationale pour l'amélioration des conditions de travail : de l Agence Européenne pour la sécurité et la santé au travail : de l European Trade Union Institut : de l Organisation Internationale du Travail : ainsi que les accords nationaux interprofessionnels, etc 19 CA Chambéry, 13 déc. 2011, pour un exemple de maladie professionnelle reconnue à la suite d'un harcèlement moral. 20 Accord national interprofessionnel du 2 juillet 2008 sur le stress au travail, article Articles L du Code du Travail et du Code Pénal, complété par l accord national interprofessionnel du 26 mars 2010 sur le harcèlement et les violences au travail. 22 Accord national interprofessionnel du 12 octobre 2006 relatif à la diversité dans l entreprise. 14

16 L absence de définition à ce jour des risques psychosociaux est donc un véritable problème pour le CIL. Aucune définition claire n a été dégagée par le législateur ou par le juge sachant qu une approche pluridisciplinaire intégrant la psychologie et la sociologie serait manifestement nécessaire pour préciser les contours de la notion. Et pourtant, pèse sur l employeur une obligation de prévention de ces risques psychosociaux. 15

17 Chapitre 1. LES OBLIGATIONS DE L EMPLOYEUR Différentes obligations pèsent sur les organismes privés et publics qui emploient du personnel. Notamment, pèsent sur l employeur une obligation de prévention des risques professionnels obligation de résultat (I) ainsi qu une obligation de conformité avec la loi du 6 janvier 1978 modifiée (II). Or, force est de constater que ces deux obligations sont loin d être complémentaires, et bien souvent contradictoires. Une étude des risques encourus en cas de manquement à ces obligations permet de dégager les intérêts pour les employeurs (III) I. La prévention des RPS : une obligation de résultat L employeur, en sa qualité de responsable d activité, est légalement tenu à un devoir de prévention des risques pesant sur son personnel. Le développement législatif de cette obligation de prévention a connu plusieurs rebondissements (A), jusqu à devenir une obligation de résultat (B). A. Genèse de l obligation de prévention des risques psychosociaux 1. L apparition de la notion au niveau sociologique Au niveau sociologique, la prise en compte des risques liés au travail remonte, pour Marie- Anne Dujarnier, au XIXème siècle. 23 Ainsi, plusieurs étapes marquent l émergence des risques psychosociaux : tout d abord les critiques marxistes relatives à l évolution de la société et à «l aliénation» au travail, ensuite les études de Durkheim sur les nouvelles formes de suicide de la fin du XIXème siècle, puis la sociologie d après-guerre dénonçant l insatisfaction des ouvriers, et enfin, dans les années 1980, l apparition du stress et de la souffrance au travail dans les ouvrages de sociologie. Parallèlement, les mouvements des organisations syndicales visant à faire reconnaître l existence et les conséquences des facteurs de risques d ordre psychosocial dans la dernière décennie ont eu un impact évident sur l évolution législative dans le domaine. Plus généralement, les salariés, ou dans certains cas leurs ayants droit, se sont défendus et ont manifesté la forte volonté de faire valoir leurs droits suite à des préjudices subis à cause de facteurs de risques psychosociaux. Aujourd hui, presque toutes des actions de prévention des employeurs sont poussées, voire entièrement pilotées, par les délégués du personnel. Un accord d entreprise n est pas 23 Collège des Risques Psychosociaux au Travail, Audition de Marie-Anne DUJARIER, in Rapport du collège d expertise sur le suivi des risques psychosociaux au travail. (2011). Présidé par Michel GOLLAC, intitulé «Mesurer les facteurs psychosociaux de risques au travail pour les maîtriser». 16

18 forcément nécessaire : certaines entreprises ont mis en place des actions de prévention des risques psychosociaux à la suite des demandes du comité d entreprise ou d autres institutions représentatives du personnel. Les initiatives des syndicats nationaux sont également une des raisons expliquant le développement législatif de la prévention des risques psychosociaux. 2. Les développements politiques D un point de vue politique, suite au scandale de l amiante et de la médiatisation autour de la série de suicides notamment chez France Télécom, les partenaires sociaux se sont emparés du sujet, et le gouvernement a fait de la prévention de la santé au travail une priorité nationale. Ainsi, deux plans nationaux de santé au travail se sont succédé instaurant 14 objectifs de prévention des risques psychosociaux en entreprise et plusieurs rapports d experts ont été remis au premier ministre. 24 Parallèlement, les accords nationaux interprofessionnels du 2 juillet 2008 sur le stress au travail, du 26 mars 2010 sur le harcèlement et la violence au travail, et du 19 juin 2013 sur la qualité de vie au travail, ont été signés entre les organisations syndicales et le gouvernement. 25 De surcroît, dans le même temps, de nombreux baromètres, études statistiques, études des perceptions et sondages, internationaux, européens et nationaux ont été publiés, sans compter les conférences et manifestations telle que le Prix européens des bonnes pratiques en matière de sécurité et de santé au travail, organisés par l Agence européenne pour la sécurité et la santé au travail (EU-OSHA). 26 Enfin, la prévention des risques d atteinte à la santé et à la sécurité des travailleurs va faire l objet d une norme internationale. En effet, l Organisation Internationale de Normalisation (ISO) a approuvé les travaux visant à la création d une nouvelle norme internationale relative au management de la santé et de la sécurité au travail, qui débuteront fin octobre Poussé par ce «nouveau» sujet de société, il est certain que le droit de la prévention des risques professionnels, aujourd hui tourné sur les questions de l environnement, de la pénibilité et de la lutte contre les risques psychosociaux, n a pas fini de se développer : d un point de vue législatif, d une part (les obligations spécifiques des employeurs n étant pas délimitées), et d un point de vue jurisprudentiel, d autre part. 3. La genèse législative S agissant du développement légal, l obligation de prévention des risques professionnels a été introduite dans le Code du travail dans la seconde moitié du XIXème siècle. 24 Dont : Philippe NASSE et Patrick LEGERON, étude sur «la détermination, la mesure et le suivi des risques psychosociaux au travail» de mars 2008 et Henri LACHMANN, Christian LAROSE et Muriel PÉNICAUD : «Bien-être et efficacité au travail, dix propositions pour améliorer la santé psychologique au travail» de février Accord national interprofessionnel sur la qualité de vie au travail signé le 19 juin L Agence Européenne pour la Sécurité et la Santé au Travail a lancé le Prix des bonnes pratiques en Informations à l adresse suivante : 27 Liaisons Sociales Quotidien du 11 septembre 2013, n

19 Tout d abord, pour prévenir les risques physiques associés à une révolution industrielle fulgurante, le législateur a adopté deux lois du 24 mars 1841 et du 2 novembre 1892 interdisant le travail des enfants de moins de 8 ans et règlementant les conditions de travail des femmes et des mineurs de moins de 18 ans. 28 En parallèle, le législateur a instauré un régime de réparation en droit du travail avec une loi du 9 avril 1898, permettant d indemniser les victimes d accidents du travail. Cette loi a donc rendu l employeur automatiquement responsable civilement en cas d accident se produisant dans son entreprise. 29 Ensuite, au fil du temps, le dispositif de prévention des risques professionnels s est perfectionné, notamment grâce, d une part, à la loi du 6 décembre 1976 qui a introduit le concept de sécurité intégrée (objectif de prévention dès la conception des outils et des lieux de travail), et d autre part, à la loi du 23 décembre 1982 créant le Comité d Hygiène, de Sécurité et des Conditions de Travail (CHSCT) 30. L avancée législative majeure en matière de sécurité et de prévention provient cependant du droit européen. Une cinquantaine de directives européennes sur le sujet ont été adoptées, découlant toutes d une directive fondamentale : la directive-cadre CEE n 89/396 du 12 juin 1989 concernant la mise en œuvre de mesures visant à promouvoir l'amélioration de la sécurité et de la santé des travailleurs au travail, transposée en droit français par la loi n du 31 décembre La directive-cadre a imposé une obligation à la charge des employeurs de respecter un certain nombre de grands principes généraux, et une démarche de prévention. Depuis la transposition en droit interne de la directive de 1989 et l introduction de ses dispositions dans le Code du travail, le droit de la prévention des risques professionnels s est fortement développé, en grande partie grâce à l interprétation extensive des textes par les juges de la Cour de cassation. B. La notion de prévention : une obligation de résultat Tel qu il a été mentionné supra, l obligation de prévention des risques professionnels s est transformée au fur et à mesure de l ampleur qu elle a prise. Mais où en est-on aujourd hui, et quelle est la portée de cette obligation pour les employeurs? 28 Loi du 24 mars 1841 «relative au travail des enfants employés dans les manufactures, usines ou ateliers» et loi du 2 novembre 1892 «sur le travail des enfants, des filles et de femmes dans les établissements industriels.» 29 Loi du 9 avril 1898 «sur les responsabilités des accidents dont les ouvriers sont victimes dans leur travail», Bulletin de l Inspection du travail, n 2, Loi n du 6 décembre 1976 «relative au développement de la prévention des accidents du travail», J.O. 7déc 1976 et Loi n du 23 décembre 1982 «4 ème loi AUROUX relative aux Comités d Hygiène, de Sécurité et des Conditions de Travail (CHSCT)», JORF du 26 déc p

20 1. Ce que disent les textes La directive cadre n 89/396 du 12 juin 1989 définissait la prévention en son article 3 comme «l'ensemble des dispositions ou des mesures prises ou prévues à tous les stades de l'activité dans l'entreprise en vue d'éviter ou de diminuer les risques professionnels». En droit interne, l article L du Code du travail prévoit que «l employeur prend toutes les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs.» Les articles qui suivent énoncent les principes généraux et les principes d action qui doivent guider la démarche de prévention de tout employeur face à n importe quel risque. Il est donc demandé à l employeur de mettre en œuvre une démarche de prévention, basée sur une méthode définie et décrite dans le Code du travail. La première étape, précisée à l article L du Code du travail, consiste à évaluer les risques. Le résultat de cette évaluation est reportée dans un document unique d évaluation des risques, plus communément appelé le DUER. Comme le souligne Hervé Lanouzière «il ne lui [l employeur] est pas demandé de pénétrer l intégrité psychique de ses collaborateurs mais de s interroger sur les conditions de travail au sein de son entreprise qui peuvent générer, favoriser ou concourir à l apparition de RPS». 31 La deuxième étape, prévue à l article L , exige de l employeur qu il mette en œuvre les actions de prévention ainsi que les méthodes de travail et de production garantissant un meilleur niveau de protection de la santé et de la sécurité des travailleurs. «Il n est donc pas seulement question de corriger les effets néfastes d une méthode mais d anticiper ses effets avant même de l implanter». 32 La prévention des risques doit donc se traduire par une méthode répondant aux principes d action tirés des dispositions du Code du travail, et clairement hiérarchisés : 1. Eviter les risques ; 2. Evaluer les risques qui ne peuvent pas être évités ; 3. Combattre les risques à la source ; 4. Adapter le travail à l'homme, en particulier en ce qui concerne la conception des postes de travail ainsi que le choix des équipements de travail et des méthodes de travail et de production, en vue notamment de limiter le travail monotone et le travail cadencé et de réduire les effets de ceux-ci sur la santé ; 5. Tenir compte de l'état d'évolution de la technique ; 6. Remplacer ce qui est dangereux par ce qui n'est pas dangereux ou par ce qui est moins dangereux ; 7. Planifier la prévention en y intégrant, dans un ensemble cohérent, la technique, l'organisation du travail, les conditions de travail, les relations sociales et l'influence 31 Hervé Lanouzière, «la prévention des risques psychosociaux du point de vue du code du travail», Semaine Sociale Lamy, 21 fév. 2011, n 1480, forum réflexion. 32 Hervé Lanouzière, «la prévention des risques psychosociaux du point de vue du code du travail», Semaine Sociale Lamy, 21 fév. 2011, n 1480, forum réflexion. 19

21 des facteurs ambiants, notamment les risques liés au harcèlement moral, tel qu'il est défini à l'article L du Code du travail ; 8. Prendre des mesures de protection collective en leur donnant la priorité sur les mesures de protection individuelle ; 9. Donner les instructions appropriées aux travailleurs. A ceci, il convient d ajouter les règles applicables au harcèlement moral, encadré par les articles L à 3 du Code du travail. La jurisprudence a déjà interprété des actes de harcèlement moral, dont la responsabilité de la prévention repose sur l employeur, comme le fait de priver un salarié d outils professionnels, de donner des ordres et des contre-ordres, de demander des comptes rendus non justifiés de manière répétée, d attribuer des missions en dehors des fonctions du salarié, de ne pas convoquer un salarié aux réunions d équipes, et plus récemment de déménager un salarié dans un bureau éloigné. Cependant, ce que les textes ne disent pas explicitement est que l obligation de prévention des risques professionnels, et donc psychosociaux, est une obligation de résultat. Bien que la notion ne soit pas nouvelle, son entrée dans le domaine de la prévention des risques d atteinte à l intégrité physique et mentale du travailleur l est relativement, puisqu elle date des arrêts de 2002 «Amiante». 33 En droit civil, et sauf si le législateur le prévoit, il appartient au juge de décider si une obligation pesant sur un débiteur est de moyen ou de résultat. L obligation de résultat peut se définir comme une obligation dans laquelle le débiteur doit obtenir un résultat déterminé, dont la seule non-atteinte engage sa responsabilité et ce quels que soient les moyens employés (seul un évènement de force majeure pouvant le libérer de son obligation). 34 Transposés à la prévention des risques professionnels, les articles du Code du travail imposent à l employeur de prendre les «mesures nécessaires» pour assurer la santé physique et mentale des travailleurs. Le résultat escompté de l employeur est donc bien de prévenir, au sens d éviter, d empêcher, de parer la survenance d un risque, par toutes mesures nécessaires. Comme l explique très justement Pierre-YvesVerkindt, «à bien lire l article L du Code du travail, l obligation pesant sur l employeur est celle de prendre les mesures nécessaires... Autrement dit, l obligation est une obligation d action comme le signale d ailleurs la suite de l article L Il s agit pour l employeur de prévenir, de former, d informer et de mettre en place une organisation et des moyens adaptés. Le résultat dont il est question dans la notion d obligation de sécurité de résultat n est pas l absence d atteinte à la santé physique et mentale, mais l ensemble des mesures prises (effectivement!) par l employeur» Cass soc.28 fév.2002, n Sophie FANTONI-QUITON et Pierre-Yves VERKINDT, «Obligation de résultat en matière de santé au travail : à l impossible, l employeur est tenu?», Revue Droit Social, n mars 2013, dossier, p Pierre-Yves VERKINDT, «la santé au travail, l ère de la maturité», Jurisprudence Sociale Lamy, 2008 n 239 du 1 er sept

22 Il est alors attendu de lui qu il établisse une politique de prévention structurée et finalisée, qu il respecte son obligation d action et de méthode décrite plus haut. L examen de la jurisprudence permet d appréhender les contours et les limites de cette obligation de résultat. Le juge a en effet considéré que l employeur, devant assurer la sécurité et protéger la santé physique et mentale de ses employés (obligation qu il tirera finalement de l article L précité du Code du travail), engageait sa responsabilité lorsque ce résultat n était pas atteint, et commettait une faute inexcusable aux conséquences pécuniaires plus sévères si les mesures de prévention nécessaires n avaient pas été prises. 2. L interprétation de la Cour de cassation : l obligation de sécurité de résultat L interprétation de l obligation pesant sur l employeur d assurer la sécurité de son personnel, obligation de résultat, a connu ce que certains qualifient d «expansion fulgurante.» 36 Comme mentionné précédemment, cette notion a été employée dans le cadre des risques professionnels pour la première fois à l occasion des arrêts "Amiante". La Cour a dit pour droit qu en vertu «du contrat de travail le liant à son salarié, l employeur est tenu envers celui ci d une obligation de sécurité de résultat, notamment en ce qui concerne les maladies professionnelles contractées par ce salarié du fait des produits fabriqués ou utilisés par l entreprise ; que le manquement à cette obligation a le caractère d une faute inexcusable, au sens de l article L du Code de la sécurité sociale, lorsque l employeur avait ou aurait dû avoir conscience du danger auquel était exposé le salarié, et qu il n a pas pris les mesures nécessaires pour l en préserver». Deux points juridiques peuvent être retenus : la Cour a fondé l obligation de sécurité de résultat sur le contrat de travail, et le régime de la faute inexcusable sur les dispositions du Code de la sécurité sociale. Sans conteste, le mot «notamment» est celui qui a permis de faire migrer cette obligation vers plusieurs autres branches du droit et de l ouvrir au domaine de la prévention des risques psychosociaux. Le premier arrêt est une affaire de harcèlement moral : la Cour a retenu la responsabilité personnelle du salarié ayant commis les faits de harcèlement moral, mais également la responsabilité de l employeur. En effet, en vertu de son obligation de résultat de garantir la santé mentale de ses employés, «l absence de faute de sa part ne peut l exonérer de sa responsabilité». 37 En matière de harcèlement plusieurs autres arrêts de la Cour de cassation ont confirmé la responsabilité de l employeur de sécurité de résultat. 38 Un second exemple permet de comprendre l étendue de cette obligation de résultat : en l espèce un salarié avait tenté de mettre fin à ses jours à son domicile alors qu il était en arrêt 36 Michel BLATMAN, conseiller à la chambre sociale de la Cour de cassation, «L obligation de sécurité de résultat de la Cour de cassation en six étapes», Semaine Sociale Lamy, Cass.soc. 21 juin 2006, n , bull. V n Nous pouvons citer : Cass.soc.10 mai 2001, n , en l espèce c est à bon droit que les juges du fond, après avoir constaté que la salariée avait fait l objet d un mauvais traitement de la part de l épouse du gérant de l entreprise qui l employait et qu elle avait également été insultée par celle-ci, ont alloué à l intéressée des dommages et intérêts en réparation de son préjudice moral. 21

23 maladie pour dépression. La Cour a tout d abord considéré que les circonstances faisaient apparaître l existence d un lien étroit entre la tentative de suicide et l emploi, et que dès lors que le salarié établit qu il est survenu par le fait du travail, l accident est considéré comme un accident du travail. Ensuite, la Cour relève que les relations de travail s étaient dégradées de façon continue, de sorte que «l équilibre psychologique» du salarié avait été «gravement compromis» pour des raisons d origine professionnelle. Enfin, pour les juges, l employeur aurait dû avoir conscience du danger auquel était exposé son salarié et n a pas pris les mesures nécessaires pour l en préserver : il a donc manqué à son obligation de sécurité de résultat tiré de l article L du Code du travail, situation constitutive d une faute inexcusable. 39 S agissant du fondement de l obligation de résultat dans le domaine de la prévention des risques professionnels, il est à noter que la Cour, et plus précisément la chambre sociale de la Cour de cassation, dans son arrêt Snecma, a décidé de fonder l obligation de sécurité de résultat sur l ancien article L du Code du travail. 40 L obligation de sécurité n est donc pas d abord une obligation contractuelle mais une obligation légale. «C est la raison pour laquelle elle domine le pouvoir de direction du chef d entreprise». 41 Dans un arrêt du 13 décembre 2012, la Cour d appel de Paris a appliqué le principe selon lequel la santé prime sur le pouvoir de direction de l employeur et a suspendu un projet de réorganisation. Dans cette affaire, la Cour a jugé que les employeurs devaient «prendre tous moyens utiles» pour identifier les risques, y compris les risques psychosociaux «susceptibles d être induits par la nouvelle organisation» et a donné des directives très claires : les entreprises doivent fournir des «documents quantitativement précis sur les transferts de charge de travail, dont la communication incombe à l employeur, seul à même de les détenir». La Cour a spécifié que ladite évaluation devait tenir compte du cas particulier des salariés en forfait-jours : «la charge de travail [ ] doit être compatible avec leurs horaires et leur vie privée ainsi que les dispositions de la Charte sociale européenne relatives à ces mêmes préoccupations». 42 A titre de remarque, il convient de souligner que la directive n 89/396 du 12 juin 1989 ne prévoyait pas à l origine la responsabilité sans faute de l employeur en cas de manquement à l obligation de prévention des risques professionnels. La Cour de Justice de l Union Européenne, ci-après «la CJUE», chargée de l interprétation des textes de l Union européenne, a effectivement considéré dans une affaire de 2007 que «si la directive soumet l employeur à l obligation d assurer aux travailleurs un environnement de travail sûr, il ne saurait être affirmé qu il doit peser sur l employeur une responsabilité sans faute». 43 La CJUE confirme donc que la directive «n implique pas que l employeur soit tenu de garantir un environnement de travail dépourvu de tout risque.». 39 Cass.2è civ., 22 fév. 2007, n Cass. Soc., 5 mars 2008, n Pierre-Yves VERKINDT, «la santé au travail, l ère de la maturité», Jurisprudence Sociale Lamy, 2008 n 239 du 1 er sept CA Paris, 13 décembre 2012, n Affaire C-127/05 du 14 juin 2007, Commission c/royaume Uni. 22

24 3. La portée de l obligation de prévention A la lumière des dispositions du Code du travail et de la jurisprudence en la matière, la question est donc de savoir jusqu où l obligation de prévention des risques professionnels astreint les employeurs? La responsabilité pesant sur l employeur tirée de son obligation de sécurité de résultat a fait naître une véritable obligation positive. «L obligation de sécurité de résultat a un effet dissuasif, dans la mesure où elle doit inciter l employeur à agir au plus vite». 44 Autrement dit, pour remplir cette responsabilité, il est attendu de l employeur qu il mette en place une politique d évaluation des risques professionnels a priori. A ainsi été reconnue l obligation pour l employeur de se renseigner sur les dangers courus par les salariés appelés à travailler dans d autres entreprises, 45 et que l obligation de prendre des mesures pour prévenir les atteintes à la santé est étendue à l employeur et à l entreprise dans lequel le salarié est détaché 46. Dans un arrêt récent 47, la chambre civile de la Cour de cassation a jugé qu un employeur avait commis une faute inexcusable en plaçant un cadre à un poste pour lequel il n avait pas les connaissances requises, sans lui donner la formation nécessaire, ni lui apporter de l aide, et ayant tardé à donner suite aux préconisations de changement de poste du médecin du travail, le salarié s étant suicidé. 48 La portée de l obligation de sécurité de résultat en ce qui concerne la prévention des risques psychosociaux n a sans doute pas terminée son ascension. 49 De nombreuses questions restent toutefois en suspens et notamment sur les limites raisonnables de l obligation de prévention de l employeur (lorsque le coût financier des actions à mettre en œuvre est manifestement disproportionné aux objectifs recherchés, par exemple), sur les arguments invocables comme obstacles à la réussite de la prévention des risques, etc. Enfin, il convient de noter qu une autre obligation existe, et que l employeur se doit de la respecter, s agissant de la mise en œuvre de sa politique de prévention des risques psychosociaux. Cette obligation, et non des moindres, porte sur la consultation des instances représentatives du personnel. En effet, aux termes des articles L et L du Code du travail, l employeur présente au CHSCT (ou aux délégués du personnel, en cas d absence de CHSCT dans un établissement de moins de 50 salariés), d une part, le bilan de l année écoulée de la situation générale de la santé et de la sécurité et des conditions de travail dans son établissement, et d autre part, le programme pour l année à venir des mesures à prendre en matière de protection des salariés et d amélioration des conditions de travail. 44 Thérèse AUBERT-MONPEYSSEN et Michel BLATMAN, «les risques psychosociaux au travail et la jurisprudence française : la culture de la prévention», Revue Dalloz Droit Social, n 712, septembre Cass.Civ.2 e, 8 nov. 2007, n Cass.soc., 30 nov. 2010, n à propos d une société de travail temporaire. 47 Cass.Civ. 19 sept n , D 48 Cass.soc., 30 nov. 2010, n à propos d une société de travail temporaire. 49 Voir la revue de jurisprudence de l Institut de Santé au Travail du Nord de la France (ISTNF) disponible à l adresse suivante : 23

25 En cas de non-respect de cette obligation de consultation, l'employeur ou un de ses salariés (représentant du personnel compris) commet un délit d'entrave. 50 La Cour de cassation a, en effet, qualifié de délit d entrave le fait qu un employeur s abstienne de consulter le comité d entreprise de manière préalable sur une mesure modifiant les horaires de travail des salariés de l'entreprise et créant de nouveaux contrats de travail alterné. 51 Dans une autre affaire, l'employeur a également été poursuivi pour ce délit, alors même que le comité d entreprise avait été consulté, mais par le biais d'une simple communication lors d'une réunion. 52 Deux points doivent être soulignés s agissant du délit d entrave : il n est pas spécifiquement défini dans le Code du travail, les juges interprètent l élément intentionnel pour caractériser le délit d entrave, et toutes les institutions représentatives du personnel sont concernées (le délit d'entrave peut exister à l'encontre des délégués syndicaux, des délégués du personnel, du comité d'entreprise, du CHSCT, ainsi que des délégués de site). 53 Ceci dit, d autres obligations pèsent sur l employeur, et plus particulièrement l obligation de conformité de la loi du 6 janvier 1978 modifiée. II. L obligation de conformité avec la loi Informatique et Libertés L employeur, en tant que responsable du traitement des données de ses employés, est également soumis à un certain nombre d obligations et d interdictions en vertu de la réglementation sur la protection des données à caractère personnel. La loi du 6 janvier 1978 modifiée a créé des obligations à la charge de tout responsable de traitements, telles que l information des personnes concernées, la confidentialité et la sécurité des données, ou encore le respect des principes de finalité et de proportionnalité (A). Par ailleurs, s agissant des données dites sensibles, l utilisation de certaines est soumise à autorisation de la Commission Nationale Informatique et Libertés (CNIL) dès lors qu elles présentent un risque important sur la vie privée, et d autres sont simplement interdites de collecte sans le consentement exprès de la personne (B). A. Les obligations Informatique et Libertés de l employeur La loi du 6 janvier 1978 modifiée définit tout d abord les notions fondamentales de la réglementation relative à la protection des données personnelles, telles que la notion de 50 Ce délit est caractérisé lorsque l employeur porte atteinte volontairement, par action ou omission, à la constitution d'une institution représentative du personnel, à ses prérogatives, ou à son fonctionnement (voir article L du code du travail). 51 Cass. crim., 11 janv. 2000, no Cass. soc., 27 mars 2012, no : dans cette affaire le juge a considéré que l employeur n avait pas transmis au comité d entreprise d informations précises et écrites avant la réunion de consultation. 53 Le code du travail vise le délit d entrave pour chacune des institutions, aux articles L (exercice du droit syndical), L (désignation des délégués du personnel), L (comité de groupe), L (délégué syndical), L (rupture contrat de travail délégué du personnel), L (rupture contrat de travail élu du Comité d entreprise) et L (CHSCT). 24

26 données à caractère personnel, ou de responsable de traitement (1), et impose ensuite le respect d un certain nombre d obligations à la personne responsable de l utilisation des données nominatives (2) 1. Les notions de la loi a. Une donnée à caractère personnel L article 2 la loi pose la définition suivante : «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne». Les points de l article 2 qu il est important de retenir sont : Que toute donnée qui permet d identifier directement ou indirectement une personne est une donnée à caractère personnel. Ainsi nom, prénom, adresse postale, , numéro de téléphone, numéro de compte bancaire, numéro de sécurité sociale, photographie, données biométriques (voix, empreintes digitales, ) sont des données à caractère personnel au sens de la loi, mais aussi une plaque d immatriculation (car elle permet d identifier le titulaire du véhicule) ou encore une fonction ou qualité (car elles peuvent permettre directement de reconnaître une personne) ; Que toute information concernant des personnes physiques est une donnée à caractère personnel (les personnes morales ne sont pas visées par la loi). b. Le traitement des données Le traitement est défini comme suit par l article 2 de la loi du 6 janvier 1978 modifiée : «constitue un traitement de données à caractère personnel toute opération ou tout ensemble d opérations portant sur de telles données [sous-entendu données à caractère personnel], quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction». En outre, «constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés». La notion de traitement est donc très large et recouvre de nombreux cas de figure, qu il s agisse d une simple collecte d informations, d un fichier organisé (de type tableur par exemple) ou encore d une importante base de données, etc. Cette notion de traitement s applique aussi bien aux fichiers informatisés qu aux fichiers «papier», dès lors qu ils sont structurés, stables et accessibles selon des critères déterminés (exemple : armoire contenant des dossiers nominatifs classés). 25

27 c. Le responsable du traitement des données Si les deux notions précédentes sont facilement compréhensibles et transposables en pratique, la notion de responsable de traitements telle que définie par la loi est autrement plus compliquée. Aux termes de l article 3 de la loi du 6 janvier 1978 modifiée, «le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens». Or, il est parfois difficile d attribuer à une seule entité la détermination des moyens et des finalités d un traitement, notamment dans le cadre de certains contrats de sous-traitance. A ce propos, la loi du 6 janvier 1978 modifiée donne la définition suivante de la sous-traitance, différente de celle communément utilisée, «toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi». Dans le cas de la prévention des risques psychosociaux, les différents traitements mis en œuvre pour satisfaire l obligation de résultat (mesure/évaluation, prévention, gestion des alertes ou du risque avéré), soulèvent des questions sur la responsabilité du traitement. En effet, et comme développé dans les chapitres suivants, lorsque la décision de mettre en place des actions de prévention tels que des dispositifs d alerte, provient d une négociation entre un «Groupe» et les organisations syndicales, peut-on considérer que les entreprises composant le Groupe sont responsables du traitement? En d autres termes, si la finalité du traitement est déjà fixée dans des accords de groupe, des accords professionnels, des accords de branches, ou même dans des accords interprofessionnels nationaux, l entreprise qui ne fait que mettre en œuvre le traitement, doit-elle en porter la responsabilité? En l état, le projet de règlement européen relatif à la protection des données à caractère personnel, dans sa dernière version du 21 octobre 2013, pourrait apporter de nouvelles réponses à la question de la responsabilité des traitements de données personnelles ayant pour finalité la prévention des risques psychosociaux, puisqu il introduit la notion de responsabilité globale et de responsabilité conjointe ou coresponsabilité du traitement (Chapitre 4 du projet de règlement) 54. Les nombreux amendements déposés sur ces dispositions et l absence de réelle définition de ces notions ne permettent cependant pas de tirer d enseignements certains à l heure actuelle. 54 Proposition de règlement du Parlement Européen et du Conseil «relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)», 2012/011 (COD). 26

28 2. Les obligations du responsable de traitements La loi du 6 janvier 1978 modifiée énonce un certain nombre de principes que le responsable de traitements doit respecter, faisant naître des obligations à la charge du responsable de traitement et des droits pour les personnes concernées. a. L obligation d information des personnes Le principe de transparence, qui n est pas énoncé explicitement dans la loi du 6 janvier 1978 modifiée, est néanmoins appliqué dans plusieurs de ses dispositions. Alain Bensoussan définit le principe de transparence, appliqué à la citoyenneté numérique, comme impliquant «la connaissance par l individu de l existence et du contenu des éléments constitutifs de sa personnalité binaire [...]». 55 Le principe de transparence se retrouve dans l obligation pour le responsable de traitements de collecter les informations nominatives de manière loyale. L article 6-1 de la loi prévoit en effet que «les données sont collectées et traitées de manière loyale et licite». La loyauté de la collecte s exprime principalement dans le fait que les personnes concernées doivent être informées du traitement de leurs données personnelles. Ainsi, l article 32 de la même loi, sous le «chapitre V : Obligations incombant aux responsables de traitements et droits des personnes», impose au responsable de traitements ou son représentant (les soustraitant sont ici visés) d informer la personne concernée sur : - l identité du responsable du traitement et, le cas échéant, de celle de son représentant ; - la finalité poursuivie par le traitement auquel les données sont destinées ; - le caractère obligatoire ou facultatif des réponses ; - les conséquences éventuelles, à son égard, d un défaut de réponse ; - les destinataires ou catégories de destinataires des données ; - les droits qu elle tient des dispositions de la section 2 du chapitre V (droits des personnes à l égard des traitements de données) ; - le cas échéant, les transferts de données à caractère personnel envisagés à destination d un État non membre de la Communauté européenne. Le principe de transparence fait également naître des droits pour la personne concernée : puisqu elle doit être informée du traitement de ses données, elle a le droit d exprimer son consentement (ou son non consentement) préalable pour l utilisation de ses données à caractère personnel, et par conséquent, le droit d y accéder, de les rectifier, ou de s opposer a posteriori à leur traitement. Il convient de souligner que l obligation d information à l égard du salarié est également prévue dans le Code du travail par les articles L (information générale du salarié), L (information sur les techniques de recrutement), L (information sur les techniques d évaluation), L (information aux télétravailleurs). 55 Alain BENSOUSSAN, «Informatique et libertés», Ed. Francis Lefebvre, 2 ème ed., 15 mars 2010, p

29 Appliqué aux cas des traitements de données ayant pour but la prévention des risques psychosociaux, le principe de transparence impose au responsable de traitement d informer les personnes concernées sur tous les points évoqués plus haut. En outre, un droit d accès effectif aux informations nominatives ainsi traitées doit être garanti et comme soulevé dans les chapitres suivants, peut poser plusieurs difficultés. b. Proportionnalité et pertinence des données collectées (principe de finalité) Le principe de finalité est le cœur de la réglementation relative à la protection des données à caractère personnel : «la finalité définit le lien entre les données et le traitement. Elle permet de limiter le champ des usages, afin d éviter le détournement d utilisation. Ainsi, les traitements automatisés, ou manuels, ne peuvent porter que sur des données collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités (article 6 de la loi du 6 janvier 1978 modifiée)». 56 En d autres termes, la collecte et l utilisation des données nominatives n est légale que si elle poursuit un but précis et déterminé à l avance. Les principes de proportionnalité et de pertinence des données sont attachés au postulat de départ selon lequel toute donnée collectée sera utilisée pour une finalité définie : la catégorie de donnée nominative collectée est alors proportionnée, «non excessive», par rapport à la finalité recherchée. Il convient également de noter que l article L du Code du travail impose également le respect du principe de finalité, et donc de la proportionnalité et la pertinence des données à caractère personnel collectées, puisque «nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché». Les limites aux usages des données nominatives posées par le législateur sont un enjeu important dans la pratique, et notamment dans le cas des traitements de prévention des risques psychosociaux. En effet, la définition des risques psychosociaux étant très large et très vague, il est extrêmement périlleux de se prononcer aujourd hui sur les usages possibles des données personnelles collectées mais aussi sur la nature des données collectées dont le champ des possibles est extrêmement vaste dans le cadre de la prévention des risques psychosociaux. c. Durée de conservation (principe du droit à l oubli) Le «droit à l oubli» consiste à supprimer les données nominatives à l expiration de la durée nécessaire aux finalités pour lesquelles elles ont été originairement collectées. Le principe du droit à l oubli impose donc au responsable de traitements de ne pas conserver les données à caractère personnel «sous une forme permettant l identification des personnes concernées pendant une durée qui excède la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées» (voir article 36 de la loi du 6 janvier 1978 modifiée). Ce principe du droit à l oubli a ouvert pour les personnes concernées le droit de demander que leurs données soient, «selon le cas, rectifiées, complétées, mises à jour, verrouillées ou effacées» (voir article 39 II de la loi du 6 janvier 1978 modifiée). 56 Alain BENSOUSSAN, «Informatique et libertés», Ed. Francis Lefebvre, 2 ème ed., 15 mars 2010, p

30 A ce titre, il convient de noter qu une obligation de mise à jour des données pèse également sur le responsable de traitement qui doit les tenir «exactes, complètes et, si nécessaire, mises à jour» en vertu de l article 6-4 de la loi du 6 janvier 1978 modifiée. Dans le cas des traitements de données personnelles pour la prévention des risques psychosociaux, la question de la durée de conservation est centrale. Ayant une obligation de sécurité de résultat, l employeur doit impérativement conserver à des fins de preuves les données collectées, non seulement pour la mesure et la prévention, mais aussi dans les cas de risque avéré ou de signalement. Par ailleurs, et comme pour le droit d accès, le droit de suppression doit également être garanti. d. Obligation de sécurité (principe de confidentialité) Le principe de confidentialité des données à caractère personnel, tiré de l obligation de respect de la vie privée, impose au responsable de traitements d en assurer leur sécurité. En effet, aux termes de l article 34 de la loi du 6 janvier 1978 modifiée, «le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.» Par ailleurs, l article 35 de la loi étend cette obligation aux sous-traitants. L obligation de confidentialité des données personnelles pesant sur le responsable de traitement, et sur les sous-traitants, porte donc, d une part, sur la sécurité des données, puisqu il faut éviter que «des tiers non autorisés y aient accès» et, d autre part, sur l intégrité des données, puisqu il faut les préserver de toutes déformations ou endommagements. L obligation d assurer la sécurité des données nominatives est une obligation de moyen et non une obligation de résultat. Dans le cas d espèce, il est donc attendu de l employeur et/ou du sous-traitant qu il prenne les moyens nécessaires, au regard de la nature des données, pour assurer leur confidentialité vis-à-vis de tiers (détermination des personnes habilitées à en connaître et garantie que seules ces personnes peuvent y avoir accès) ainsi que leur intégrité (mise en place d un système de protection pour éviter toute violation ou endommagement de données.) e. Obligation de formalités préalables Le chapitre 4 de la loi du 6 janvier 1978 modifiée (articles 22 et suivants) impose au responsable de traitements d effectuer la formalité afférente à un traitement préalablement à sa mise en œuvre. Ainsi, en fonction des données traitées et/ou de la finalité du traitement, son responsable doit soit le déclarer (déclaration simple ou déclaration de conformité), soit procéder à une demande d autorisation à la CNIL, hors cas de dispense de déclaration. En pratique, cette obligation de formalité préalable est satisfaite à la réception par le déclarant d un récépissé délivré par la CNIL ou par la publication de la délibération autorisant la mise en œuvre du traitement. Cette formalité, purement administrative, est en réalité une condition essentielle de licéité du traitement. 29

31 En effet, même si tous les autres éléments de licéité sont respectés (proportionnalité, durée de conservation, information des personnes, consultation des représentants du personnel le cas échéant, sécurité des données, etc ), le traitement sera déclaré illicite par le juge si la formalité préalable n a pas été dûment effectuée. 57 Les obligations tirées de la réglementation relative à la protection des données et pesant sur les responsables de traitements sont assorties de règles spécifiques s agissant des données sensibles. B. Le traitement des données sensibles A titre de remarque, il convient de noter que la notion de données dites «sensibles» n est pas expressément visée dans la loi du 6 janvier 1978 modifiée. La qualification de sensible est le résultat soit d un arbitrage législatif, et dans ce cas un dispositif législatif qualifie expressément la donnée de sensible, soit d une appréciation subjective fondée sur une interprétation de ces données. En l absence d arbitrage législatif national, la CNIL et la doctrine d une manière générale a considéré que la donnée relative à la santé, celle relative à une infraction, et celle reflétant le comportement d un individu doivent être qualifiées de sensibles. 58 S agissant donc des données sensibles visées par les articles 8 et 9 de la loi du 6 janvier 1978 modifiée, certaines ne connaissent pas une définition claire (1), et toutes sont soumises à des conditions d utilisation strictes (2). 1. La définition des données sensibles Au-delà donc de la question de la qualification de sensibles des données nominatives, les trois catégories de données susmentionnées nous intéressant particulièrement dans le cadre des traitements de prévention et de gestion des risques psychosociaux, ne connaissent pas de définition précise. Cette non-définition représente un risque juridique supplémentaire pour le responsable de traitements. a. Le cas de la donnée de santé La donnée de santé ne connaît aucune définition en droit français. L article L du Code de la santé publique, relatif à la protection du secret des données des patients, impose une obligation de secret sur «les informations concernant la personne venues à la connaissance du professionnel de santé» puis fait référence aux «informations médicales.» Cette catégorie de données est très large ; l article L de ce même Code, relatif au droit d accès au dossier médical énumère ces informations de manière non limitative : des résultats d'examen, comptes rendus de consultation, d'intervention, d'exploration ou d'hospitalisation, 57 Exemples de décisions judiciaires sur le sujet : Cass.Com., 25 juin 2013, n (nullité d un contrat ayant pour objet la cession d un fichier de données nominatives non déclaré à la CNIL), ou dans le cadre de traitements de données des salariés : CA Paris, , T.Corr.DAX, , CA Bordeaux, Sur la question de la qualification de sensible de la donnée de santé, voir Jean-Marie JOB, «la loi Informatique et Libertés et les données de santé», Lamy Droit de l immatériel, 2008 n

32 des protocoles et prescriptions thérapeutiques mis en œuvre, feuilles de surveillance, correspondances entre professionnels de santé, etc. La qualification des données médicales comme données de santé ne fait donc aucun doute. Bien qu une nuance puisse être apportée puisque les données venues à la connaissance du professionnel de santé peuvent aussi être des habitudes de vie ou de consommation du patient. Qu en est-il alors des données non médicales, mais qui se rapportent, de près ou de loin, à la santé d une personne? Ces données dont la collecte se multiplie et qui représentent un enjeu économique important? Il serait aisé de cantonner la notion de donnée de santé aux données médicales. Ou plus justement, il serait sans doute opportun de différencier le régime juridique s appliquant aux données médicales (sécurité de l hébergement, personnel de santé comme unique destinataire, consentement express, etc.) de celui applicable aux autres données relative à la santé. En Belgique, la loi du 8 décembre 1992 modifiée relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel énonce que les données relatives à la santé correspondent à des données qui se rapportent à la santé. Le simple fait qu une information révèle une donnée relative à la santé ne suffit donc pas. 59 A titre d exemple, l autorité de contrôle belge a considéré qu une donnée biométrique utilisée pour le contrôle d accès n est a priori pas une donnée relative à la santé ; en revanche lorsqu elle est utilisée pour en déduire une information relative à l état de santé (ou en l espèce l origine raciale), cette donnée devra être considéré comme relative à la santé (ou sensible en l espèce). 60 Pour l heure cependant, tel n est pas le choix de la doctrine et des instances européennes. Dans un arrêt du 6 novembre 2003 de la Cour de Justice de l Union Européenne, le juge a considéré que l indication du fait qu une personne se soit blessée au pied et soit à temps partiel pour raisons médicales constitue une donnée à caractère personnel relative à la santé au sens de l article 8-1 de la directive 61. Le groupe de l article 29 a, quant à lui, réduit le périmètre en considérant comme données à caractère personnel relatives à la santé, celles qui présentent un lien clair et étroit avec la description de l état de santé d une personne, les données sur la consommation de médicaments, d alcool ou de drogue et les données génétiques. 62 Par ailleurs, le Conseil d Etat a considéré qu une base élève 1 er degré indiquant la mention de la classe d intégration scolaire et utilisant un code faisant apparaître le type de handicap ou de déficience des élèves, devait être regardée comme contenant une donnée à caractère personnel relative à la santé. A contrario, le Conseil n a pas qualifié la mention générique de 59 Karen Rosier, «Gestion des données à caractère personnel dans la relation de travail» in «Le droit du travail à l'ère du numérique : Les technologies de l'information et de la communication dans les relations de travail» sous la direction de Karen Rosier, ed.anthemis, 2011, p83 et s. 60 Avis d Initiative de la Commission de la Protection de la Vie Privée n 17/2008 du 9 avril 2008 relatif aux traitements des données biométriques dans le cadre de l authentification des personnes. 61 CJUE, 6 novembre 2003, affaire C-101/01 62 Groupe de l article 29, «Document de travail sur le traitement des données à caractère personnel relatives à la santé contenues dans les dossiers médicaux électroniques (DME)», 15 fév.2007, p.8 disponible sur 31

33 «l hôpital» ou «d institution spécialisée» comme relative à la santé des élèves, compte tenu de sa généralité. 63 Si le doute sur la qualification de certaines données comme données de santé est encore possible aujourd hui, force est de constater que le projet de règlement européen tranche en faveur d une définition extrêmement large de la donnée de santé. Le considérant 26 dudit projet énonce en effet : «[l]es données à caractère personnel concernant la santé devraient comprendre, en particulier, - l'ensemble des données se rapportant à l'état de santé physique ou mental d'une personne ; - les informations relatives à l'enregistrement du patient pour la prestation de services de santé ; - les informations relatives aux paiements ou à l'éligibilité du patient à des soins de santé ; - un numéro ou un symbole attribué à un patient, ou des informations détaillées le concernant, destinés à l'identifier de manière univoque à des fins médicales ; - toute information relative au patient recueillie dans le cadre de la prestation de services de santé audit patient ; - des informations obtenues lors d'un contrôle ou de l'examen d'un organe ou d'une substance corporelle, y compris des échantillons biologiques ; - l'identification d'une personne en tant que prestataire de soins de santé au patient ; - ou toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'une épreuve diagnostic in vitro». Les notions d état de santé et de prestation de services de santé ne sont malheureusement pas encore définies. La pluralité d interprétation de la donnée relative à la santé engendre une véritable insécurité juridique. Quelle pourrait-être la qualification d informations nominatives relatives au handicap, au ressenti du stress, au sommeil, ou encore faisant état d une crise de larmes, ou d un comportement désorienté? Ces données entre autres données, traitées par l employeur dans le cadre de la prévention et de la gestion des risques psychosociaux, sont-elles des données de santé au sens de l article 8-II.2 de la loi du 6 janvier 1978? Et par conséquent, quel régime juridique y est applicable? En tout état de cause, il parait difficile d exclure entièrement le traitement de données de santé quelle qu en soit sa définition dans le cadre de la prévention des risques psychosociaux : 63 CE, 19 juillet 2010, n

34 l objectif même des traitements mis en place étant précisément de garantir la santé physique et mentale des travailleurs. Enfin, il convient de souligner que la CNIL pourrait apporter de nouveaux développements puisqu elle prévoit de se positionner bientôt sur les contours de la définition des données de santé. b. Le cas de la donnée relative aux infractions La donnée relative aux infractions, qui est interdite de collecte sauf exception, n est également pas réellement définie par le législateur. Le terme «infraction» renvoie habituellement au droit pénal. Le dictionnaire juridique définit l infraction comme une action ou une omission violant une norme de conduite strictement définie par un texte d incrimination entraînant la responsabilité pénale de son auteur. Elle peut être constitutive d un crime, d un délit ou d une contravention en fonction des peines prévues par les textes. 64 Le pénaliste italien Francesco Carrara donne la définition plus générique suivante : la violation d'une loi de l'état, résultant d'un acte externe de l'homme, positif ou négatif, socialement imputable, ne se justifiant pas par l'accomplissement d'un devoir ou l'exercice d'un droit, et qui est puni d'une peine par la loi. L article 9 de la loi du 6 janvier 1978 modifiée vise les données relatives aux infractions, aux condamnations et mesures de sureté. L interprétation de la CNIL dudit article appelle deux observations : - Le champ d application de l article 9 s étend aux domaines civil, administratif, commercial et pénal ; - Et toutes les données pouvant conduire à la constatation et/ ou la qualification d infraction sont comprises. Ainsi, une information relative à une agression, ou du harcèlement, ou à un vol, susceptible de recevoir une qualification d infraction dans le futur, sera considérée comme une donnée relative à une infraction. Or, il convient de souligner que la présomption d innocence, droit fondamental de la défense, impose que la constatation et/ou la qualification de faits répréhensibles soient effectuées uniquement par, respectivement, un officier de police judiciaire et un magistrat. Peut-on donc considérer que la collecte et le traitement d informations identifiantes révélant des faits potentiellement légalement répréhensibles, mais non encore qualifiés d infraction, soient interdits au sens de l article 9 de la loi du 6 janvier 1978 modifiée? Les travaux préparatoires de la loi ne donnent malheureusement pas plus d informations sur l étendue de la notion de données relatives aux infractions. Pour l heure, la CNIL interprète la notion de manière extrêmement large. 64 Lexique des termes juridiques, 16 ème édition Dalloz,

35 c. Le cas de la donnée comportementale Des informations révélant le comportement ou une attitude d une personne peuvent être collectées et traitées dans le cadre de la prévention des risques psychosociaux. La nature de ces données peut présenter une certaine similarité avec celle des données relatives aux comportements et traitées dans le cadre de l évaluation des salariés. En tout état de cause, il semblerait que ces données n aient jamais été qualifiées ni par le juge ni par la CNIL. Dans la majorité des entreprises cependant, elles sont déjà traitées par les gestionnaires des ressources humaines à des fins de prévention et de gestion des risques psychosociaux. Mais pour des raisons de confidentialité, et aussi à cause de la sensibilité des données traitées, le sujet est rarement abordé. Le fait que les entreprises collectent et conservent des données relatives au comportement et/ou aux attitudes d une personne, dans le cadre de la prévention des risques psychosociaux n est donc pas nouveau. Le «canal de remontée classique», comme le qualifie la CNIL, se voit depuis toujours le réceptacle de descriptions de ressentis, de comportements, ou d attitudes, consignées ensuite dans des dossiers de suivi. La CNIL, questionnée oralement sur la qualification de cette typologie de données à caractère personnel, n a pas apporté de réponse précise. Aucune définition n est envisagée non plus par le projet de règlement européen. Bien qu il fasse entrer dans la catégorie des données à caractère personnel, les données comportementales, le considérant 21 du projet de règlement propose une définition du traitement des données comportementales portée exclusivement sur les problématiques marketing : «Afin de déterminer si une activité de traitement peut être considérée comme observant le comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur l'internet au moyen de techniques de traitement de données consistant à appliquer un «profil» à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit» 65. Force est donc de constater qu aucune qualification n a jamais été effectuée sur les données relatives au ressenti des personnes (peur, angoisse, fatigue, insatisfaction, injustice, etc ), et sur les données relatives au comportement (dans le sens des manières d être ou d agir, des attitudes) des salariés : par exemple comportement soumis ou passif, tranchant, dédaigneux, irrespectueux, manipulateur, etc. Le traitement de ces données dans le cadre de la prévention des risques psychosociaux devra donc faire l objet d une étude d impact sur la vie privée des personnes concernées. 65 Proposition de règlement du Parlement Européen et du Conseil «relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)», 2012/011 (COD). 34

36 2. Les conditions de traitement des données sensibles a. Les règles d utilisation des données sensibles L article 8-I de la loi du 6 janvier 1978 modifiée dispose : «Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.» Par exception, en vertu de l article 8-II et III de ladite loi, «[ ] ne sont pas soumis à l interdiction prévue au I, les traitements pour lesquels la personne concernée a donné son consentement exprès [ ] ou nécessaires à la sauvegarde de la vie humaine, [ ] ou si les données à caractère personnel visées au I sont appelées à faire l objet à bref délai d un procédé d anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la CNIL [ ]» En d autres termes, le législateur considère qu il est absolument interdit de traiter les données précitées sauf, notamment, si le responsable de traitements recueille le consentement exprès de la personne concernée et dans la mesure ou aucune autre loi ne prohibe le recours au consentement, ou que leur traitement est nécessaire à la sauvegarde de la vie humaine, ou qu il procède à leur anonymisation. Dans le cas du recueil du consentement, et de la sauvegarde de la vie humaine, la formalité à accomplir à la CNIL est une déclaration. En revanche, dans le cas de l anonymisation, il est nécessaire d effectuer une demande d autorisation. En outre, l article 9 de la même loi dispose : «les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par, (1) les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leur attributions légales, (2) les auxiliaires de justice, pour les stricts besoins de l exercice des missions qui leur sont confiées par la loi, et [ ] (3) les personnes morales mentionnées aux articles L et L du Code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d assurer la défense de ces droits.» Dans le cadre de la prévention et la gestion des risques psychosociaux, les employeurs ne peuvent donc pas traiter les données relatives aux infractions, condamnations et mesures de sureté. Toutefois, par exception, l article de ladite loi donne la possibilité de traiter des données relatives aux infractions, condamnations et mesures de sûreté après autorisation de la CNIL. L article 25-I-4 de la loi du 6 janvier 1978 modifiée ajoute l interdiction de procéder aux «traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d exclure des personnes du bénéfice d un droit, d une prestation ou d un contrat» sauf si une disposition législative ou règlementaire le prévoit. Ici ne sont donc pas visées des 35

37 catégories de données sensibles, c est le résultat du traitement, lui-même sensible, qui est soumis à restriction. Le législateur n a cependant pas prévu d interdiction ferme puisque même sans disposition législative ou règlementaire, il est possible d effectuer une demande d autorisation à la CNIL pour mettre en œuvre de tels traitements. Enfin, l article 25-I-7 de la même loi soumet à autorisation les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes. Pour résumer : Traitement de données sensibles Interdiction de traitement Exceptions Formalité préalable Traitement de données faisant apparaître : Consentement de la personne Déclaration normale - les origines raciales ou ethniques ; - les opinions politiques, philosophiques ou religieuses ; - l appartenance syndicale ; - relatives à la santé ou à la vie sexuelle. Oui Sauvegarde de la vie humaine Anonymisation Déclaration normale Autorisation Traitement de données relatives aux infractions, condamnations et mesures de sûreté. Non - Autorisation Traitement susceptible d exclure une personne du bénéfice d un droit, d une prestation ou d un contrat. Non Dispositions législatives ou règlementaires qui le prévoient Déclaration normale - Autorisation Traitement de données comportant des appréciations sur les difficultés sociales. Non - Autorisation b. Le régime d exception de l article 8 Comme exposé plus haut, s agissant des données interdites de traitement visées à l article 8 de la loi du 6 janvier 1978 modifiée, le législateur a levé l interdiction si, notamment, le responsable de traitements recueille le consentement de la personne concernée, ou procède à leur anonymisation, ou si leur traitement est nécessaire à la sauvegarde de la vie humaine. S agissant du consentement de la personne concernée pour traiter ses données personnelles dites sensibles, il doit être exprès. Cette dernière notion n est cependant pas définie par le 36

38 législateur. Le travail du Groupe de l article 29 66, et la doctrine de la CNIL sur ce point permettent néanmoins de conclure qu un consentement exprès est un consentement écrit. 67 Le consentement écrit se manifeste par une action positive de la personne concernée : par exemple via une case à cocher sur un formulaire. Il est néanmoins important de souligner que le consentement d un salarié en situation de subordination envers son employeur n est reconnu que si le salarié peut exercer un réel choix libre et éclairé 68. Or la jurisprudence considère que dans une majorité des situations présentant un choix au salarié, il ne peut pas réellement décider de manière libre et éclairée, puisqu il ne peut pas se dégager du lien de subordination. S agissant de l exception d anonymisation, la CNIL donne des préconisations à suivre lors de la mise en œuvre de questionnaires recueillant des données sensibles: 69 ne collecter les données qu'au niveau de finesse strictement nécessaire (ex : la totalité de la date de naissance n est pas toujours nécessaire) ; répartir les données, dont le croisement risque de lever l'anonymat, dans des fichiers ou des systèmes informatiques distincts (dans la procédure de collecte ou de saisie des données, il importe, autant que faire se peut, de cloisonner la collecte et la saisie des données) ; ne pas fournir systématiquement un logiciel d'interrogation généraliste, c'est-à-dire permettant de croiser n'importe quels critères ; interdire certains croisements dans les requêtes d'interrogation, notamment à partir du terminal informatique ; ne pas fournir de résultat si le nombre est situé en dessous de 10. Le bénéfice de cette dérogation suppose que les données soient collectées par le responsable de traitement sous une forme identifiante (directement ou indirectement) et que le procédé les transforme en données non identifiantes (directement ou indirectement). Le processus, sous le contrôle de la CNIL, vise donc à rendre de manière irréversible les données «non personnelles». Il convient de souligner que de nombreuses méthodes d anonymisation existent et répondent, selon le cas, aux exigences de la CNIL. 70 Enfin, s agissant de l exception de la sauvegarde de la vie humaine, l article 8-II.2 de la loi du 6 janvier 1978 modifiée vise les traitements nécessaires à la sauvegarde de la vie humaine, 66 Opinion 15/2001 relative à la définition du consentement, p.13-14, disponible à l adresse suivante : 67 Voir Lamy Droit du Numérique «Etude 593- l exception du consentement exprès», Une étude du parlement européen permet d'identifier les principales problématiques relatives au consentement des salariés: P. DE HERT et H. LAMMERANT, étude de la Direction Générale des Politiques Internes de l'union, dépatement C: Droits des citoyens et Affaires Constitutionnelles, «Protection of Personal Data in work-related Relations» avril 2013, disponible à l'adresse suivante: 69 Fiche pratique de la CNIL «l état des lieux en matière de procédé d anonymisation» consultable à l adresse suivante : 70 Voir le livre blanc de la société Net 2000 ltd, «Data Sanitization Techniques»,

39 mais auxquels la personne concernée ne peut donner son consentement par suite d une incapacité juridique ou d une impossibilité matérielle. Les travaux préparatoires de la loi précisent que cette hypothèse concerne, par exemple, «les fichiers des organisations humanitaires sur les personnes arrêtées ou disparues, ainsi que les situations d urgence notamment en matière de santé dans lesquelles le consentement de la personne concernée ne peut être recueilli, alors que sa survie ou celle d une autre personne est en jeu.» 71 En matière de risques psychosociaux il serait envisageable de s appuyer sur ces dispositions pour agir, sans recueillir son consentement, à partir du moment où il présente un risque important de suicide par exemple. III. L analyse par les risques L étude des risques encourus en cas de manquement aux obligations de l employeur obligation de conformité à la loi du 6 janvier 1978 modifiée et obligation de prévention des risques professionnels permet d appréhender les risques auxquels sont exposés les employeurs. Autrement dit, si l employeur est amené à choisir entre la conformité Informatique et Libertés et la prévention des risques professionnels, quelles sont ses options? A. Les risques engendrés par la loi Informatique et Libertés Les manquements aux dispositions relatives à la protection des données à caractère personnel donnent lieu à des sanctions principalement tirées du Code pénal. Ces sanctions peuvent être de nature administrative, civile ou pénale. En outre, le risque de plainte et de contrôle de la CNIL, ainsi que le risque image pesant sur l employeur ne sont pas à négliger. 1. Les sanctions administratives La CNIL, en tant qu autorité administrative indépendante, possède un pouvoir de sanction (article 17 de la loi du 6 janvier 1978 modifiée). Elle peut ainsi prononcer des avertissements, des mises en demeure adressées par lettre remise contre signature à tout responsable de traitements manquant aux obligations tirées de la loi du 6 janvier 1978 constatés lors d un contrôle, et des sanctions pécuniaires si l entreprise ne se conforme pas à une mise en demeure : maximum pour un premier manquement ; ou 5 % du chiffre d affaires hors taxes du dernier exercice clos, dans la limite de maximum en cas de manquement réitéré dans les cinq ans avec injonction de cesser le traitement ou retrait de l autorisation de mettre en œuvre. Enfin, la CNIL a le pouvoir de rendre publique une sanction. Sans être légalement considérée comme une sanction, la publicité des manquements d une entreprise peut constituer un 71 Alex TURK, Rapport du Sénat n 218 sur le projet de loi, adopté par l Assemblée Nationale, relatif à la protection des personnes physiques à l égard des traitements de données à caractère personnel et modifiant la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, Examen des articles, p

40 préjudice important en termes d image. Les décisions de la CNIL peuvent être contestées devant le Conseil d Etat. L étude des rapports annuels de la CNIL apporte les informations suivantes sur les sanctions effectivement prononcées : Mises en demeure Avertissements Sanctions financières Mises en demeure Avertissements Sanctions financières Source: Rapports d'activité annuels de la CNIL de 2004 à Les mises en demeure sont les sanctions les plus utilisées par la CNIL, tandis que les avertissements et les sanctions financières tournent généralement autour de 10 ou moins par an. D une part, la baisse significative du nombre de mises en demeure à partir de 2009 s explique par les décisions du Conseil d État du 6 novembre 2009 qui ont remis en cause le déroulement des contrôles opérés par la Commission. Plusieurs dizaines de procédures ont par conséquent été reportées ou annulées. «En volume donc, le nombre de mises en demeure reste inférieur à 2008 (90 en 2009 contre 126 en 2008) ainsi que le nombre de procédures de sanctions (10 contre 13).» 72 D autre part, la CNIL soulève que la baisse du nombre de mises en demeure est due au nombre important de clôtures de dossier (nombre de clôtures en 2011 : nombre de clôtures en 2010 : 67 - nombre de clôtures en 2009 : 75). 73 La mise en demeure étant avant tout utilisée par la CNIL comme un instrument permettant aux responsables de traitements de se mettre en conformité avec la loi du 6 janvier 1978 modifiée, les dossiers de mise en demeure sont clôturés avant que la sanction soit effectivement prononcée, les organismes régularisant leur situation plus rapidement. Les montants des sanctions financières les plus importants prononcés par la CNIL par année sont listés en annexe Rapport d activité de la CNIL 2009, p Rapport d activité de la CNIL 2011, p

41 2. Les sanctions civiles L employeur engage également sa responsabilité civile, en tant que personne morale, du fait des agissements de ses salariés. En effet, l employeur est responsable des actions de ses salariés. Il va, par exemple être tenu pour responsable civilement de la consultation de sites pédophiles par un salarié, ou d envoi de propos racistes ou diffamatoires via la messagerie de ce dernier. L employeur peut, en sa qualité de commettant, être déclaré par le juge responsable des agissements de ses salariés. 3. Les sanctions pénales L employeur, ou plus précisément la personne physique représentante du responsable de traitements, engage sa responsabilité pénale lorsqu elle traite des données à caractère personnel et peut être sanctionnée pour différents faits énumérés dans le tableau en annexe 2. Il convient de retenir que la plupart des manquements aux obligations Informatique et Libertés sont sanctionnés par 5 ans d emprisonnement et euros d amende. B. Les risques engendrés par les risques psychosociaux L employeur s expose également à des sanctions s il ne respecte pas la réglementation relative à la prévention des risques professionnels. En outre, les conséquences financières pour l employeur sont importantes. 1. La responsabilité de l entreprise L employeur, en tant que personne morale, qu il soit de droit privé ou de droit public ne peut être reconnu civilement responsable que dans l hypothèse où l accident de travail ou la maladie professionnelle est dû «à la faute inexcusable de l'employeur ou de ceux qu'il s'est substitués dans la direction» 74. Dans le cas où l employeur se dégage de sa responsabilité pour faute inexcusable, la réparation des préjudices subis par une victime d accident du travail ou de maladie professionnelle sera faite par l allocation de prestations de sécurité sociale de manière forfaitaire (voir l article L du Code de la sécurité sociale). Pour prouver la présence d une faute inexcusable, les juges ont énoncé deux éléments cumulatifs : l employeur doit avoir eu conscience du risque auquel il exposait le salarié ; l employeur ne doit avoir pris aucune mesure pour éviter l accident. 74 Article L du Code de la sécurité sociale 40

42 L étude de la jurisprudence montre cependant que le seul fait d avoir manqué à l obligation de sécurité de résultat suffit à caractériser la faute inexcusable de l employeur. 75 La reconnaissance d une faute inexcusable a pour conséquence d octroyer une indemnisation complémentaire à la charge de l employeur au salarié et le remboursement de la caisse primaire par l employeur de l ensemble des sommes versées. En outre, l employeur en tant que personne physique, ou plus précisément celui qui détient la plénitude des pouvoirs de direction sur le personnel peut voir sa responsabilité pénale engagée. Cette hypothèse, visée à l article L du Code du travail, punit d une amende de 3750 euros le fait pour l employeur ou son délégataire de méconnaître par sa faute personnelle les dispositions, notamment, de l article L D autres dispositions légales relatives à la prévention des risques psychosociaux viennent engager la responsabilité de l entreprise. Peuvent être cités : Les articles L à 3 du Code du travail et l article du Code pénal qui prohibent toute discrimination dans l entreprise. Les salariés prouvant une discrimination à leur égard sont fondés à prendre acte de la rupture de leur contrat de travail et à demander des dommages-intérêts qui peuvent être conséquents. 76 En outre, les personnes physiques coupables de discrimination peuvent être punies d une amende de euros ainsi qu une peine de 3 ans de prison. L article L du Code du travail prohibant tout agissement de harcèlement moral. Le salarié qui prouve avoir subi un harcèlement moral peut prendre acte de la rupture de son contrat de travail et demander des dommages-intérêts 77, même pour des faits antérieurs à la prise en charge de son affection par la sécurité sociale. 78 Les articles 121-2, 121-3, et et suivants du Code pénal relatifs aux délits non-intentionnels punissant tant les personnes physiques que les personnes morales, qui peut entraîner, dans le cas d un homicide volontaire, jusqu à 5 ans d emprisonnement et euros d amende. A titre d exemple, dans un jugement du 27 juin 2013 du Tribunal des affaires de la sécurité sociale de Versailles, la société Renault à été condamnée à verser euros de dommages et intérêts à la veuve et au fils d un salarié qui s était suicidé sur son lieu de travail. La faute inexcusable de l employeur a été reconnue au motif que ce dernier «aurait dû avoir conscience du danger auquel le salarié était exposé, dans le cadre de son métier». Le Tribunal lui reproche de ne pas avoir vérifié «les capacités d'adaptation de ses personnels à la nouvelle organisation» induite par le lancement du «contrat Renault 2009». Cette décision met l accent sur l obligation de sécurité de résultat des employeurs qui n'auraient pas identifié 75 Voir Michel BALTMAN, «l obligation de sécurité de résultat de la Cour de cassation en six étapes», Semaine sociale, Lamy, 2 fév.2007 et Jean-Philippe LHERNOULD, «obligation de sécurité de résultat : des arrêts Amiante à l arrêt Snecma, brève chronique jurisprudentielle d un univers en expansion.», Lamy Social Jurisprudence, 2008 n A titre d illustration, CA Paris, 5 mai 2010, n 08/08694 : une grande banque française a été condamnée à payer euros de dommages-intérêts à une ancienne salariée en réparation du préjudice subi du fait de pratiques discriminatoires (s y ajoutant les indemnités légales de licenciement et les écarts de salaires observés). 77 Voir les études et suivantes du Lamy Hygiène et Sécurité, «Harcèlement et violence au travail». 78 Cass. soc., 15 nov. 2006, no

43 et pris en compte les risques psychosociaux de leur organisation, ou ceux induits par les restructurations qu'elles mettent en œuvre Les conséquences financières Pour l heure les conséquences financières des risques psychosociaux ne sont pas réellement mesurables. Doivent cependant être pris en compte : Les conséquences financières des arrêts de travail en raison de pathologies psychologiques liées au travail (perte de productivité) ; La baisse de productivité en raison du mal-être et de la souffrance au travail ; La hausse des cotisations sociales AT/MP pesant sur l employeur et recouvrant les réparations d accident du travail ou de maladie professionnelle. Bien que le coût des risques psychosociaux soit pour l instant quasi inexistant pour l entreprise du fait de leur absence aux tableaux de maladies professionnelles, cas de psychopathologies liées au travail ont été identifiés lors des consultations de médecine du travail ; 80 Les dommages-intérêts à verser en cas de faute inexcusable de l employeur. 79 Jugement du Tribunal des affaires de la Sécurité Sociale du 27 juin 2013 non publié. Information disponible à l adresse suivante : 80 Rapport d activité de l Agence nationale de sécurité sanitaire de l alimentation, de l environnement et du travail (ANSES) cité dans le compte-rendu de la table ronde sur les risques psychosociaux tenue le 13 septembre 2012, premier volet «les risques psychosociaux, état des lieux» in Revue du droit du travail 2012, p

44 Chapitre 2. LA PREVENTION DES RISQUES PSYCHOSOCIAUX : PRATIQUE ET CONFORMITE L obligation de prévention présentée dans le premier chapitre de la présente thèse est mise en œuvre dans les entreprises par le biais de différents dispositifs, la négociation syndicale entraînant un accroissement sans précédent des pratiques de prévention. Nous présenterons dans une première partie une cartographie des acteurs de la prévention afin de comprendre où se place le CIL (I), puis dans une deuxième partie, les traitements de données mis en œuvre par les employeurs, leurs enjeux Informatique et Libertés, et les solutions de conformité proposées (II), et dans une troisième partie, un tableau récapitulatif des solutions de conformité proposées (III). Pour illustrer le présent chapitre, nous avons récolté les témoignages soit de personnes en charge de la mise en œuvre de la prévention des risques psychosociaux (service des ressources humaines), soit du CIL, au sein d un panel d organismes privés ou publics. Pour ce faire, un questionnaire anonyme a été préalablement envoyé et des entretiens téléphoniques d environ une heure ont été menés. 81 En amont, des questions ont été posées de manière informelle au téléphone à une juriste de la CNIL spécialisée dans les traitements des ressources humaines, et à la fin de l'analyse, une rencontre a permis de valider les solutions de conformité proposées et de soulever les questions restées sans réponse. Au départ, l idée était d effectuer un benchmark le plus exhaustif possible et ainsi présenter des solutions de conformité en adéquation avec la réalité des traitements mis en œuvre en pratique. Cependant, force est de constater qu il n a pas été aisé de recueillir ces informations. Tout d abord parce que le sujet est mal connu (un nombre de personnes très réduit dans les organismes y compris au sein de la CNIL connaît réellement les méthodes et les buts de la prévention des risques psychosociaux) ; ensuite parce que, comme tout sujet touchant les ressources humaines, et a fortiori les institutions représentatives du personnel, une chape épaisse de confidentialité semble entourer ces actions de prévention ; enfin, parce que la question de la conformité Informatique et Libertés semble ne pas avoir encore toucher une bonne partie des traitements mis en œuvre pour prévenir la santé des travailleurs. I. Les acteurs de la mesure, prévention et gestion des risques psychosociaux La première partie de ce chapitre dresse une cartographie des acteurs de la prévention des risques psychosociaux internes (A) et externes (B) à l entreprise, susceptibles de traiter ou de mettre en œuvre des traitements des données des salariés. L objectif est de comprendre où se place le CIL dans les projets de mesure, de prévention et de gestion des risques, à quel moment il est opportun pour lui d intervenir et auprès de qui (C). 81 Modèle de questionnaire en annexe 3. 43

45 A. Les acteurs en interne L organisation de la prévention des risques professionnels, qui dépend de la taille de l entreprise, compte de nombreux acteurs en interne : tout d abord l employeur et les salariés désignés pour l assister (1), ensuite l ensemble des salariés de l entreprise (2), puis les délégués du personnel, et plus particulièrement les membres du CHSCT (3), et enfin les différents personnels de santé (4). 1. L employeur, responsable de traitements En tant que responsable de traitements, et soumis à une obligation de sécurité de résultat, l employeur est l acteur principal de la prévention des risques psychosociaux. En pratique, ce sont des salariés du service des ressources humaines qui s occupent de la mise en œuvre des mesures de prévention. S agissant de la question de la responsabilité de l employeur sur les traitements relatifs à la mesure, la prévention et la gestion des risques psychosociaux, soulevée dans le chapitre 1, il convient de remarquer qu il est parfois difficile de l imputer à une seule entité. Par exemple, dans le cas d une expertise commanditée par le CHSCT et payée par l employeur, ou dans le cas d un accord de branche, l employeur n est pas réellement, au sens de la loi du 6 janvier 1978 modifiée, le responsable de ces traitements. L accord sur le phénomène des incivilités et des violences à l occasion des relations commerciales avec la clientèle que l Association Française des banques a signé en janvier 2010 avec 5 organisations syndicales, et qui s applique donc notamment à tous les organismes bancaires, peut être cité comme illustration. L accord prévoit de manière spécifique les mesures que les entreprises doivent prendre : «chaque incident donne lieu à signalement suivant une procédure propre à l entreprise. [ ] Des mesures d accompagnement prises en charge par l entreprise sont également mises en œuvre en cas de violences physiques ou de menaces graves, quelle qu en soit leur forme, pouvant porter atteinte à la santé mentale afin d apporter un soutien aux salariés après l incident : accompagnement médical, social, soutien hiérarchique, suivi psychologique. Ces mesures peuvent aussi, en tant que de besoin, être déployées dans les autres cas d incivilités. [ ] Le salarié, qui décide de porter plainte pour l agression dont il a été victime bénéficie, à sa demande, de conseils juridiques donnés par un juriste du service juridique de son entreprise, notamment sur les modalités d un dépôt de plainte. [ ] Des mesures d accompagnement en gestion des ressources humaines sont également mises en œuvre : les banques s engagent à étudier attentivement la demande de mobilité d un salarié, ayant subi des incivilités, au regard des postes disponibles.» La négociation syndicale précitée a donc abouti à un engagement de l employeur en vue de mettre en œuvre des traitements pour garantir la santé physique et mentale des travailleurs (finalités) et cela caractérisé par des mesures définies (moyens). 44

46 Cependant, et comme le montrent les quelques demandes d autorisation déposées par les organismes dans le domaine des risques psychosociaux, la CNIL considère que l employeur est responsable de ces traitements. 82 En revanche, en cas de sous-traitance, la responsabilité du traitement n est pas toujours évidente : les demandes d autorisation montrent que l employeur reste responsable, mais, interrogée oralement sur le sujet, la CNIL suggère que dans certains cas, le prestataire est responsable des traitements qu il effectue pour le compte de l employeur (voir infra). Par ailleurs, s agissant des personnes en charge de la mise en œuvre des traitements, la loi du 20 juillet 2011 n relative à l'organisation de la médecine du travail, impose en effet à l employeur, depuis le 1 er juin 2012, de se doter d une équipe de salariés pour l assister dans sa tâche. Il doit à cet effet désigner un ou plusieurs salariés compétents pour s occuper des activités de protection et de prévention des risques professionnels. Selon l'intitulé du Code du travail, une «aide à l'employeur pour la gestion de la santé et de la sécurité au travail». Si les compétences dans l'entreprise ne permettent pas d'organiser ces activités, l'employeur peut, après avis du CHSCT ou, en son absence, des délégués du personnel, faire appel à un intervenant extérieur (voir article R et suivant du Code du travail). Si tel est le cas, l employeur doit forcément recourir : soit aux intervenants en prévention des risques professionnels appartenant au service de santé au travail interentreprises auquel il adhère ; soit à des intervenants en prévention des risques professionnels dûment enregistrés auprès de l'autorité administrative disposant de compétences dans le domaine de la prévention des risques professionnels et de l'amélioration des conditions de travail ; soit aux services de prévention des caisses de sécurité sociale ; soit à l'organisme professionnel de prévention du bâtiment et des travaux publics ; soit à l'agence nationale pour l'amélioration des conditions de travail et son réseau. 82 Par exemple, en matière de discrimination et harcèlement : Délibération n du 28 février 2013 autorisant la société BOUYGUES TELECOM à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte professionnelle dédié à la lutte contre les violences et le harcèlement au travail ; Délibération n du 27 septembre 2012 autorisant la Manufacture Française des Pneumatiques Michelin à mettre en œuvre un traitement de données automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle permettant aux salariés de signaler des manquements à certains domaines de son code éthique ; Délibération n du 4 octobre 2012 autorisant la société LEGRAND à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle ; S agissant des incivilités : Délibération n du 18 juillet 2013 autorisant le rectorat de Poitiers à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la déclaration et le suivi des faits de violence dans les établissements scolaires ; Délibération n du 7 février 2013 autorisant la mise en œuvre par la Banque Nationale de Paris PARIBAS d un traitement de données à caractère personnel ayant pour finalité la gestion des incivilités. 45

47 2. L ensemble des salariés Si l employeur a une obligation de sécurité de résultat à l égard de ses salariés en matière de prévention des risques professionnels, le salarié a, pour sa part, un droit de retrait et surtout un devoir d alerte. Le droit de retrait lui permet de se retirer d une situation de travail dont il a un motif raisonnable de penser qu elle présente un danger grave et imminent pour sa vie ou sa santé. Le devoir d alerte du salarié lui commande de prévenir l employeur s il constate un danger grave et imminent pour la vie ou la santé des salariés ainsi que toute défectuosité dans les systèmes de protection 83. Ce devoir d alerte du salarié face aux risques psychosociaux fait de tout salarié un acteur potentiel de la mise en œuvre de traitement de données des salariés, sans même qu il soit besoin qu un dispositif de signalement «automatisé» soit mis en place dans l entreprise. Ainsi, par exemple, dans le cas de faits de harcèlement, ou tout autre risque de nature psychosociale, le salarié témoin, ou même victime des faits, se doit d alerter sa hiérarchie. A ce titre, il est intéressant de noter que de nouvelles dispositions législatives prévoient une protection spécifique pour les lanceurs d alerte en matière d environnement et de santé publique. En effet, la loi n du 16 avril 2013, relative à l'indépendance de l'expertise en matière de santé et d'environnement et à la protection des lanceurs d'alerte, prévoit que toute personne physique ou morale a dorénavant le droit de rendre publique ou de diffuser de bonne foi une information concernant un fait, une donnée ou une action, dès lors que la méconnaissance de ce fait, de cette donnée ou de cette action lui paraît faire peser un risque grave sur la santé publique ou sur l'environnement. L article 11 de la même loi spécifie en outre, qu aucune personne ne peut être écartée d'une procédure de recrutement ou de l'accès à un stage ou à une période de formation professionnelle, ni être sanctionnée ou faire l'objet d'une mesure discriminatoire, directe ou indirecte, notamment en matière de rémunération, de traitement, de formation, de reclassement, d'affectation, de qualification, de classification, de promotion professionnelle, de mutation ou de renouvellement de contrat, pour avoir relaté ou témoigné, de bonne foi, soit à son employeur, soit aux autorités judiciaires ou administratives de faits relatifs à un risque grave pour la santé publique ou l'environnement dont elle aurait eu connaissance dans l'exercice de ses fonctions. Toute disposition ou tout acte contraire est nul de plein droit. Des dispositions légales similaires ont été adoptées s agissant de la protection du lanceur d alerte dans les domaines de lutte contre la fraude fiscale et de la grande délinquance économique et financière, ou dans le domaine de la transparence de la vie publique Articles L et suivants du Code du travail. 84 Projet de loi adopté par l Assemblée Nationale le 3 octobre 2013 relatif à la lutte contre la fraude fiscale et la grande délinquance économique et financière, n 210 et loi du 11 octobre 2013 relative à la transparence de la vie publique n

48 Cette protection renforcée est un bon exemple de la tendance grandissante vers davantage de mesures législatives garantissant les droits des lanceurs d alerte, et qui pourrait dans un avenir proche s appliquer au domaine des risques professionnels. 3. Le CHSCT et le CE Les délégués du personnel ont un rôle particulier dans la mise en œuvre de la prévention des risques psychosociaux. Les articles L , L et L du Code du travail prévoient l association des représentants du personnel au dispositif de prévention au moyen de consultations obligatoires et générales du comité d'entreprise. Le comité d entreprise est une institution généraliste qui a compétence pour intervenir sur la santé des salariés. A ce titre, l'employeur doit obligatoirement lui communiquer certaines informations et il doit le consulter avant toute décision ayant une portée collective, la loi prévoyant même la nécessité d'un avis conforme pour certaines décisions. Autrement dit, l'employeur a une double obligation d'information et de consultation du comité d'entreprise en matière de santé et ne peut prendre certaines décisions sans l'accord de ce dernier. Le Code du travail prévoit également la création dans les entreprises de 50 salariés et plus, d'une institution de représentation spécifique : le comité d'hygiène, de sécurité et des conditions de travail. A défaut de mise en place de cette institution, les délégués du personnel sont investis d une partie de ses missions, sans moyens supplémentaires. Un CHSCT est créé à la charge de l employeur, et il a pour mission de : contribuer à la protection de la santé physique et mentale et de la sécurité des salariés ; contribuer à l'amélioration des conditions de travail ; effectuer des inspections et des enquêtes régulières (notamment en cas d'accident du travail) ; contribuer à la prévention en proposant des actions ou en suscitant des initiatives ; donner obligatoirement un avis sur le règlement intérieur et les notes de service ou tout autre document portant prescription générale et permanente en matière d'hygiène et de sécurité ; donner obligatoirement un avis sur toutes les décisions d'aménagement comportant des conséquences sur les conditions de travail des salariés. A noter que pour satisfaire à ces missions, l employeur doit donner les moyens au CHSCT de fonctionner (sous peine de se voir sanctionné pour délit d entrave), sous la forme d un crédit d heures de délégation, un droit de recourir à un expert sous conditions, une formation 47

49 renouvelée tous les quatre ans, et la protection contre le licenciement au même titre que les membres du Comité d entreprise. 85 Le CHSCT est donc l institution représentative du personnel la plus concernée, non seulement pour le suivi de l efficacité des mesures prises par l employeur en matière de prévention des risques, mais aussi pour être force de proposition sur les dispositifs à mettre en place pour la protection de la santé des salariés. En effet, le CHSCT a la possibilité de diligenter une expertise indépendante, dont la charge financière revient à l employeur. Le recours à une expertise, prévue aux articles L et R et suivants du Code du travail, est possible dans deux cas : lorsqu'un risque grave, révélé ou non par un accident du travail, une maladie professionnelle ou à caractère professionnel est constaté dans l'établissement ; en cas de projet important modifiant les conditions de santé et de sécurité ou les conditions de travail, prévu à l'article L En outre, les experts désignés par le CHSCT doivent être agréés par voie règlementaire pour une période n excédant pas 5 ans. Ainsi, pour presque toutes les entreprises interrogées dans le cadre de cette thèse, la décision de mettre en œuvre des mesures d évaluation, de prévention ou de gestion des risques psychosociaux provient soit d un engagement pris par l employeur dans le cadre d une négociation avec les représentants du personnel et/ou des délégués syndicaux, soit d une décision du CHSCT de recourir à une expertise, puis d ouvrir la négociation avec l'employeur. Enfin, il convient de noter que la multiplicité des instances représentatives du personnel entraîne l'existence de compétences concurrentes en matière de santé au travail, ce qui suppose que l'employeur veille au respect de doubles ou triples obligations, la loi organisant par ailleurs certaines collaborations entre les différents représentants du personnel. Autrement dit, les actions des instances représentatives sont à la fois concurrentes et complémentaires. En tout état de cause, toutes les instances représentatives du personnel ont pour mission de veiller au respect, par l'employeur, de ses obligations en matière sociale, et notamment de la réglementation relative à la santé des salariés. 4. Les professionnels de la santé Les professionnels de santé ont un rôle particulièrement important dans l évaluation, la prévention et la gestion des risques psychosociaux. Il s agit du médecin du travail, de l infirmière ou de l assistante sociale, du psychologue du travail le cas échéant. Ces 85 2 heures par mois dans les établissements de moins de 100 salariés, 5 heures dans les établissements de 100 a 299 salariés, 10 heures dans les établissements de 300 à 499 salariés, 15 heures dans les établissements de 500 à salariés et 20 heures dans les établissements de salariés et plus. Le crédit d'heures peut être librement réparti entre les représentants du personnel, sous réserve qu'ils en informent l'employeur. Les règles de gestion et de contrôle de ces heures de délégation sont les mêmes que celles applicables aux autres représentants du personnel. 48

50 personnels de santé peuvent être soit indépendants (s ils pratiquent en libéral), soit salariés de l entreprise. Dans la majorité des cas, ils sont présents tout au long de la chaîne de prévention : ils participent à l évaluation et à la mesure des risques en produisant des rapports et conseillant l employeur, ils mettent en œuvre les actions de prévention décidées, et sont indispensables à la gestion des cas à risque. Le médecin du travail, ou plus précisément le service de santé au travail a plusieurs compétences. La loi du 20 juillet 2011 n portant réforme de la médecine du travail pose une définition de la mission des services de santé au travail : ils ont pour mission exclusive d'éviter toute altération de la santé des travailleurs du fait de leur travail. Pour ce faire, ils : conduisent les actions de santé au travail, dans le but de préserver la santé physique et mentale des travailleurs tout au long de leur parcours professionnel ; conseillent les employeurs, les travailleurs et leurs représentants sur les dispositions et mesures nécessaires afin d'éviter ou de diminuer les risques professionnels, d'améliorer les conditions de travail, de prévenir la consommation d'alcool et de drogue sur le lieu de travail, de prévenir ou de réduire la pénibilité au travail et la désinsertion professionnelle et de contribuer au maintien dans l'emploi des travailleurs ; assurent la surveillance de l'état de santé des travailleurs en fonction des risques concernant leur sécurité et leur santé au travail, de la pénibilité au travail et de leur âge ; participent au suivi et contribuent à la traçabilité des expositions professionnelles et à la veille sanitaire. Le changement d'appellation de «médecine du travail» à «service de santé au travail» correspond donc à une double évolution : d'une part, la législation du travail ne vise pas uniquement la santé et la sécurité, elle vise la santé du salarié globalement considérée dans sa dimension tant physique que mentale, d'autre part, l'appellation de «services de santé», plus large que celle de «médecine du travail», appelle l'interdisciplinarité des services de santé au travail qui devront mobiliser des compétences techniques, médicales et organisationnelles en vue de la prévention des risques professionnels et de l'amélioration des conditions de travail et non plus des compétences exclusivement médicales. En outre, toute entreprise qui atteint certains seuils d'effectifs est tenue d'avoir un personnel infirmier, quelle que soit la forme du service de santé au travail auquel elle recourt. Le nombre d'infirmières ou d'infirmiers varie, d'une part, selon la catégorie d'entreprise ou d'établissement et, d'autre part, selon l'effectif employé dans l'entreprise ou l'établissement 86. Il convient de remarquer que si le médecin du travail est soumis à une obligation de secret professionnel (secret médical) au titre de l article du Code pénal, les autres personnels 86 Articles R à R du Code du travail 49

51 de santé tels que les infirmières, les assistantes sociales ou les psychologues ne le sont pas. Ils sont en revanche tous liés par des règles de déontologie en matière de secret professionnel. B. Les acteurs en externe De nombreux acteurs externes prennent également part à la prévention des risques professionnels, et du point de vue de la conformité des traitements de données personnelles mis en œuvre, sont susceptibles de représenter un risque. S agissant premièrement des sous-traitants impliqués dans la mise en œuvre de la prévention, de plus en plus d entreprises font appel à des prestataires pour effectuer leur diagnostic initial et évaluer les risques (mise en place et analyse des questionnaires thématiques par exemple), pour animer des formations ou groupes de parole (demi-journée gestion du stress ou formation au management), pour assurer un service d écoute psychologique (ligne téléphonique d écoute et de conseil) ou encore pour accompagner les salariés en difficulté (suivi et prise en charge psychologique des cas à risque). A n en pas douter, le nombre et la nature des offres de service présentes sur le marché ne fera qu augmenter dans les prochaines années. Pour la grande majorité des prestataires, ce sont eux qui collectent et traitent les données des salariés dans le cadre de la prévention des risques d atteinte à leur santé physique et mentale. Ils représentent l une des solutions pour assurer la confidentialité des données vis-à-vis de l employeur mais aussi l un des risques important en termes de sécurité. S agissant secondement des syndicats nationaux, ils jouent un rôle important quant à l étendue et la nature de l obligation de prévention des risques psychosociaux pesant sur l employeur. Bien qu ils n aient pas un lien direct sur les mesures de prévention prises, et donc sur les nouveaux traitements mis en œuvre par l employeur, ils négocient et prescrivent au niveau national des règles de prévention de plus en plus précises. Tel est le cas par exemple de l accord de branche sur le phénomène des incivilités et des violences à l occasion des relations commerciales avec la clientèle que l Association Française des Banques a signé en janvier C. Et le CIL Le CIL, qu'il soit interne ou externe à (aux) organisme(s) responsable(s) de traitement(s), dont l une des missions est de garantir la conformité avec la loi du 6 janvier 1978 modifiée des traitements de données à caractère personnel mis en œuvre par l employeur, peut donc se positionner à plusieurs niveaux, au vu des obligations de l employeur et des différents acteurs de la prévention des risques psychosociaux : 1. En amont des actions occasionnelles de prévention. Le CIL doit se rapprocher du service des ressources humaines et idéalement des instances représentatives du personnel et s assurer d être associé aux projets occasionnels de prévention des risques (questionnaires et autres baromètres de mesure, formations et groupes de parole, campagnes de prévention santé, etc ). Dans un premier temps, il est donc primordial de sensibiliser les personnes, au moins au niveau du service des ressources humaines, 50

52 en charge des actions de prévention des risques professionnels, sur l utilisation des données des salariés dans ce cadre. Dans un second temps, le CIL devra être associé automatiquement à tout nouveau projet afin de pouvoir s'assurer de leur conformité. En effet, la prise de connaissance par le CIL des nouveaux traitements via la communication interne (article sur l'intranet, note de service), n'est pas suffisante: si les détails du projet sont publiés, il est clairement trop tard pour l amender. 2. Au niveau des actions régulières de prévention. Le CIL doit s assurer de la conformité des traitements réguliers mis en œuvre en interne, pour la prévention des risques professionnels (utilisation des données du système d information RH, remontée des indicateurs de risques spécifiques, dispositif de signalement, etc.) en vérifiant auprès du service des ressources humaines les procédures des actions de prévention. Dans un second temps un audit de conformité pourra être effectué sur la réalité de la mise en œuvre de la procédure. 3. Les contrats avec les prestataires. Les contrats avec les prestataires, souvent négociés directement avec les instances représentatives du personnel, ne comportent pas toujours de clauses relatives à la protection des données. Les contrats existant doivent, dans la mesure du possible, être amendés et le CIL, ou un juriste sensibilisé, doit être associé pour tous les contrats futurs. En outre, des audits de conformité peuvent également être effectués chez les sous-traitants (possibilité à ajouter dans les clauses contractuelles). 4. L actualité des syndicats et associations professionnelles. Il est vivement conseillé de mettre en place une veille d actualité visant les travaux des syndicats nationaux et des associations professionnelles sur le sujet de la prévention des risques psychosociaux. En effet, les actions négociées et préconisées au niveau national ou de branche se retrouvant généralement rapidement reprises par les employeurs. Cette action de veille lui permet d'anticiper la mise en œuvre des nouveaux traitements et ainsi apporter son conseil bien en amont des réalisations. 51

53 II. Les actions de la prévention : mise en conformité L obligation de sécurité de résultat pesant sur l employeur en matière de risques psychosociaux lui impose de mettre en œuvre un certain nombre d actions visant la mesure, la prévention et la gestion de ces risques. Les actions de mesure, prévention et gestion des risques psychosociaux impliquent dans certains cas l utilisation des informations nominatives des salariés. Cette deuxième partie de chapitre n est pas destinée à lister exhaustivement les méthodes existantes d évaluation et de prévention des risques, mais à présenter les actions de l employeur entraînant le traitement de données personnelles des salariés, en révéler les problématiques Informatique et Libertés, et proposer des solutions de conformité. Les actions de prévention ne comportant pas de traitements de données (analyse organisationnelle ou structurelle de l organisme par exemple) ne seront donc pas présentées. Pour plus de clarté, et surtout dans la perspective de la problématique énoncée, le choix a été fait de présenter les actions de prévention des risques psychosociaux sous l angle des finalités des traitements de données effectuées. La finalité première et générale des traitements visés est la prévention des risques d atteinte à la santé physique et mentale et à la sécurité des travailleurs. L étendue de l utilisation des données du personnel de l entreprise pour cette finalité implique un nécessaire découpage. Ces traitements de données personnelles, relativement identiques chez tous les employeurs, peuvent effectivement être regroupés en trois grandes sous-finalités : L utilisation des données à caractère personnel des travailleurs pour l évaluation et la mesure des risques, L utilisation des données à caractère personnel des travailleurs pour la gestion des actions de prévention, L utilisation des données à caractère personnel des travailleurs et pour la gestion des cas de risques signalés et/ou avérés. Le travail d identification, de catégorisation, et surtout de délimitation des traitements effectués par l employeur dans le cadre de son obligation de prévention des risques professionnels s est avéré assez difficile. Il convient en effet de garder en mémoire que tous les traitements mis en œuvre dans le but de prévenir les risques d atteinte à la santé mentale et physique et la sécurité des travailleurs, forment une boucle d amélioration continue. Ainsi, les informations nominatives analysées lors de la phase d évaluation sont alimentées par les informations collectées lors des campagnes de prévention et des opérations de gestion des risques avérés, et les campagnes de prévention sont ciblées en fonction des résultats de mesures et d évaluation, et des informations recueillies lors des opérations de gestion des risques avérés. Dès lors, les distinguer est parfois réellement périlleux. De nombreux articles de doctrine et guides proposent des mesures et des plans d action pouvant répondre à l obligation de l employeur d assurer la santé et la sécurité des 52

54 travailleurs. Cependant, il est ici question de répertorier les mesures prises dans la pratique par les employeurs et qui nécessitent le traitement des données des salariés. A. Les actions d'évaluation et de mesure des risques La première étape imposée par le Code du travail est d évaluer les risques auxquels sont exposés les travailleurs. Le résultat de cette évaluation est ensuite consigné, notamment, dans le document unique 87. Cette première étape du plan de prévention des risques professionnels est une phase de diagnostic initial. L objectif est donc de détecter ou dépister les risques auxquels pourraient être soumis les travailleurs. 1. Description des traitements Plusieurs traitements des données des salariés sont mis en œuvre par les employeurs pour évaluer et mesurer les risques professionnels. a. Les documents obligatoires Tout d abord les données des salariés traitées par les employeurs sont utilisées pour l établissement des documents obligatoires. Les entreprises ont effectivement l'obligation de tenir des registres liés à la gestion du personnel et aux obligations sociales qui en découlent. Certains de ces registres sont spécifiques à la santé et à la sécurité des salariés, d'autres peuvent être utilisés dans ce cadre. Autrement dit, tous ces registres publics, tenus sous la responsabilité de l'employeur peuvent servir de base à l évaluation des risques psychosociaux : Le registre de sécurité qui regroupe l'ensemble des documents relatifs aux vérifications et contrôles mis à la charge de l'employeur au titre de la santé et de la sécurité au travail 88 ; Un bilan annuel de la situation générale de la santé, de la sécurité et des conditions de travail 89 ; Un bilan social si l'entreprise compte au moins 300 salariés 90 ; Le programme annuel de prévention 91 ; Le Document unique présentant les résultats de l'évaluation des risques professionnels à laquelle a procédé l'employeur 92. Ces documents font ressortir des statistiques uniquement : dans toutes les entreprises interrogées, les données des salariés sont presque toutes extraites du système d information des ressources humaines, et font l objet d une restitution anonyme. Pour une partie des 87 Article R du code du travail 88 Article L et suivants du Code du travail 89 Article L du Code du travail 90 Article L du Code du travail 91 Article R du Code du travail 92 Circulaire de la Direction des Relations du Travail n , 18 avril

55 informations, le concours du personnel de santé est nécessaire ; les données traitées dans le cadre de l évaluation des risques et détenues par les services de santé sont agrégées, souvent manuellement, par les membres du service de santé (médecin, infirmière, assistante sociale, psychologue, etc ). Les données traitées pour l établissement de ces documents obligatoires sont des informations relatives aux accidents du travail et aux maladies professionnelles (nombre, durée, nature, fonction, tranche d âge et sexe de la personne concernée, circonstances de l accident, etc.), les informations sur l organisation du travail et son contenu, les données relatives aux actions de prévention des risques (formations, ateliers, etc.). Dans le cas d une structure composée d un nombre conséquent de salariés, le risque d identification des personnes via ces statistiques est plutôt faible. Mais dans le cas d une petite structure, les croisements à partir du bilan social des statistiques concernant le sexe, de l âge et de la fonction par exemple peuvent parfois révéler le nombre de jours d absence d une personne pour arrêt maladie ou pour toute autre raison, sur une année. La forme et le contenu du document unique n est pas précisé ni légalement, ni réglementairement. Depuis quelques années (un ou deux ans pour la plupart), les entreprises interrogées ont inscrit dans leur document unique les actions de prévention des risques psychosociaux effectuées. Les employeurs renseignent ainsi les résultats de l évaluation d indicateurs qu ils ont spécifiquement mis en place pour mesurer les risques. Ces indicateurs se cantonnent aujourd hui dans la majorité des cas au taux d absentéisme. Il est toutefois possible pour l employeur de mettre en place d autres indicateurs, ceux de son choix, en fonction des risques propres à l entreprise. Les traitements visant les opérations d analyse d indicateurs spécifiques sont distincts de ceux requis pour l établissement des documents obligatoires. En effet, ils ne sont pas (encore) obligatoires. Les entreprises interrogées ont ainsi déclaré analyser : Le temps de travail (absentéisme, durée hebdomadaire, horaires atypiques, temps partiels) ; Les effectifs et organisations de travail (ancienneté, mouvement du personnel, rotation, cause de départ, télétravailleurs, travail temporaire ou extérieur) ; Le travail des instances représentatives du personnel (représentation, formation, communication, activités du CHSCT : recours à un expert, nombres d alertes en cas de danger grave et imminent) ; Les dépenses de prévention (formation des salariés, dépenses liées à la sécurité) ; La conciliation vie professionnelle/vie privée (nombres de congés et de primes liés à la situation familiale). Les réponses des salariés à des questionnaires ou baromètres occasionnels ou réguliers ; Des indications statistiques relatives à l utilisation des dispositifs d écoute psychologique ; 54

56 Des indications statistiques sur les signalements de cas à risques internes détectés ; Tout autre indicateur, quelle qu en soit la nature, permettant l évaluation d un risque identifié propre à l entreprise pourra être suivi et analysé dans un futur proche, en fonction des besoins. Cela pourrait être le cas par exemple d indicateurs de suivi des formations relatives à la santé effectuées par le personnel de l entreprise, ou de toutes autres mesures de prévention. b. Les questionnaires et baromètres En ce qui concerne les questionnaires (interrogation ponctuelle des salariés) et baromètres (interrogation régulière des salariés), les entreprises interrogées déclarent que les réponses données par les salariés sont anonymes. Dans la majorité des cas, l employeur fait appel à un sous-traitant soit un organisme agréé par le ministère du travail, soit un cabinet d expertise pour effectuer ces enquêtes. La prestation prévoit l élaboration du questionnaire (conjointement avec l employeur et/ou les instances représentatives du personnel), l examen des réponses et le rendu des chiffres. Certaines petites structures élaborent elles-mêmes les questionnaires, puis idéalement un membre du service de santé (psychologue ou infirmière) s occupe de l analyse des réponses et de la restitution à la direction des ressources humaines. Le constat est qu aucun des cas étudiés n a pleinement garanti l anonymat des réponses des salariés : soit les questions relatives à la fonction du salarié permettent de l identifier de manière certaine, soit l adresse IP ou autres données identifiantes sont collectées, et souvent les clauses de confidentialité du contrat ne sont pas suffisantes, voire inexistantes. Or, qu il s agisse des questionnaires utilisés lors de la phase initiale de diagnostic, ou des baromètres occasionnels ou réguliers, plusieurs catégories de données des salariés sont traitées, et souvent des données de santé, des données relatives à la vie privée, ou de comportement ou de ressenti des salariés (ressenti de stress, de harcèlement, de discrimination, etc.). Les types de questions suivantes peuvent ainsi être posées : «dans le cadre de votre travail, vous arrive-t-il de vous sentir agressé(e) par vos clients internes (service, direction, etc )», «êtes-vous inquiet(e) à l idée de perdre votre emploi?», «sentez-vous que votre travail vous prend tellement d énergie que cela a un impact négatif sur votre vie privée?», «considérezvous avoir fait l objet de violences psychologiques au travail au cours des 12 derniers mois?», «à quelle fréquence vous sentez-vous stressé(e)?», ou «à bout de force?», ou «irritable?», ou «émotionnellement épuisé(e)?», et même, «avez-vous déjà pensé au suicide?» Des questions sensibles et susceptibles de mettre le salarié en porte-à-faux sont également posées : «pouvez-vous faire confiance aux informations venant de votre hiérarchie?», «votre travail a-t-il un sens pour vous?», «diriez-vous que votre supérieur hiérarchique accorde une grande importance à la satisfaction de ses collaborateurs?», «diriez-vous que votre supérieur hiérarchique est compétent dans la planification du travail et la régulation de l activité?», ou simplement «considérez-vous que votre supérieur hiérarchique est compétent?» 55

57 A titre de remarque, un membre du service juridique de la CNIL, entendu dans le cadre d un rendez-vous de cadrage en prévision d une demande d autorisation, a considéré que les données relatives aux comportements des salariés ainsi qu à leurs ressentis ne sont pas qualifiées de données sensibles. c. Les statistiques d utilisation du dispositif de soutien psychologique Pour évaluer les risques psychosociaux, les employeurs suivent aussi les statistiques d utilisation des dispositifs éventuels d écoute psychologique qu ils mettent à la disposition de leurs salariés. Ces dispositifs ayant également une finalité de prévention des risques, les questions soulevées par la mission d accompagnement psychologique seront donc abordées infra. S agissant du suivi statistique d utilisation, il convient de noter que généralement, les dispositifs d écoute psychologique des salariés sont assurés par un prestataire, à part pour certaines petites structures dont l activité requiert un fort accompagnement psychologique et qui sont dotées en interne d un service dédié. Les statistiques sont donc dans la plupart des cas remontées par une procédure de reporting du prestataire à la direction des ressources humaines prévu dans le contrat. Les chiffres ainsi reportés servent également de base pour la facturation du service. La question de l'anonymat est aussi ici essentielle. Le simple fait qu'un salarié recoure au dispositif d'écoute psychologique doit être tenu confidentiel, et l'employeur ne doit pas en avoir connaissance. Les chiffres relatifs à l'utilisation du service, et servant la mesure et l'évaluation des risques psychosociaux, peuvent en effet être, dans une certaine mesure, identifiants. Peuvent ainsi être communiqués à l employeur : le nombre d appels traités par mois, le nombre d appels moyen par personne, par sexe, par tranche d âge, par cadre, noncadre et encadrant, par commerciaux et non-commerciaux, par situation de famille, par cause, par nature, par suivi psychothérapeutique, par facteur de stress, par orientation du suivi, et par état psychologique. Certains contrats passés avec des sous-traitants prévoient l'anonymat dès le départ, dès l'appel du salarié. Dans ce cas, l'appelant est identifié via un numéro aléatoire que lui attribue le prestataire, et qu'il peut mentionner à nouveau lors d'appels ultérieurs. Bien que l anonymat ne soit pas obligatoire une personne peut tout à fait communiquer son identité et son numéro de téléphone pour être recontactée cette procédure sert de garde-fou, et assure un premier niveau d anonymat. L identité, si elle est donnée par le salarié, sera dans tous les cas tenue confidentielle et ne sera pas transmise par le sous-traitant à l employeur. D'autres contrats par contre ne garantissent pas l'anonymat de l'appel. Le prestataire s'engage alors à conserver de manière confidentielle les éléments identifiants d'un appel (nom, prénom, fonction, numéro de téléphone, etc...) et à ne pas les communiquer à l'employeur. Il convient de noter que certaines prestations ne se cantonnent pas à de la seule écoute psychologique par téléphone: les services proposés s'étendent parfois à de l'écoute psychologique par messagerie instantanée ou par d'autres moyens numériques (ex. Skype), et/ou à de la gestion de crise. Dans ce dernier cas, les psychologues salariés du prestataire viennent sur place et effectuent des entretiens de groupes et individuels. Les conclusions des 56

58 psychologues sont ensuite transmises à la direction des ressources humaines sous forme nonnominative. En tout état de cause, il semble que la confidentialité des informations collectées dans ce cadre est en règle générale suffisante : les psychologues sont soumis au secret professionnel par un code de déontologie et les contrats avec les prestataires prévoient une interdiction formelle de divulgation des données des salariés. L objectif premier affiché par ces prestations est, avant tout, d aider les salariés en difficulté, et non, comme pour les questionnaires, que l employeur soit informé du mal-être de ses salariés. Les informations qui remontent à l employeur sont donc souvent correctement agrégées et non identifiantes (nombre d appels, typologie du problème, entreprise, statut du salarié, sexe, situation maritale, orientation du suivi et criticité). Une nuance pourrait être cependant apportée : il est possible que l employeur prévoie qu en cas de danger grave ou imminent pour la vie du salarié, le prestataire l alerte. d. Les chiffres des cas à risques Enfin, s agissant des données issues des dispositifs de signalement, le risque d identification des personnes (victime, témoin ou sujet de l alerte) est réel. En outre, les problématiques abordées lors de ces signalements sont souvent très sensibles. Les dispositifs d alerte ou de signalement d un cas à risque, qu ils soient automatisés et formalisés par une procédure, ou qu ils soient informels et non-automatisés, sont utilisés, d une part, pour gérer l alerte et son suivi (voir infra), et d autre part, dans un second temps, pour suivre les chiffres faisant ressortir les taux d exposition des salariés aux risques. Cette tendance est plutôt nouvelle, puisque pour l instant une seule entreprise interrogée prend en compte ces chiffres et les reporte dans le document unique. En pratique, les informations qui sont utilisées pour le suivi des situations signalées et/ou avérées sont relatives à la direction ou l établissement concerné, au type de problème (violence, agression, incivilité, etc ) avec une description précise des faits, aux solutions et aux suivis apportés, et, le cas échéant, aux conséquences sur la relation contractuelle avec le client ou l usager. Ces cas intéressent non seulement l employeur, mais aussi les délégués du personnel, et en particulier les membres du CHSCT. Il est donc constant que les délégués du personnel sont informés de toutes les situations à risque avérées, ensuite reportées dans le bilan annuel du CHSCT. A notre connaissance, les situations de maladie professionnelle, de violence et d agression y sont reportées, tandis que les situations de harcèlement et de discrimination n y sont pas encore. Bien que les données identifiantes des personnes concernées par ces situations (victime, auteur, témoin, etc.) ne soient pas communiquées aux délégués du personnel, force est de constater que dans la majorité des cas cependant, les membres du CHSCT connaissent leur identité : soit ils ont été eux-mêmes témoins et à l origine de l alerte sur la situation, soit ils ont été informés par les personnes concernées directement, soit ils font partie de l équipe en charge de la gestion des cas à risque. 57

59 La nécessité de conserver confidentielles les données recueillies lors de la procédure de gestion des situations à risque reste entière. Il apparaît donc important de formaliser une procédure de remontée des chiffres relatifs aux signalements en bonne et due forme. 2. Les enjeux Informatique et Libertés Plusieurs problèmes peuvent être identifiés s agissant de l utilisation des données des salariés pour la mesure et l évaluation des risques psychosociaux. a. Définition des finalités Le premier enjeu est relatif à la définition des finalités. Les traitements mis en œuvre lors de la phase initiale de dépistage des risques ont pour finalité principale l évaluation des risques d atteinte à la santé physique et mentale et à la sécurité des travailleurs. Il est donc question pour l employeur d évaluer et de mesurer précisément dans la mesure du possible l exposition des travailleurs aux risques d ordre psychologique et social. Pour ce faire, les entreprises interrogées utilisent toutes une technique de dépistage des risques à l aide d un questionnaire, intitulé par exemple «qualité de vie au travail», ou «santé et sécurité au travail.» Les questions posées dans ces questionnaires portent sur un éventail extrêmement large de domaines : organisation, management, équipe et environnement, problèmes personnels, problèmes de santé, temps de trajet, isolement, formation, communication, restauration, etc. De la même manière, les indicateurs que l employeur peut suivre pour mesurer l évolution de l exposition de ses salariés à des risques précis, comme par exemple les temps d utilisation d une application ou les heures supplémentaires pour le suivi du temps de travail, sont nombreux et divers ; ils dépendent des risques propres à l entreprise et donc ne peuvent être listés par avance. Or, le principe directeur de proportionnalité et de pertinence des données à caractère personnel de la loi du 6 janvier 1978 modifiée, impose à l employeur de ne collecter que les informations qui servent un but précis, et ne sont pas excessives au regard des finalités recherchées. Ces pratiques, l une consistant à dépister les risques par spectre large et l autre de suivre systématiquement des indicateurs sont donc dangereuses du point de vue de la protection des données à caractère personnel : il s agit d une part de récupérer le plus d informations possible et ensuite de les analyser pour en faire ressortir les points recherchés, et d autre part d ajouter des points de surveillance des salariés. Enfin, il convient de noter que dans un nombre important de cas constatés, la mise en place de questionnaires, et même d indicateurs de suivi de risques, est une décision issue d une négociation avec les instances représentatives du personnel, ou d un accord de groupe, de branche, ou national, que l entreprise se doit d appliquer. 58

60 b. Traitement des données sensibles Le deuxième enjeu est le traitement des données relatives à la santé, aux difficultés sociales, à la vie privée et au ressenti des salariés, voire à des infractions. Si les données analysées dans les documents obligatoires ne sont pas, pour la plupart, de nature sensible, les autres informations prises en compte pour l évaluation des risques, telle que celles traitées dans le cadre des questionnaires et baromètres, ainsi que celles remontées des dispositifs d écoute psychologique et de signalement des cas à risques, le sont. Par exemple, dans le cadre des questionnaires et baromètres, le salarié est interrogé sur la qualité de son sommeil ou sur la quantité de stress qu il ressent : en l état de la doctrine de la CNIL, elles sont considérées comme données relatives à la santé. De la même manière, les statistiques de l utilisation des dispositifs de soutien psychologique, et le cas échéant, d accompagnement social, comportent souvent la situation maritale du salarié, ainsi que des précisions sur le problème révélé (résumé des causes, état psychologique, facteur de stress, problème personnel ou professionnel, criticité, surendettement, etc.) faisant clairement apparaître des informations relatives à la santé ou à la situation financière personnelle du salarié. Enfin, les comptes rendus ou statistiques des situations avérées et/ou signalées, comportent presque toujours des données sensibles (ressenti du salarié, ou dans le cas d agression des données relatives à la santé et à des infractions.) Dans le cadre de la finalité d évaluation et de mesure des risques, il apparaît clairement que le traitement de ces données sensibles, néanmoins indispensables à l employeur, doit être fait soit avec l accord du salarié, soit sous une forme anonyme. En effet, l article 8 de la loi du 6 janvier 1978 modifiée fait exception à l interdiction de traitement des données sensibles dans le cas du recueil du consentement exprès ou d une anonymisation des données (voir infra). Il doit également être souligné qu en vertu du principe de proportionnalité et de pertinence des données, l identité des salariés n apparaît pas être nécessaire pour évaluer les risques psychosociaux. Le seul bémol qui peut être apporté à la nécessité d anonymisation est le cas particulier du dépistage des risques dans une direction précise de l entreprise ayant fait l objet d alertes. Les traitements mis en œuvre dans ce cas relèvent cependant d une finalité de prévention et seront donc traités plus loin. 3. Les solutions de conformité Les solutions de conformité proposées pour les traitements de données nominatives des salariés ayant pour finalité l évaluation et la mesure des risques d atteinte à leur santé physique et mentale sont les suivantes. a. Déterminer les risques recherchés La première étape pour le responsable de traitement pour mettre en conformité ses traitements d évaluation des risques psychosociaux serait de définir le(s) facteurs de risque(s) recherché(s). Ainsi, il pourra s assurer que les données collectées pour l évaluation ou la mesure d un risque sont bien proportionnées et non excessives. 59

61 Aujourd hui, les employeurs effectuent en effet une recherche élargie, destinée à sonder un nombre important de domaines, et soulèvent ensuite, à la lecture des réponses, les risques auxquels sont exposés les salariés. Le diagnostic initial, questionnaire ponctuel élaboré et analysé dans une majorité des cas par un prestataire extérieur est la meilleure illustration de ce dépistage à spectre large. Cette pratique s explique par le fait que les risques psychosociaux sont indéfinis et subjectifs, et aussi en raison des fortes pressions des instances représentatives du personnel dans ce sens. Toutefois, pour être conforme à la loi Informatique et Libertés, idéalement, il serait nécessaire de cibler en amont le risque recherché, et ainsi définir la finalité du traitement particulier mis en œuvre : un questionnaire «santé et sécurité au travail» est plutôt vague, quels sont en réalité les risques recherchés? L objectif du questionnaire est-il de dépister le stress, la souffrance et la violence au travail, le harcèlement, la pénibilité, l isolement, l équilibre vie privé/vie professionnelle, etc? En déterminant en amont le(s) risque(s) recherché(s), les informations nécessaires au suivi dudit risque (s agissant des indicateurs des risques spécifiques), et la proportionnalité et la pertinence des questions (s agissant des questionnaires et baromètres), seraient alors assurées. Dans la pratique cependant, l employeur est tenu de prévenir tous les risques. En ce sens, il sera difficile pour le CIL de demander de réduire le champ du périmètre des questions, l employeur devant agir sur tous les facteurs de risque. b. Anonymat et consentement Il convient tout d abord de distinguer les traitements pour lesquels les données utilisées sont directement recueillies de manière anonyme, cela peut-être le cas des questionnaires et baromètres, et les traitements pour lesquels les données sont collectées à l origine nominativement. S agissant des traitements pour lesquels les données sont recueillies directement de manière anonyme, l objectif recherché sera d éviter de soumettre le traitement des données des salariés à la loi du 6 janvier 1978 modifiée. En effet, s il n y a pas de données à caractère personnel données identifiant directement ou indirectement un individu les dispositions de la loi ne s appliquent pas. Dans le cas de l évaluation et de la mesure des risques, ces traitements de données anonymes ne peuvent viser en pratique que les questionnaires et baromètres, ainsi que, dans certains cas, des indicateurs de mesures (nombre de recours à un expert par le CHSCT, dépense de prévention et de sécurité, etc ). Pour satisfaire aux exigences de la CNIL relatives à l anonymat, et ceci même si l opération d analyse des réponses est effectuée par un soustraitant, l employeur devra donc veiller à ce que : Aucune question posée ne puisse identifier directement ou indirectement un salarié : une attention particulière devra être portée sur la fonction du salarié (parfois suffisante pour identifier une personne) ; 60

62 Aucune trace informatique pouvant identifier le salarié ne soit collectée : en particulier, aucun procédé destiné à éviter qu un salarié puisse répondre plusieurs fois au questionnaire n est basé sur des données l identifiant ; Aucun résultat statistique ne soit rendu si moins de 7 ou 10 personnes sont visées par ce résultat. Si les salariés sont identifiables, même indirectement, et même si la restitution par le soustraitant à l employeur est uniquement sous forme statistique, les dispositions de la loi du 6 janvier 1978 modifiée s appliquent, notamment l interdiction de traitement des données relatives à la santé. Dans la pratique, les questions posées dans les questionnaires et baromètres identifient indirectement très souvent les salariés, la direction des ressources humaines souhaitant des réponses les plus fines possibles : par exemple en recoupant les réponses relatives à l ancienneté dans l entreprise et dans le poste, la nature encadrante ou non de la fonction actuelle, la direction de rattachement, le sexe, la tranche d âge, etc Dans ce cas, les solutions de conformité décrites ci-dessous peuvent être adoptées. S agissant des traitements pour lesquels les données sont collectées à l origine nominativement ou identifiant indirectement une personne, c est-à-dire tous les autres traitements effectués afin d évaluer et de mesurer les risques psychosociaux, il convient de souligner en premier lieu que deux stratégies juridiques sont envisageables pour le traitement des données relatives à la santé : L une consiste à privilégier l anonymisation de ces données, en application de l article 8-III de ladite loi. Dans ce cas, les procédés d anonymisation, ceux utilisés en interne et ceux utilisés par les sous-traitants, doivent être préalablement autorisés par la CNIL. En outre, l article 8-III mentionne une anonymisation «à bref délai», or les remontées statistiques relatives aux situations à risque signalées et/ou avérés ou les statistiques d utilisation des services de soutien psychologique et d accompagnement social, d une part ne sont pas effectuées à bref délai et, d autre part, les données nominatives persistent dans d autres fichiers. L autre consiste à rechercher le consentement du salarié pour traiter ses données personnelles relatives à la santé pour, tout ensemble, l évaluation, la prévention et la gestion des risques d atteinte à sa santé mentale et physique et sa sécurité, au moment de leur collecte, en application de l article 8-II-1 de la loi du 6 janvier 1978 modifiée. Dans ce cas, le consentement du salarié doit être exprès et non équivoque, de préférence par écrit. Cette stratégie n induit toutefois pas qu aucune anonymisation soit nécessaire le principe de proportionnalité et de pertinence des données interdit en effet à l employeur de traiter des données qui ne seraient pas nécessaires à la finalité, dont, dans le cas de l évaluation des risques, l identité du salarié. La deuxième stratégie semble être la plus efficace pour le responsable de traitements, et pour la personne concernée, qui est donc informée et aura donné son consentement pour l utilisation de ses données personnelles relatives à sa santé. Ces données seront alors traitées de façon confidentielle, avant anonymisation avec l établissement de statistiques. 61

63 En second lieu, les mesures suivantes doivent être garanties par le responsable de traitement lors du traitement des données des salariés dans le but d évaluer les risques psychosociaux : S agissant de l utilisation des données relatives aux difficultés sociales, aux infractions, aux ressentis, à la vie privée et aux comportements des salariés considérées pour certaines comme sensibles effectuée dans le cadre de l évaluation et la mesure des risques, il convient de s assurer que, d une part, le traitement d origine de gestion des situations signalées et/ou avérées est conforme à la loi du 6 janvier 1978 modifiée (voir infra), et d autre part, que des mesures appropriées ont été prises pour que les personnes concernées ne puissent pas être identifiées. Les mesures suivantes peuvent être prises pour s assurer que les personnes utilisant le service de soutien psychologique et signalant les situations à risque ne puissent pas être identifiées lors de l évaluation des risques : Formaliser par une procédure la communication des informations non nominatives relatives à la gestion des situations à risques, au CHSCT et aux personnes en charge du suivi des risques psychosociaux ; Former les personnes en charge du traitement des situations à risque à une restitution non nominative ; S assurer que les destinataires des informations non identifiantes (délégués du personnel, personne en charge de la mesure des risques) n ont pas accès aux données nominatives ayant servi de base aux données restituées ; Dans le cas du recours à un prestataire (analyse des questionnaires, soutien psychologique, gestion de crise, etc ) s assurer de la présence des clauses de sécurité, de confidentialité, de durée de conservation et de destruction dans le contrat liant l employeur au sous-traitant. B. Les actions de prévention des risques L obligation de sécurité de résultat pesant sur l employeur lui impose, en réponse au diagnostic initial effectué lors de l évaluation et de la mesure des risques, de mettre en œuvre des actions de prévention des risques détectés, propres à l entreprise. Dans certains cas, il est nécessaire d utiliser les données à caractère personnel des salariés pour mener à bien ces actions de prévention. 1. Description des traitements Les traitements de données à caractère personnel des salariés, effectués dans le cadre des opérations de prévention des risques d atteinte à leur santé physique et mentale et à leur sécurité sont les suivants : 62

64 a. Les opérations de sensibilisation. L employeur effectue des opérations de sensibilisation de son personnel aux risques auxquels il est exposé. Ces opérations sont des actions de communication et des campagnes d information, via un affichage collectif sur l intranet ou l envoi personnalisé sur la messagerie professionnelle, incitant par exemple à utiliser les outils existant de prévention (soutien psychologique, médecine du travail, etc ). Elles peuvent également prendre la forme d interventions présentielles de prévention de la santé, effectuées par des professionnels auprès des salariés via des conférences ou des forums. Par exemple, une campagne de prévention aux risques induits par le travail sur écran (mesures à prendre contre l apparition des troubles musculo-squelettiques, ou la baisse de la vision), ou par le stress au travail (mesures à prendre pour gérer son énergie, respecter son cycle de sommeil, se maîtriser et prendre du recul), ou encore des conseils en nutrition, etc. Ces opérations de sensibilisation ne requièrent en général que l identité du salarié et, le cas échéant son adresse de messagerie professionnelle. Il arrive toutefois que des partenaires de santé, comme dans le cas de campagnes de prévention de l acuité visuelle ou auditive, recueillent, par le biais de tests, des informations relatives à l état de la vision et de l audition des salariés, considérées comme relatives à la santé. La participation à ces opérations de sensibilisation par les salariés est néanmoins laissée à leur initiative (volontariat). b. Les formations des managers et des salariés aux bonnes pratiques. Les entreprises interrogées déploient toutes des formations adaptées à la détection et à la gestion des risques auxquels elles sont exposées ou qu elles pourraient créer. Ainsi, les managers assistent, par exemple, à des formations sur la gestion des situations de conflits entre collaborateurs, ou sur la gestion de crise, ou sur les risques de harcèlement induits par l organisation du travail. De la même manière, les salariés dont le poste n est pas encadrant suivent des formations relatives à la gestion du stress, ou pour certains métiers en contact direct avec le client ou l usager, des formations spéciales à la gestion de la violence et de l agressivité. Dans ces cas, l employeur n utilise que les données nécessaires à la gestion des inscriptions aux formations (identité, fonction, date et heure de la formation, etc ). Les formations peuvent être dispensées soit par le service de formation interne, soit par un prestataire extérieur, soit dans certains cas par un membre du service de santé au travail (psychologue, assistantes sociales, etc.) c. Les actions visant la prévention des risques propres à l entreprise. A côté des actions de sensibilisation et de formation, l employeur peut être amené à mettre en place une quantité importante d actions en tout genre pour prévenir les risques psychosociaux propres à son entreprise. Il peut être donné comme exemples observés dans les entreprises interrogées : des projets d expérimentation visant l adaptation des procédures susceptibles de porter atteinte à la santé et à la sécurité des salariés ; par exemple une direction sera le pilote 63

65 d une expérimentation visant à mettre en place de nouveaux systèmes de management ; dans ce cas, les salariés de la direction concernée sont amenés à donner leur avis sur les mesures prises ; l adaptation des mesures de sécurité afin d assurer la prévention des risques professionnels. Il va être par exemple consigné l exposition d un salarié au bruit pendant une période donnée et noté les mesures prises pour y remédier. Le simple fait de ne pas recueillir ces données, et donc de ne pas adapter les mesures de sécurité au risque constaté, rend l employeur responsable pour faute inexcusable des éventuelles séquelles : ceci fut le cas d un employeur qui n a pas pris les mesures nécessaires pour prévenir l exposition d un de ses salariés aux cris de cochons dans une porcherie, et devenu sourd. 93 Ce traitement de données se rapproche dans sa mise en œuvre des traitements effectués pour adapter le poste de travail d un salarié handicapé ; Les opérations de dépistage de situation à risque. Le dépistage ciblé de situation à risque via des questionnaires ou des entretiens individuels est à mi-chemin entre la mesure et la prévention des risques : l employeur effectue par exemple des actions de dépistage dans une direction donnée ayant déjà fait l objet d alertes ; L organisation d ateliers ou groupes de parole : l employeur peut diligenter un prestataire extérieur, ou, sur la demande des délégués du personnel, proposer des groupes de parole et ateliers animés par le service de santé au travail. Ces groupes de paroles et atelier, sur le stress par exemple, ont la particularité d inciter les salariés à partager leurs expériences et ressentis (que les formations et sensibilisations ne permettent pas forcément) ; La mise à disposition d applications informatiques de prévention des risques psychosociaux, comme par exemple des outils en ligne de mesure de la fatigue, de la charge de travail ou du stress ; L ouverture d un espace d échange, physique ou numérique, sur les difficultés rencontrées par les salariés, de toutes natures confondues ; Toutes les actions d amélioration des conditions de vie des salariés, par exemple une garderie ou l aide pour la garde d enfants, un service de conciergerie, des actions de convivialité telles que des activités sportives ou des espaces de détente ou de massage. L employeur peut prendre toutes sortes de mesures relatives au suivi et à la limitation du temps de travail, des heures supplémentaires, ou des accès aux outils informatiques hors temps de travail, etc. Les actions menées dans le but de prévenir les risques d atteinte à la santé et à la sécurité des travailleurs, peuvent être issues d un plan d action de prévention ou pas. Certaines sont basées sur le volontariat et d autres sont obligatoires. 93 Jugement du Tribunal des Affaires de la Sécurité Sociale du Jura rendu le 11 septembre

66 d. Le service de santé au travail La prévention des risques d atteinte à la santé physique et mentale des travailleurs est également effectuée par le service de santé au travail. Les employeurs sont dotés d un service de santé au travail se composant obligatoirement d un médecin du travail, et peuvent également comprendre infirmières, assistantes sociales, psychologues, ergonomes, etc. Les professionnels de santé sont donc amenés à traiter les données relatives à la santé des travailleurs, mais aussi à leurs difficultés financières et sociales, à leurs comportements et ressentis, et toute autre donnée nécessaires à leur prise en charge. Comme exposé supra, les membres du service de santé au travail peuvent être salariés ou extérieurs à l organisme. La plupart des professions représentées dans le service de santé au travail sont tenus au secret professionnel, obligation tirée, soit de l article du code pénal, soit d un code de déontologie. e. Le dispositif de soutien psychologique Dans leur démarche de prévention, les employeurs sont de plus en plus nombreux à offrir un service de soutien psychologique 24h sur 24, 7 jours sur 7 à leurs salariés. Comme mentionné plus haut, ces prestations sont la plupart du temps assurées par un organisme spécialisé extérieur, à part pour certaines petites structures dont l activité requiert un fort accompagnement psychologique et qui sont dotées en interne d un service dédié. C est le cas par exemple des associations humanitaires, qui proposent un soutien psychologique interne aux expatriés présents sur le terrain. Dans le cas d une sous-traitance du service, certains organismes prestataires sont habilités en qualité d intervenant en Prévention des Risques Professionnels (IPRP). L INRS explique leur mission de la manière suivante : «les intervenants en prévention des risques professionnels peuvent avoir des profils très variés : psychologues, ergonomes, toxicologues, etc. Ils sont indépendants ou font partie d un service de santé au travail ou d une entreprise. Ils peuvent donc être habilités en tant que personne physique ou morale, au titre d une ou plusieurs compétences (technique, scientifique, ou organisationnelle).» Ils interviennent pour apporter une approche pluridisciplinaire en prévention aux services de santé au travail et aux entreprises. Pour obtenir leur habilitation pour exercer le métier d IPRP, deux critères sont nécessaires : une qualification professionnelle (titres et diplômes) et une expérience professionnelle (au moins 3 ans dans le domaine de la prévention des risques professionnels). L habilitation est valable pour une durée de 3 à 5 ans. En règle générale donc, les entreprises font plus volontiers appel aux organismes habilités pour des missions de prévention des risques psychosociaux, et particulièrement s agissant du soutien psychologique. En pratique, il a été observé que les prestations ne se cantonnent plus à de l écoute par téléphone, certaines proposent un soutien psychologique par messagerie instantanée (Chat), ou par vidéoconférence (Skype), créant ainsi une quantité de nouvelles problématiques Informatique et Libertés. Les dispositifs de soutien psychologique observés possèdent les caractéristiques suivantes : 65

67 certains contrats prévoient l anonymat des appelants et d autres non ; tous intègrent une procédure de reporting à la direction des ressources humaines sur l utilisation du service, et certains une procédure d alerte si une situation grave et imminente menace la vie d un salarié ; les dispositifs sont toujours facultatifs, basés sur le volontariat, et n entraînent aucune conséquence sur le salarié, qu il l utilise ou non. 2. Les enjeux Informatique et Libertés Les traitements mis en œuvre dans le cadre des actions de prévention des risques psychosociaux soulèvent plusieurs difficultés. a. L identification des traitements La première difficulté s agissant des actions de prévention des risques psychosociaux tient dans le fait qu il est aujourd hui impossible d en déterminer la nature et l étendue. D une part l identification des traitements comme relevant des risques psychosociaux, c est à dire ayant pour finalité la prévention des risques d atteinte à la santé mentale des travailleurs, n est pas évidente. La mise en place d une conciergerie ou d une aide à la garde d enfant, l adaptation des postes de travail, ou des mesures de sécurité, la mise en place d espaces d échange sur les difficultés des salariés, etc. sont autant de mesures qui ne sont pas forcément d un premier abord des actions de prévention des risques psychosociaux. D autre part les exemples évoqués plus haut ne présagent pas des nouveaux moyens que l employeur pourra utiliser demain. Cette multitude d actions, et donc de traitements, complique le travail d inventaire et de mise en conformité du CIL. En conclusion, il est presque impossible de déterminer d une façon globale les données nécessaires aux traitements mis en œuvre : il faut étudier tous les traitements au cas par cas pour assurer, notamment, la proportionnalité et la pertinence des données. b. Les données relatives à la santé et la vie privée Les actions de prévention des risques psychosociaux nécessitent pour certaines le traitement des données relatives à la santé et à la vie privée des salariés. Il peut être cité à titre d exemple les réponses à un questionnaire mis en œuvre pour dépister des risques ciblés dans une direction ayant déjà fait l objet d alertes, ou encore les données traitées lors de l adaptation des mesures de sécurité, lors du soutien psychologique apporté, et souvent lors des actions d amélioration de la vie du salarié (conciergerie et aide à la garde d enfant). Or, si dans la plupart des actions de prévention il est possible de recueillir le consentement du salarié pour traiter ces données c est le cas pour les mesures «mises à disposition» du salarié, et requérant donc son volontariat force est de constater qu en raison de l obligation de résultat de sécurité de la santé mentale et physique des travailleurs, il arrive dans la pratique qu il n en soit pas toujours ainsi. 66

68 Dans le cas de l adaptation des mesures de sécurité ou du dépistage des risques d une direction ou d un établissement spécifique par exemple, l employeur, tenu de garantir la santé physique et mentale des employés concernés, peut mettre en place des actions de prévention obligatoires. S agissant de l adaptation des mesures de sécurité, «l adaptation du travail à l homme» pour reprendre les mots de l article L du Code du travail, qui vise d ordinaire la santé physique, peut être transposée à la santé mentale. Ainsi, comme pour l exposition au bruit ou autres contraintes physiques, l employeur doit adapter le poste de travail aux contraintes d ordre social et psychologique induites par les missions du salarié. C est le cas des mesures prises pour prévenir les risques liés à un poste en relation directe avec la clientèle ou les usagers. Pour ce faire, l employeur se voit donc dans l obligation de recueillir et de traiter des informations organisationnelles et des données relatives à la santé mentale des travailleurs (souffrance, niveau de stress, bien-être, etc.). S agissant du dépistage des risques spécifiques d une direction ou d un établissement suite à des signalements : l obligation de l employeur d éviter et de faire cesser les risques dont il a connaissance et pesant sur ses employés, lui impose dans certains cas de recueillir des informations relatives à la santé mentale et à la vie privée des salariés. L objectif de telles actions (questionnaires, entretiens en groupe et individuels) est double : fournir un espace d écoute où les difficultés des salariés sont prises en compte, et dépister précisément les problématiques soulevées. c. Les traitements des professionnels de santé Les professionnels de santé, qu ils appartiennent au service de santé au travail, qu ils soient salariés de l entreprise, ou qu ils exercent un soutien par le biais d un service fourni par un sous-traitant, traitent presque exclusivement des données relatives à la santé physique et mentale des travailleurs. La première question Informatique et Libertés à laquelle il doit être répondu, et qui conditionne l analyse de conformité est de savoir si la responsabilité des traitements mis en œuvre par les personnels de santé pèse sur l employeur, ou pas. 3. Les solutions de conformité a. Proportionnalité et pertinence des données traitées Une attention particulière doit être portée sur la proportionnalité et la pertinence des données traitées par l employeur et nécessaires aux actions de prévention des risques psychosociaux. En effet, comme il est encore impossible de déterminer les catégories de données personnelles traitées, l option de conformité que le CIL doit prendre est la vérification systématique de la proportionnalité des données utilisées et leur pertinence au regard de la finalité du traitement. Par exemple, les informations nécessaires à l organisation des formations, ateliers, groupes de parole sont relatives à l identité du salarié et à son inscription à l événement. De la même manière, si l application informatique de mesure de la fatigue ou du stress a pour finalité exclusive le suivi par le salarié de son bien-être, aucune information identifiant le salarié ne doit être traitée par l employeur. 67

69 Concernant les diverses actions d amélioration de la vie du salarié, les données nécessaires à l inscription aux services peuvent être traitées par la direction des ressources humaines, les autres informations sont traitées exclusivement par les membres en charge du service (crèche d entreprise, service évènementiel, etc.). S agissant du suivi et de la limitation du temps de travail, il convient d assurer la pertinence des données et, notamment via la détermination des destinataires des informations, qu aucun détournement de finalité ne puisse être effectué. Il s agit en effet de pouvoir prendre les mesures d organisation nécessaires face à un temps anormal de travail, et non de prendre des mesures disciplinaires individuelles en cas d insuffisance. b. L intervention du personnel de santé S agissant particulièrement des traitements des données relatives à la santé des salariés nécessaires aux actions de prévention des risques d atteinte à leur santé mentale adaptation des mesures de sécurité, actions de dépistage des risques spécifiques d une direction ou d un établissement, espaces d échanges sur les difficultés des salariés, atelier de sensibilisation, soutien psychologique, etc. devraient être systématiquement mis en œuvre par des professionnels de santé, et non l employeur (direction des ressources humaines). Dans la pratique, cela est le cas dans presque toutes les situations : l adaptation des mesures de sécurité intervient à la demande du médecin du travail, les ateliers de sensibilisation sont animés par des professionnels de santé, le soutien psychologique par le psychologue, les espaces d échange sur les difficultés, s ils sont formalisés, sont souvent animés par un intervenant extérieur. Mais, dans le cas des actions de dépistage de risques spécifiques, la mise en œuvre est volontiers laissée à la direction des ressources humaines alors qu il serait préférable qu un intervenant extérieur ou bien un psychologue, analyse les réponses aux questionnaires et mène les entretiens individuels ou en groupe. Cette solution permet, d une part, d augmenter la confidentialité des réponses apportées par les salariés et créer un cadre de confiance, et d autre part, d assurer la conformité de ces traitements avec la loi du 6 janvier 1978 modifiée. c. La responsabilité des personnels de santé sur les traitements qu ils effectuent En vertu de l article 3 de la loi du 6 janvier 1978 modifiée, «le responsable d un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens.» Or, en l espèce, l indépendance dont dispose tout professionnel de santé dans l exercice de ses fonctions respectivement tirée de l article R du Code de la santé publique pour le médecin, l article R du même Code pour les infirmières, du titre I-3 du code de déontologie des psychologues, l article 7 du code de déontologie de l association nationale des assistants de services sociaux lui octroie autonomie décisionnelle et liberté d action. Il 68

70 décide des finalités des traitements qu il effectue, et des moyens nécessaires à leur mise en œuvre. Il y a lieu de considérer que le professionnel de santé, qu il soit salarié ou non de l entreprise, ou qu il soit membre du service de santé au travail ou sous-traitant indépendant ou salarié, est responsable des traitements qu il met en œuvre dans le cadre des actions de prévention des risques psychosociaux. Cette position est également défendue par la CNIL interrogée oralement sur la question. Il convient cependant de souligner que les autorisations accordées par la CNIL incluent les prestataires 94 et personnels de santé, sans pour autant les qualifier ni de coresponsable de traitement, ni de sous-traitant. Cette imprécision ne permet donc pas de considérer qu en cas de recours à un prestataire ou aux personnels de santé, la CNIL les jugera automatiquement responsable de leurs traitements, et qu une argumentation en ce sens sera nécessaire. Si le prestataire ou personnel de santé est considéré comme responsable de ses traitements, deux précautions doivent toutefois être prises par l employeur : Dans le cas d une prestation extérieure fournie par une société de droit privée, il convient d ajouter au contrat : o Une clause de confidentialité spécifique vis-à-vis de l employeur ; o Une clause de responsabilité de conformité de ses traitements avec la loi du 6 janvier 1978 modifiée, et notamment de son obligation d effectuer les formalités déclaratives auprès de la CNIL. Devra être ajouté aux contrats de travail des personnels de santé salariés de l entreprise : o Une clause rappelant leur responsabilité pour ses traitements ; o Une clause rappelant leur obligation de confidentialité et engageant ainsi l employeur à leur fournir les moyens nécessaires pour assurer la sécurité des données relatives à la santé. 94 Par exemple : délibération n du 7 mars 2013 autorisant VEOLIA ENVIRONNEMENT à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte dédié à la lutte contre les discriminations. 69

71 C. Les actions de gestion des risques avérés Après la phase d évaluation et de mesure, le processus de prévention des risques est complété par des dispositifs de signalement ou d alerte permettant de remonter à l employeur l existence d un risque avéré. L obligation de sécurité de résultat de l employeur lui impose en effet de mettre en place des procédures de gestion des accidents, des comportements de harcèlement ou de discrimination, des cas de violence, d agression ou d incivilité, de stress ou de mal-être en général, etc. 1. Description des traitements a. Les dispositifs de signalements et d alertes Ces dispositifs prennent différentes formes : ils peuvent être une boîte aux lettres électronique dédiée sur laquelle les personnes signalent la situation par mail, un formulaire disponible sur l intranet qu il suffit de compléter et d envoyer à un destinataire identifié, une ligne téléphonique dédiée, ou même une application informatique spécifique permettant de déclarer des incidents. Dans certains cas, le dispositif prévoit l intervention d un prestataire externe, dont la mission est d aider et d accompagner les salariés dans ses démarches auprès de l employeur. Il convient cependant de noter que dans plusieurs entreprises interrogées, aucun dispositif automatisé n est mis en œuvre : les situations avérées et/ou signalées sont traitées par une procédure spécifique de remontée hiérarchique, considérée par la CNIL comme non automatisée. Les données traitées nécessaires à la gestion des situations signalées et/ou avérées, de la déclaration de l incident à la clôture du dossier, ont souvent un caractère sensible. Il s agira de données relatives à la santé mentale des travailleurs, à des comportements et ressentis, à des faits potentiellement pénalement ou civilement répréhensibles dans les cas d agression, de violence, de harcèlement ou de discrimination et toutes autres données nécessaires à la gestion de la situation. Les risques les plus importants soulevés par ces dispositifs sont le détournement de finalité - l utilisation des informations traitées dans le cadre de ces situations pour d autres fins, et leur divulgation, intentionnelle ou non. S agissant du périmètre et des finalités des dispositifs de signalement, ils ont pour la plupart des cas observés été limitativement définis : la gestion des situations signalées et/ou avérées de harcèlement moral et sexuel, de discriminations, de conflits au travail, de stress, de souffrance et de violence au travail, d incivilités ou d agressions, etc. Il est donc question des situations «graves», ou «avérées» et non de la gestion courante des demandes des salariés, gestion effectuée par les consultants ou gestionnaires «RH». S agissant des personnes autorisées à utiliser les dispositifs de signalement, la plupart des entreprises ne donnent cette possibilité qu aux seuls personnels liés par un contrat de travail avec l employeur. En d autres termes, les stagiaires, intérimaires, prestataires extérieurs et anciens salariés ne sont pas autorisés à utiliser les dispositifs. Par ailleurs, certains dispositifs d alerte prévoient la possibilité qu un témoin puisse déclarer une situation dont il aurait eu 70

72 connaissance. Cette éventualité trouve son pendant dans les dispositifs non automatisés avec l alerte donnée par le médecin du travail (droit d alerte du médecin, ou d un délégué du personnel). Une autre situation soulevant des difficultés peut être évoquée : celle de l utilisation du dispositif par un mineur, en contrat de professionnalisation, contrat jeune, contrat d alternance, etc. Une situation signalée et/ou avérée est, dans tous les cas ayant pu être observés, gérée par des membres destinataires de la direction des ressources humaines spécialement formés, notamment aux relations sociales, à la gestion de crise et à la confidentialité. Cependant, les destinataires des informations relatives aux situations signalées et/ou avérées intègrent aussi, dans la pratique, les délégués du personnel. En effet, il est courant que des comités comprenant les membres de la direction des ressources humaines en charge de la gestion des cas à risque, des délégués du personnel et des membres du service de santé au travail, se réunissent pour discuter des situations avérées sans forcément conserver confidentiel l identité des personnes concernées. Les dispositifs de signalement sont pour la plupart facultatifs, mais certaines entreprises interrogées ont rendu obligatoire la déclaration d incivilité ou d agression, ou dans certains cas des incidents de sécurité, que la situation implique des clients ou usagers, ou que seuls des salariés soient concernés. S agissant de l information donnée aux personnes concernées, une note informative relative à la mise en place des dispositifs est généralement effectuée en amont. L information des personnes concernées est aussi effectuée lors du signalement : lorsqu un témoin signale une situation, la victime et/ou l auteur des faits sont entendus en entretien individuel. Il arrive néanmoins que l auteur des faits allégués ne soit informé qu après la prise de mesures conservatoires (récupération des preuves). L information des personnes concernées par la gestion d une situation signalée et/ou avérée permet également, en même temps, de recueillir le consentement de l émetteur de l alerte ou le cas échéant de la victime, pour traiter ses données sensibles. S agissant de l accès aux informations recueillies et traitées dans le cadre de la gestion des situations signalées et/ou avérées, le droit d accès de toutes personnes à ses données entraîne un risque important de divulgation de l identité du lanceur d alerte ou des témoins. Par ailleurs, pour des raisons de confidentialité de l instruction, certaines entreprises considèrent que les informations non communiquées directement par une des personnes concernées mais recueillies lors de l enquête ne devraient pas être communiquées, notamment à la personne faisant l objet de l alerte. Dans la pratique, aucune entreprise interrogée n encourage l anonymat de l émetteur du signalement, considérant, de façon pragmatique, que l identité du lanceur d alerte est nécessaire pour l enquête, et a pour effet de limiter les cas de dénonciation calomnieuse. Enfin, s agissant des conditions de sécurité et de conservation des informations traitées nécessaires à la gestion des situations signalées et/ou avérées, il convient de souligner qu aucune entreprise interrogée n a pris de précautions particulières de sécurité dans le cadre des échanges d information : ils s effectuent par mail non chiffré. En revanche, les personnes 71

73 en charge de la gestion des cas conservent les dossiers numérisés sur un espace de stockage dédié et protégé, et les dossiers papier sont en général conservés en armoire sous clef, et dans tous les cas physiquement séparés des dossiers personnels des salariés. b. L accompagnement social Un service d accompagnement social est parfois proposé au salarié en sus des dispositifs de signalement des situations à risque, dans une démarche de gestion des risques d ordre psychologique et social et d amélioration des conditions de vie des salariés. L accompagnement social est une aide aux salariés rencontrant des difficultés d ordre financier ou social, et qui consiste à leur dispenser des conseils et à les accompagner dans les démarches administratives. Ce service est rempli par des assistants sociaux soit salariés de l entreprise, soit externes (service de santé au travail ou prestation extérieure). Comme exposé supra, l indépendance dont jouissent les assistants sociaux dans l exercice de leur travail, et tirée de l article 7 du code de déontologie de l association nationale des assistants de services sociaux, en font des responsables de leurs traitements au sens de la loi du 6 janvier 1978 modifiée. En conséquence, les mêmes solutions de conformité que celles applicables aux personnels de santé, et présentées plus haut, leur sont applicables. 2. Les enjeux Informatique et Libertés a. Le détournement de finalité Les enjeux principaux des traitements de gestion des risques psychosociaux, et particulièrement ceux effectués dans le but de gérer les signalements avérés ou non de situations à risques, sont relatifs au détournement de finalité et aux risques de divulgation pouvant entraîner de graves conséquences pour les personnes concernées. Ainsi, la majorité des personnes interrogées en charge de la gestion des situations signalées et/ou avérées, ont soulevé la problématique du détournement de finalité : par exemple dans le cas d une salariée se plaignant de faits allégués de harcèlement ou de discrimination de la part de sa hiérarchie et qui n a pas vu son contrat à durée déterminée renouvelé ; ou le cas d une personne ayant déclaré sa souffrance au travail se voyant surveillée puis licenciée. b. Le traitement des données sensibles Les traitements mis en œuvre pour la gestion des risques psychosociaux comprennent obligatoirement des données relatives à la santé physique et mentale des salariés et/ou relatives à des infractions, et des informations sur leurs situations sociales, familiales ou financières. En outre, dans le cas de situations de discrimination, des informations faisant apparaître les origines raciales ou ethniques, les opinions religieuses, l appartenance syndicale, etc. peuvent être recueillies. 72

74 Par ailleurs, dans le cas d un signalement d agression et d incivilité, le traitement du signalement peut conduire à l exclusion d une personne du bénéfice d un droit, d une prestation ou d un contrat et aucune disposition législative ou réglementaire ne le prévoit. Or, en application de la loi du 6 janvier 1978 modifiée, la conformité de ces traitements est subordonnée à des conditions strictes, leur légalité est soumise, pour certains, à l obtention d une autorisation de la CNIL c. Le cas des alertes non automatisées Les alertes relevant des faits de harcèlement, de discrimination, de violence au travail, ou de mal-être, sont gérées par la direction des ressources humaines depuis toujours. Les procédures s y afférant sont propres à chaque entreprise, mais contiennent toutes un point de départ le signalement par la personne concernée, le médecin du travail, le supérieur hiérarchique, ou tout autre témoin, généralement effectué par mail puis l ouverture d un dossier numérique et/ou papier instruit sous la forme d une enquête au cours de laquelle plusieurs pièces et preuves sont collectées, et enfin une prise de décision et un suivi jusqu à la clôture. Or, ces procédures de gestion des situations signalées et/ou avérées, ne procèdent pas d une automatisation : aucune boite mail, ou ligne téléphonique ne sont dédiées à la remontée automatique de l information. Dès lors, la CNIL semble considérer que ces traitements, utilisant les mêmes données sensibles précitées que dans le cas des traitements dits «automatisés», s ils doivent être en conformité avec la loi du 6 janvier 1978 modifiée, ne sont pas soumis à son autorisation. Or, l article 25-I-3 de la même loi soumet à son autorisation les traitements, automatisés ou non, portant sur des données relatives à des infractions, condamnations ou mesures de sûreté. Comme mentionné supra, des informations relatives à des faits potentiellement répréhensibles pénalement (discrimination, harcèlement, violence, etc.) peuvent également être traitées dans le cadre de la gestion de situations signalées et/ou avérées, ne provenant pas d une remontée dite automatisée. De même, des informations relatives à la santé sont presque systématiquement traitées. Le processus d anonymisation de ses informations, servant ensuite à la mesure et l évaluation des risques pesant sur les salariés, devrait être soumis à autorisation, indépendamment du caractère automatisé ou non du traitement (voir l article 8.III de la loi du 6 janvier 1978 modifiée.) En revanche, en vertu des articles 25-I-4 et 7 de la loi du 6 janvier 1978 modifiée, la soumission à autorisation de la CNIL des traitements de données comportant des appréciations sociales et ceux susceptibles d exclure une personne du bénéfice d un droit, ne vaut que si les traitements sont automatisés. En d autres termes, il apparaît nécessaire d inclure également les traitements dits non automatisés dans la demande d autorisation portant sur les dispositifs de signalements d atteinte à la santé physique et mentale des travailleurs. 73

75 d. Le cas des incivilités et agressions La difficulté soulevée par les traitements mis en œuvre afin de gérer les signalements des cas d incivilités et d agressions tient dans le fait que les personnes concernées par les traitements ne sont pas forcément les mêmes que dans les autres cas. En effet, les autres dispositifs de signalement ne contiennent que les données des salariés tandis que les cas d incivilité ou d agression impliquent également celles de tiers : les clients, prospects ou usagers. Les données personnelles de personnes qui ne sont pas liées au contrat de travail avec l entreprise peuvent donc figurer dans les documents de gestion de l alerte. La CNIL pourra donc considérer qu ils ne peuvent pas être inclus dans la demande d autorisation visant les traitements ayant pour finalité la gestion des atteintes signalées et/ou avérées à la santé physique et mentale des travailleurs, et qu il faut donc effectuer une demande d autorisation distincte. Cependant, plusieurs arguments peuvent être avancés pour soutenir l inclusion des signalements des cas d incivilités et d agressions dans la demande d autorisation visant les traitements ayant pour finalité la gestion des atteintes signalées et/ou avérées à la santé physique et mentale des travailleurs : La finalité est la même : dans presque tous les cas observés, la mise en place de ces dispositifs provient d une négociation avec les instances représentatives du personnel, poussant l employeur à surveiller et contrôler le nombre et le type d agressions, et à accompagner le salarié (dépôt de plainte, suivi psychologique, etc.). Ainsi, la finalité du traitement n est pas la gestion de la relation commerciale, mais bien la gestion des risques d atteinte à la santé physique et mentale du salarié. Dans la plupart des cas en effet, les données collectées sont relatives à l incident et aux suites données à l incident. Si les données d identification du client peuvent être traitées, les raisons de la rupture contractuelle avec le client n est sont pas forcément précisées et conservées par écrit. Il convient en effet de différencier les traitements tels que ceux mis en œuvre par les organismes financiers en application de leur accord de branche «incivilité et agression» 95, et les autres traitements ayant pour but la gestion des situations signalées et/ou avérées d atteinte à la santé des salariés, dont font partie les incivilités et agressions de la part de la clientèle (insultes, échanges agressifs, discrimination sexuelle ou racisme, etc.) auxquelles les employés sont soumis. Les risques sur la santé mentale des travailleurs engendrés par ses situations (stress, dépression, enfermement psychologique, etc.) en témoignent les suicides médiatisés des salariés en contact avec la clientèle sont les raisons pour lesquelles l employeur met en place de telles procédures de suivi des incidents. La demande d autorisation telle que proposée vise plusieurs dispositifs de signalements qui ont chacun un périmètre différent et défini, que chaque responsable 95 Accord du 16 décembre 2009 relatif aux incivilités et violences avec la clientèle, disponible sur : &cidTexte=KALITEXT &idConvention=KALICONT &dateTexte=

76 de traitements doit recenser, et qui peuvent tous être gérés différemment (avec ou sans prestataires, etc.) 96. Les catégories de données traitées sont similaires : les autorisations portant sur les dispositifs de signalement de faits de harcèlement, de discrimination et d incivilité reprennent les catégories de données proposées dans l autorisation unique AU 004, à savoir, l identité, la fonction et les coordonnées de l émetteur de l alerte, de la personne faisant l objet de l alerte, et des personnes intervenant dans le traitement de l alerte, les faits signalés, les éléments recueillis dans le cadre de la vérification de ces faits, le compte-rendu des opérations de vérification, et les suites données à l alerte 97. Les bases légales sont les mêmes : si les bases légales utilisées pour l autorisation des dispositifs de signalement des faits de harcèlement, de discrimination, d atteinte à la santé et à la sécurité des travailleurs (quel que soit ce qui est visé en pratique), sont les articles 6-3, 7-5 et 25-I-4 de la loi du 6 janvier 1978 modifiée, les bases légales utilisées pour l autorisation des dispositifs de signalements des faits d incivilités et d agressions sont les articles 25-I-3 et 25-I-4. Or, tous les dispositifs observés de signalement d atteinte à la santé mentale et physique des travailleurs peuvent requérir, hormis le traitement de données visées à l article 8-I de la même loi (données personnelles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de cellesci), le traitement des données visées à l article 25-I-3 (données relatives aux infractions, condamnations et mesures de sureté), à l article 25-I-7 (appréciation sur les difficultés sociales), et les traitements visés à l article 25-I-4 (pouvant conduire à l exclusion du bénéfice d un droit ou d un contrat). 96 Plusieurs autorisations peuvent être citées à titre d exemple : la délibération n du 10 novembre 2011 autorisant la société EDF SA à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte professionnelle, qui regroupe «les accusations de harcèlement moral ou sexuel, de violences morales ou verbales, les mesures altérant fortement les conditions de vie au travail ; les comportements de discrimination ; la divulgation d informations strictement confidentielles ; Les situations de conflits d intérêts tels que définis dans le Mémento éthique d EDF (cadeaux non autorisés, relations intéressées avec les fournisseurs, etc.); les actes de pollutions directes et indirectes ayant des conséquences importantes sur l environnement.». De même, la délibération n du 8 novembre 2012 autorisant la société l Oréal à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte professionnelle, et qui regroupe les domaines «comptable, financier, bancaire, détournement d actifs ; la lutte contre la corruption ; les pratiques anticoncurrentielles ; le respect des droits de l Homme, tels que visés dans la Déclaration des droits de l Homme adoptée par l Assemblée générale des Nations Unies le 10 décembre 1948 ; l interdiction du recours au travail forcé, au travail obligatoire ou au travail des enfants, le respect du principe de la liberté syndicale, conformément aux huit conventions fondamentales de l Organisation Internationale du Travail (OIT) ; la violation de la réglementation sur l environnement, l hygiène et la sécurité ; les pratiques commerciales prohibées ou trompeuses (notamment en matière de publicité et de marketing) ; les conflits d intérêts tels que définis par la charte éthique de l Oréal (cadeaux non autorisés, relations intéressées avec les fournisseurs, etc.) ; les risques graves pour la sécurité informatique de l entreprise, divulgation d informations stratégiques, confidentielles ou relatif au secret des affaires et atteintes aux droits de propriété du Groupe L Oréal ; la discrimination et harcèlement moral ou sexuel ; le non-respect de la vie privée et de la protection des informations à caractère personnel conformément à la loi du 6 janvier 1978 modifiée.» 97 Voir à titre d exemple les trois autorisations suivantes visant des dispositifs de signalement d atteinte à la santé et à la sécurité des travailleurs : délibérations n et du 18 juillet 2013, et délibération n du 27 juin

77 En conclusion, même si aucune autorisation n a encore regroupé explicitement les dispositifs de signalement de faits de harcèlement moral ou sexuel, discrimination, violence, et les faits d incivilité ou d agression, de nombreux arguments pourraient être avancés pour obtenir une autorisation globale pour tous ces traitements. D autant que les dernières autorisations de 2013 mentionnant «les atteintes à la santé et à la sécurité des travailleurs» pourraient tout à fait viser ce type de dispositifs dédiés aux suivis des agressions et incivilités. 3. Les solutions de conformité De nombreux points doivent être pris en compte pour assurer la conformité des traitements mis en œuvre dans le cadre des dispositifs de signalement des atteintes à la santé mentale et physique des travailleurs. a. La forme du signalement L alerte donnée sur l existence d un risque signalé et/ou avéré peut prendre différente forme (ligne téléphonique, messagerie électronique, etc.). Bien qu il soit nécessaire de respecter la culture de l entreprise pour assurer l effectivité du dispositif, telle que la gestion des situations de manière informelle, il semble qu un formulaire numérique de déclaration est à privilégier. Ainsi, il sera possible de maîtriser les informations remontées de manière automatique (nom, prénom, type d incident ou de situation, etc.), et limiter les zones de libre commentaire susceptibles de comporter des données non pertinentes, et/ou non proportionnées. En outre, le formulaire à remplir peut comporter les mentions informatives sur les finalités, les destinataires et les droits des personnes. b. L anonymat de l alerte L anonymat de l alerte ne doit pas être privilégié. En effet, afin de limiter les cas de dénonciation calomnieuse ou de diffamation, et d éviter la mise en place d un système de délation, il est recommandé d assurer la confidentialité de l identité des personnes concernées, et de ne pas encourager l anonymat. Cette position est soutenue par la CNIL, qui demande ainsi que la gestion d un signalement anonyme «soit entouré de précautions particulières, telles qu'un examen préalable, par son premier destinataire, de l'opportunité de sa diffusion dans le cadre du dispositif, et que l'organisme n'incite pas les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l'existence du dispositif en tient compte. Au contraire, la procédure est conçue de façon à ce que les employés s'identifient auprès de l'organisation chargée de la gestion des alertes.» Autorisation unique n AU Délibération n du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle. 76

78 c. Le traitement des données sensibles Des données dites sensibles sont traitées dans le cadre de la gestion des dispositifs de signalement : d une part des données déjà qualifiées de sensibles telles que celles relatives à la santé physique et mentale des travailleurs, et d autre part des catégories de données qui n ont pas encore été qualifiées, telles que celles relatives aux ressentis et aux comportements des salariés. Le contrôleur européen à la protection des données a, dans le cadre de lignes directrices 99, proposé une classification des données traitées en cas de signalement de harcèlement. Il décompose ainsi les catégories de données dites «tangibles» ou «objectives», et les données dites «intangibles» ou «subjectives.» La première catégorie concerne les données administratives et d identification, généralement collectées directement auprès des personnes concernées (éventuellement au moyen de formulaires d ouverture et de clôture). La seconde catégorie concerne l allégation et la déclaration fondées sur les perceptions subjectives des personnes concernées, généralement collectées au moyen des notes personnelles des personnes en charge de la gestion de l alerte. Cette classification, affranchie de l habituelle dichotomie données «sensibles» / données «non sensibles», permet l application de règles différentes. Ainsi, les données «tangibles» servent à l identification de la personne, la gestion des archives historiques, et l identification des cas récurrents et multiples, tandis que les données «intangibles» servent la gestion de la situation, et ne sont soumises à aucune règle systématique, étant donné qu il est impossible d en déterminer à priori la catégorie. De la même manière, les destinataires, les règles de sécurité des échanges, ainsi que la possibilité de rectification des données «intangibles» ne sont pas les mêmes que pour les données «tangibles». Cependant, à ce jour, la CNIL ne souhaite pas qualifier spécifiquement les données relatives aux ressentis et aux comportements des salariés, les données subjectives traitées dans le cadre de la gestion des cas de harcèlement, de discrimination, de violence verbale, de mal-être ou de souffrance, et même d incivilité ou agression. Il en va de même pour les données pouvant être qualifiées de données relatives à la santé (voir supra). Les autorisations de la CNIL mentionnent donc «les faits signalés» et «les éléments recueillis dans le cadre de la vérification des faits signalés». Une question reste donc en suspens : s il est considéré que des données relatives à la santé sont traitées lors de la gestion de telles alertes les fondements légaux des demandes d autorisation ne sont pas tout à fait clairs sur ce sujet (voir supra) quelles seraient les garanties demandées en termes de sécurité? L employeur devrait-il assurer les mêmes conditions obligatoires d hébergement que pour les données médicales? En tout état de cause, et comme exposé supra, il convient de noter qu une demande d autorisation à la CNIL est nécessaire pour effectuer les traitements, notamment, des données relatives aux infractions, condamnations et mesures de sureté, ou ceux susceptibles 99 Lignes directrices de 2011 du Contrôleur européen de la protection des données, relatives au traitement de données à caractère personnel dans le cadre de la sélection de conseillers confidentiels et des procédures informelles de traitement des cas de harcèlement au sein des institutions et organes de l Union Européenne,. 77

79 d exclure du bénéfice d un droit dans le cadre de la gestion des risques d atteinte à la santé mentale des travailleurs. Enfin, le consentement du salarié victime, ou prétendument victime devra, dans la mesure du possible, être recherché pour poursuivre l instruction de l alerte. d. Limitation du périmètre de chaque dispositif Pour assurer la conformité des dispositifs de signalement, il convient de définir le périmètre du dispositif, sa finalité. Il s agit donc de clairement informer à l avance les situations susceptibles d être gérées par le dispositif : soit les situations de harcèlement, soit de discrimination, soit de stress, mal-être, souffrance, etc. e. Les personnes autorisées à utiliser les dispositifs Trois difficultés doivent ici être soulevées : la première est relative à l utilisation des dispositifs par des témoins, la deuxième est relative à l utilisation des dispositifs par des personnes qui ne sont pas liées par un contrat de travail avec l employeur, et la troisième à l utilisation des dispositifs par des mineurs. S agissant de la première difficulté, il a en effet été observé que certains dispositifs sont ouverts aux témoins : un salarié peut ainsi signaler une situation de harcèlement, de discrimination, etc. dont il aurait eu connaissance, mais dont il n est pas victime lui-même. Dans ce cas, la procédure doit obligatoirement prévoir le recueil du consentement exprès de la prétendue victime des faits allégués pour poursuivre la procédure. En outre, une information claire doit être faite sur les conséquences en cas d alerte abusive ou de diffamation. S agissant de la deuxième difficulté, tenant à l ouverture du dispositif de signalement aux victimes qui ne sont pas liées par un contrat de travail à l employeur, tel que les stagiaires, les candidats à l emploi ou les anciens salariés, il convient de prendre les mesures suivantes : S assurer qu ils ont été dûment informés de leurs droits d accès, de rectification et de suppression des données à caractère personnel collectées dans ce cadre ; Adapter la durée de conservations de leurs données personnelles, qui est différente de celle applicable au salarié. En revanche, s agissant des intérimaires et prestataires, les entreprises interrogées ne leur ont pas ouvert les dispositifs de signalement, considérant qu il revenait à leur employeur de recevoir leur alerte. S agissant de la troisième difficulté, il convient de noter qu en cas d utilisation d un dispositif de signalement par un mineur (contrat d apprentissage, contrat jeune, etc.), il serait indispensable de recueillir le consentement d un tuteur légal pour traiter ses données à caractère personnel dites «sensibles». f. Les destinataires des informations Les destinataires en interne des informations relatives au signalement d une situation avérée ou non doivent impérativement être limités. Dans la pratique, et surtout lorsque la procédure 78

80 n est pas formelle, il a été observé qu un nombre conséquent de personnes était susceptible d être informé de la situation, et d avoir accès, dans certains cas, à toutes les données. Il convient donc de clairement déterminer les personnes destinataires de ces informations nominatives sensibles et d en assurer la confidentialité, par des mesures de sécurité et la formation des personnes en charge de la gestion des signalements. Enfin, la communication des informations liées aux signalements aux délégués du personnel doit être strictement encadrée : il convient d assurer la confidentialité de l identité des personnes concernées par le signalement. g. Le caractère facultatif La CNIL porte une attention particulière au caractère facultatif des dispositifs dit «automatisés» de signalement. Dans la pratique, cette question ne pose pas réellement de difficulté puisque la remontée hiérarchique dite «classique» d information, est toujours possible. Il a cependant été observé que certaines entreprises obligent leurs salariés à signaler les cas avérés, dans l objectif, semblerait-il, de contrôler les mesures prises pour gérer la situation, et évaluer les risques auxquels les salariés sont exposés. Dans ce cas, il semblerait que l anonymat des personnes concernées par les signalements devrait être conservé, sauf argument contraire. h. L information des personnes L information des personnes concernées par les signalements (victime, témoin, auteurs des faits, etc.) doit impérativement être effectuée. Les mesures suivantes peuvent être prises : En amont, il est possible d informer tous les salariés via une note de service ou la communication sur l intranet de l entreprise ; Lors du traitement du cas, que le traitement provienne d un témoin ou directement de la victime, il convient de rappeler aux personnes, au cours du premier entretien effectué, leurs droits et les conséquences de l utilisation du dispositif. Il est également conseillé de recueillir le consentement des personnes lors de ce premier entretien ; L auteur des faits allégués doit être informé de l existence d un signalement à son encontre dès l enregistrement des informations le concernant. Cette information peut être différée si des mesures conservatoires doivent être prises. En application de l article 32 de la loi du 6 janvier 1978 modifiée, l information des personnes doit contenir, à minima : Le nom du responsable de traitement. Il est également suggéré de citer les personnes en charge de la mise en œuvre du traitement (les personnes en charge de la gestion des signalements) ; La finalité poursuivie par le traitement : il s agit de la gestion des situations à risque signalées et/ou avérées du périmètre préalablement défini du dispositif ; 79

81 Le caractère obligatoire ou facultatif des réponses et des conséquences éventuelles d un défaut de réponse. Autrement dit, il convient d informer les salariés, le cas échéant, du caractère facultatif du dispositif, et l absence de conséquence en cas de non-utilisation du dispositif. Il est également nécessaire d informer les personnes des conséquences de l utilisation abusive du dispositif, de diffamation ou de dénonciation calomnieuse, et à l inverse, de non-conséquence en cas de signalement de bonne foi de faits finalement non avérés. En outre, il est important d informer les personnes du défaut de communication de l identité du lanceur de l alerte, et des conséquences en cas de signalement anonyme ; Les destinataires ou catégories de destinataires des données. Au sens de la loi du 6 janvier 1978 modifiée, un destinataire est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Une remarque pourrait être faite à ce sujet : les autorisations délivrées par la CNIL mentionnent également les services du responsable de traitement en charge de la gestion des signalements dans la catégorie des destinataires. Il est également conseillé d informer les salariés du caractère confidentiel du traitement de leurs données ; Les droits que les personnes tiennent des dispositions des articles 38 à 43 de la même loi (droit d opposition, droit d accès, de rectification, de suppression). Le cas échéant si les données sont transférées en dehors de l Union Européenne ou d un pays adéquat. i. Les droits des personnes En pratique, le droit des personnes d avoir accès aux données les concernant traitées dans le cadre de la gestion des signalements, doit être respecté dans la limite de l obligation de confidentialité de l identité des témoins. Ainsi, toutes les informations pouvant directement ou indirectement identifier un témoin doivent être systématiquement retirées des informations communiquées (soit en noircissant les données identifiantes, ou lorsque ce n est pas suffisant, en retirant les documents). S agissant du droit de rectification, de suppression ou de mise à jour des données des personnes concernées, il peut présenter plusieurs difficultés dans les faits. Tout d abord en ce qui concerne les données collectées ayant un caractère subjectif (ressentis ou comportements), qui par essence, ne sont pas «rectifiables» puisqu elles ne reflètent qu un instant T. Le salarié devrait-il avoir un droit de rectification sur des informations subjectives, ou intangibles, telles que qualifiées par le Contrôleur Européen (voir supra)? Le droit de rectification rencontre également une limite au regard du besoin qu a l employeur de conserver les preuves des actions qu il a mises en œuvre pour prévenir les risques pesant sur ses salariés. Une demande de rectification ou de suppression du témoignage d un salarié dans le cadre d un signalement de discrimination ou de harcèlement, pourrait en effet priver l employeur de preuves produites en cas de contentieux pour dégager sa responsabilité. 80

82 Il peut être cité le cas d un salarié qui a demandé de supprimer, sur le fondement de l article 40 de la loi du 6 janvier 1978 modifiée, des passages d un entretien d évaluation communiqué pour illustrer une situation de discrimination. Dans ce cas, l employeur, qui a un intérêt à conserver lesdits passages en cas de contentieux futur, peut-il accéder à une telle demande de suppression? Il pourrait être opposé au salarié le droit pour l employeur de conserver les données personnelles, pendant la durée des délais légaux de prescription. Cette réponse n est en réalité pas entièrement satisfaisante du point de vue de la conformité Informatique et Libertés, puisque le délai de prescription pour rechercher la responsabilité pour faute inexcusable de l employeur est de deux ans à partir de la reconnaissance du caractère professionnel de la maladie 100 sans préjudice des délais de prescription pénale, et que cela peut intervenir à tout moment. Les délais de prescription sont donc difficilement déterminable et anticipable. j. Les mesures d investigation Les mesures d investigation utilisées par les personnes en charge de la gestion des cas signalés et/ou avérés doivent également être conformes aux règles de protection des données personnelles, notamment s agissant de l information des personnes concernées. Si des enregistrements téléphoniques sont utilisés comme moyen de preuve de faits de discrimination ou de harcèlement par exemple, il convient de s assurer que les salariés ont bien été informés de cette finalité. Il est cependant possible de procéder différemment pour récupérer les preuves (dans le cas où l information de l utilisation des moyens d investigation n a pas encore été faite) : en demandant au lanceur d alerte, ou à la victime le cas échéant, soit d exercer son droit d accès, soit de déposer une plainte, ouvrant ainsi une procédure judiciaire. k. La conservation et les mesures de sécurité La conservation des informations traitées dans le cadre de la gestion des cas signalés et/ou avérés appelle plusieurs recommandations. S agissant tout d abord de la durée de conservation des informations relatives aux risques signalés et/ou avérés d atteinte à la santé des travailleurs, l intérêt de l employeur à conserver les informations (voir supra) se heurte à son obligation de définir et de respecter une limite temporelle pour traiter ces informations. Les délibérations de la CNIL portant autorisation des traitements concernées prévoient que les données collectées pour la gestion des situations avérées d atteinte à la santé des salariés donc suivie d une procédure disciplinaire ou judiciaire devront être archivées en archive intermédiaire immédiatement après clôture du dossier 101, ou détruites au terme de la procédure Article L du Code de la Sécurité Sociale 101 A titre d exemple : délibération n du 28 février 2013 autorisant la société BOUYGUES TELECOM à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la 81

83 Lorsque celui-ci est autorisé, la durée de l archivage intermédiaire «n excède pas les délais de prescription des procédures contentieuses». En l espèce, la forclusion n est pas déterminable à l avance, puisque le délai de prescription pour rechercher la responsabilité pour faute inexcusable de l employeur est de deux ans à partir de la reconnaissance du caractère professionnel de la maladie 103 sans préjudice des délais de prescription pénale. Cela peut donc en pratique intervenir à tout moment. Il est donc recommandé d obtenir une autorisation pour pouvoir conserver ces informations en archive intermédiaire 10 à 20 ans. S agissant des données collectées pour la gestion des situations signalées, mais non avérées d atteinte à la santé mentale d un salarié dont l examen des faits n est pas suivi d une procédure disciplinaire ou judiciaire la CNIL n autorise pas, à priori, leur conservation. Or, en pratique, ce n est pas parce qu un signalement n entraîne pas de procédure disciplinaire ou judiciaire qu il n a aucun intérêt à le conserver. Il peut être cité à titre d exemple un salarié se plaignant de discrimination (de harcèlement, ou de violence psychologique). L examen des faits par la personne en charge de la gestion du cas n a pas révélé dans un premier temps la véracité des propos allégués. Le premier signalement est donc détruit. Quelques mois ou années plus tard, la même personne signale à nouveau des faits identiques, et dépose plainte contre son employeur, cherchant à engager sa responsabilité pour faute inexcusable, argumentant qu aucune mesure n a été prise pour remédier aux faits précédemment allégués. L employeur ne pourra plus produire les preuves de son action et de sa diligence dans la gestion du cas. En outre, des solutions d ordre non disciplinaire ou judiciaire peuvent également être entreprises dans des cas, par exemple, de souffrance au travail (mutation, temps partiel, soutien psychologique, etc.) : il s agit encore une fois pour l employeur de conserver les preuves des mesures prises pour prévenir ou faire cesser l atteinte à la santé du salarié. La conservation des données traitées dans le cadre de la gestion des alertes d atteinte non avérées (ou non prouvée) à la santé d un salarié, entraîne en revanche des risques liés à la dénonciation calomnieuse ou à la diffamation. D un côté il apparaîtrait opportun de conserver les données collectées dans le cadre de la gestion des cas signalés et/ou avérés, mais n entrainant pas de mesures disciplinaires, pour une durée idéalement égale à celle prévue pour les situations d atteinte avérée à la santé des salariés, et suivies d une procédure disciplinaire ou judiciaire. D un autre côté, cette éventualité serait susceptible de porter atteinte à la personne qui serait sujet à un faux signalement (rentrant dans les cas de faits non prouvés). Une solution garde-fou pourrait être avancée pour concilier ces intérêts : l archivage intermédiaire immédiatement après le rendu des conclusions d une situation d un risque non mise en place d un dispositif d alerte professionnelle dédié à la lutte contre les violences et le harcèlement au travail. 102 Délibération n du 18 juillet 2013 autorisant la société SANOFI à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle. Demande d autorisation n ). 103 Article L du Code de la Sécurité Sociale. 82

84 avéré, dont l accès serait exclusivement limité aux personnes en charge du contentieux, et pour une durée n excédant pas les délais de prescription de l action contentieuse. S agissant des données recueillies qui ne relèvent pas du périmètre du dispositif du signalement, elles doivent être détruites immédiatement (sous 48 heures). Par ailleurs, il convient de souligner que pour assurer le respect des durées de conservation, une sensibilisation particulière doit être faite s agissant des mails. La procédure d archivage devrait également prévoir l archivage des mails échangés dans le cadre des signalements, et leur destruction de l archivage courant (souvent oublié par les opérationnels). D autre part, s agissant de la sécurité des données traitées dans le cadre de la gestion des situations signalées et/ou avérées, il convient de prendre les mesures de sécurité renforcées suivantes : Les personnes en charge de la gestion des cas ont des imprimantes dédiées non partagées ; Les mails échangés sont chiffrés ; Les dossiers papier sont conservés dans des armoires dédiées sous clef. Enfin, pour boucler la boucle d amélioration continue en matière de prévention des risques psychosociaux, il convient de rappeler que les informations tirées des cas de gestion des situations signalées et/ou avérées d atteinte à la santé mentale des salariés, et traitées à des fins d évaluation et de mesure des risques, doivent être anonymisées. 4. La formation des personnes en charge de la gestion des situations signalées et/ou avérées Enfin, il convient de noter que l employeur met également en œuvre un traitement ayant pour finalité la formation des personnes en charge de la gestion des situations signalées et/ou avérées. Ce traitement, qui ne comporte pas de difficulté de conformité, peut être inscrit au registre dans la finalité générale de gestion des formations du personnel. Il consistera en : l identification des personnes concernées comme gestionnaires des cas signalés et/ou avérés d atteinte à la santé mentale des travailleurs ; l inscription de ces personnes aux formations ; la gestion des habilitations de l accès à l espace de stockage numérique dédié. Par ailleurs, il conviendra de veiller à une formation et une sensibilisation particulière des personnes en charge de la gestion des cas sur les sujets suivants : la proportionnalité, la pertinence et l objectivité des informations collectées la confidentialité ; l information et le consentement ; la gestion de crise ; 83

85 le cas échéant, les relations sociales ou la sécurité physique des personnes ; les moyens d investigation autorisés ; les durées de conservation et la sécurité des données. L anonymisation (pour l évaluation et la mesure des risques) III. Synthèse des solutions de conformité A. Tableau récapitulatif des solutions de conformité Traitement par finalité Points d attention Droit d accès Formalité CNIL L établissement des documents obligatoires Assurer l anonymat en formalisant la remontée d information par une procédure (le personnel en charge des statistiques n a pas accès à la base de données source) Non Aucune Gestion des réponses aux questionnaires et baromètres Soit assurer le strict anonymat des réponses ; Soit recueillir le consentement exprès du salarié (case à cocher et information claire sur le volontariat). Dans ce cas : définir le(s) risque(s) recherché(s) et assurer la proportionnalité. Clauses I&L dans le contrat avec le prestataire, le cas échéant. Si anonymat : non ; Si données personnelles: oui (à assurer avec le prestataire le cas échéant). Si anonymat : aucune ; Si données personnelles et consentement : déclaration normale ; Analyse des indicateurs spécifiques Privilégier l anonymat ; sinon, le consentement (si données sensibles) ; et dans tous les cas, assurer le non-détournement de finalité (surveillance), la proportionnalité des informations collectées, et l information des salariés Si anonymat : non ; Si données personnelles : oui Déclaration normale Opérations de soutien psychologique et l accompagnement social La responsabilité du traitement revient au soustraitant ou personnel de santé : Ajouter des clauses de confidentialité spécifique vis-à-vis de l employeur ; Donner les moyens aux personnels de santé salariés d assurer la sécurité des données. Garantir l anonymat des données remontées pour le suivi et l évaluation des risques Oui : auprès du prestataire ou personnel de santé La formalité est effectuée par le prestataire ou personnel de santé (Autorisation) Gestion des opérations de communication, formations et sensibilisation Privilégier l intervention de personnel de santé, responsable de traitements. Oui Déclaration normale (ou Norme simplifiée 46) 84

86 Gestion des actions de prévention et d amélioration de la qualité de vie Privilégier l intervention de personnel de santé, responsable de traitements ; Assurer la proportionnalité et la pertinence des données personnelles nécessaires aux actions de prévention ; Eviter tout détournement de finalité en déterminant les destinataires des données. Oui : auprès du prestataire ou service en charge de l action de prévention Déclaration normale Accompagnement social Privilégier l intervention de personnel de santé, responsable de traitements Oui : auprès du prestataire La formalité est effectuée par le prestataire ou personnel de santé (Autorisation) Gestion des situations avérées et/ou signalées d atteinte à la santé mentale des travailleurs Inclure dans la demande d autorisation les traitements non-automatisés mis en œuvre (remontée hiérarchique) ; Privilégier le formulaire type à remplir sans zone de libre commentaire pour le signalement ; Recenser et délimiter le périmètre de chaque dispositif ; Définir les personnes autorisées à utiliser les dispositifs de signalement et adapter les procédures en conséquence ; Déterminer et former les destinataires des informations en internes ; Si la procédure n est pas facultative : anonymat ; Garantir l information et le recueil du consentement ; Déterminer préalablement les mesures d investigation autorisées ; Assurer les durées de conservation (voir supra) ; Oui, dans la limite de la confidentialité de l identité des témoins. Le droit de rectification et de suppression : oui, dans la limite de l utilité de conserver ces informations dans l hypothèse d un contentieux Demande d autorisation Anonymiser les informations servant à l évaluation des risques ; Assurer la sécurité et la confidentialité des données. B. Stratégies de formalités Deux points peuvent être discutés concernant la stratégie de formalité : le périmètre de la demande d autorisation dans son contenu et dans sa forme. S agissant du périmètre du contenu de la demande d autorisation, le responsable de traitement peut opter pour une demande portant sur l intégralité des traitements qu il met en œuvre pour prévenir les risques professionnels comprenant donc l évaluation, la prévention et la gestion des risques dans le but d assurer un cadre de conformité général pour tous les traitements pouvant potentiellement exclure du bénéfice d un droit ou comporter des données relatives à des infractions ou entraîner un processus d anonymisation des données sensibles (voir supra). Cette option aurait cependant pour inconvénient de figer les pratiques mises en œuvre par 85

87 l employeur pour mesurer, prévenir et gérer les risques psychosociaux, alors même que le domaine est en pleine mouvance et en cours de construction. Il peut donc se contenter de demander l autorisation pour mettre en œuvre les traitements de gestion des risques psychosociaux, uniquement ceux dont la CNIL attend une demande d autorisation. Les autres traitements, que la CNIL ne considère pas relever de la demande d autorisation seraient alors déclarés (déclaration normale) ou inscrits au registre des traitements. S agissant du périmètre de la forme de la demande d autorisation, le responsable de traitements composé de plusieurs entités type Groupe d entreprises pourra opter pour une seule demande d autorisation pour la maison mère, qui prendra alors à sa charge la responsabilité de tous les traitements mis en œuvre dans toutes les entreprises du Groupe. Cette option n est toutefois ouverte que pour les traitements effectués par des entreprises du Groupe ne disposant d aucune marge de manœuvre, ou autonomie dans les choix de mise en œuvre desdits traitements. A défaut (si les entreprises de Groupe disposent d une autonomie pour la mise en œuvre des traitements), la maison-mère peut déposer une demande d autorisation unique pour le Groupe, permettant à toutes les entreprises du Groupe de bénéficier de l autorisation, sans avoir à répéter les formalités. Ainsi, les responsables de traitements resteront les entreprises, qui se conformeront au cadre de conformité de l autorisation unique sollicitée. 86

88 Conclusion Le domaine de la prévention des risques psychosociaux est en pleine expansion. Le sujet, méconnu une dizaine d années auparavant, est maintenant devenu un phénomène de société. Le nombre d accords nationaux, de branches et d entreprises ne cesse d augmenter, en même temps que les activités de service (conseil, écoute psychologique, aide juridique aux salariés, assurance pour les employeurs, etc.). Le potentiel de développement de la matière (jurisprudentiel, légal, économique et politique) semble particulièrement important. Du point de vue de la protection des données à caractère personnel, il semble toutefois que les problématiques relatives à l utilisation des données des salariés dans ce cadre ne soient pas encore complètement prises en compte, d une part par les acteurs de la prévention (professionnels de santé, responsables de traitements ou représentants du personnel), et d autre part par les acteurs de la conformité Informatique et Libertés (CIL et CNIL). L étude menée dans le cadre de la présente thèse professionnelle nous a effectivement montré que la conformité des traitements mis en œuvre dans le cadre de la prévention des risques psychosociaux est presque totalement méconnue au sein des organismes, comme au sein de la CNIL : aucun recensement des pratiques n a été effectué, la question de la qualification de certaines catégories de données reste entière, l encadrement des procédures dit «nonautomatisées» de gestion des signalements est soigneusement évitée, l anonymat dans bien des cas n est que supposé ; en résumé, le sujet est en construction. Interrogée oralement, la CNIL a déclaré travailler sur la conformité de ces traitements, dans le sens d une révision de l Autorisation Unique AU004, afin d y incorporer les traitements «risques psychosociaux». Bien que cette solution soit un début, il serait toutefois souhaitable qu une autorisation unique spécifique encadrant les traitements mis en œuvre par les employeurs dans le cadre de la prévention des risques psychosociaux soit adoptée. Les traitements de mesures, les actions de prévention et la gestion des cas à risque, étant potentiellement soumis à autorisation de la CNIL, pourraient ainsi être encadrés. Dans sa dernière version du 21 octobre 2013, le projet de règlement européen 104 n apporte pas de changement significatif pour la conformité des traitements étudiés ici : les définitions des données relatives à la santé et relatives aux infractions restent larges et les autres catégories de données ne sont pas définies. C est surtout le périmètre de la responsabilité des traitements qui pourra évoluer sous l empire du nouveau règlement, puisqu une responsabilité conjointe des traitements est proposée. Ainsi, les périmètres de responsabilité pourront être mieux définis entre l employeur et les prestataires intervenant dans la prévention des risques psychosociaux. 104 Proposition de règlement du Parlement Européen et du Conseil «relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)», 2012/011 (COD). 87

89 Bibliographie 1. Ouvrages et codes BENSOUSSAN, A. (2010) «Informatique et libertés», Francis Lefebvre, 2 ème ed. GUINCHARD, S. & DEBARD, T. (2014). Lexique des termes juridiques, Dalloz, 21 ème ed. COLLECTIF LAMY Droit du numérique. (2013). Lamy COLLECTIF LAMY Hygiène et Sécurité. (2013). Lamy COLLECTIF LAMY Santé, Sécurité et Conditions de Travail au Quotidien. (2013). Lamy COLLECTIF LAMY Social. (2013). Lamy COLLECTIF LAMY. (2013). Code du travail 2013, Lamy 2 ème ed. COLLECTIF DALLOZ. (2013). Code pénal édition 2013, Dalloz. 2. Avis, études et rapports Groupe de l article 29, «Document de travail sur le traitement des données à caractère personnel relatives à la santé contenues dans les dossiers médicaux électroniques (DME)», 15 fév.2007, p.8 disponible sur Avis n 15/2001 du Groupe de l article 29 relatif à la définition du consentement, p.13-14, disponible sur NASSE, P. & LEGERON, P. (2008). «La détermination, la mesure et le suivi des risques psychosociaux au travail». Rapport public remis au Ministre du Travail, des Relations sociales et de la Solidarité TURK, A. (2003). Rapport du Sénat n 218 sur le projet de loi, adopté par l Assemblée Nationale, relatif à la protection des personnes physiques à l égard des traitements de données à caractère personnel et modifiant la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés. Bureau International du Travail. (2010). «Risques émergents et nouvelles formes de prévention dans un monde du travail en mutation», rapport remis à l occasion de la journée mondiale de la sécurité et de la santé au travail. Rapport du collège d expertise sur le suivi des risques psychosociaux au travail. (2011). Présidé par Michel GOLLAC, intitulé «Mesurer les facteurs psychosociaux de risques au travail pour les maîtriser». Rapport d activité de l Agence nationale de sécurité sanitaire de l alimentation, de l environnement et du travail (ANSES) (2012). Compte-rendu de la table ronde sur les risques psychosociaux tenue le 13 septembre 2012, premier volet «les risques psychosociaux, état des lieux» in Revue du droit du travail. LACHMANN, H. ; LAROSE, C. & PÉNICAUD, M. (2010) : «Bien-être et efficacité au travail, dix propositions pour améliorer la santé psychologique au travail». Rapport remis au Premier Ministre. Paris: La Documentation Française. P. DE HERT et H. LAMMERANT, étude de la Direction Générale des Politiques Internes de l'union, dépatement C: Droits des citoyens et Affaires Constitutionnelles, "Protection of Personal Data in work-related Relations" avril 2013, disponible sur: 88

90 Livre blanc de la société Net 2000 ltd, «Data Sanitization Techniques», 2004 Rapports d activité de la CNIL de 2004 à Articles AUBERT-MONPEYSSEN, T. & BLATMAN, M. (2012). «Les risques psychosociaux au travail et la jurisprudence française : la culture de la prévention», Revue Dalloz Droit Social, septembre, n 712. BLATMAN, M. (2007). «L obligation de sécurité de résultat de la Cour de cassation en six étapes», Semaine Sociale Lamy. COTTIN, J.-B. & MIR, J.-.M. (2011). «Risques psychosociaux : perspectives internationales», Les Cahiers de la DRH, n 173. DARES (Direction de l Animation et de la Recherche, des Etudes et des Statistiques). (2010). Analyses : «Les risques psychosociaux au travail : les indicateurs disponibles», décembre, n 81, article disponible à l adresse suivante : EUROGIP. (2010). Note thématique : «Risques Psychosociaux au travail : une problématique européenne», disponible sur le site FANTONI-QUITON, S. & VERKINDT, P.-Y. (2013). «Obligation de résultat en matière de santé au travail : à l impossible, l employeur est tenu?», Revue Droit Social, n de mars, dossier. JOB, J.-M. (2008). «La loi Informatique et Libertés et les données de santé», Lamy Droit de l immatériel, n 34. LANOUZIÈRE, H. (2011). «La prévention des risques psychosociaux du point de vue du code du travail», Semaine Sociale Lamy, 21 fév., n 1480, forum réflexion. LEROUGE, L. (2010). «Protection de la santé mentale au travail et responsabilité de l employeur : répondre à la contrainte de résultat.», Jurisprudence Sociale Lamy 2010 du 3 sept. 2010, n 283 LHERNOULD, J.-P. (2008). «Obligation de sécurité de résultat : des arrêts Amiante à l arrêt Snecma, brève chronique jurisprudentielle d un univers en expansion.», Lamy Social Jurisprudence, n 239. LIAISONS SOCIALES Quotidien du 11 sept. 2013, n LORIOL, M. (2001). «Pourquoi tout ce stress?» Revue Sociologie du travail, vol.53, n 1. ROSIER, K. (2011). «Gestion des données à caractère personnel dans la relation de travail» in «Le droit du travail à l'ère du numérique : Les technologies de l'information et de la communication dans les relations de travail», ed. Anthemis. VERKINDT, P.-Y. (2008). «La santé au travail, l ère de la maturité», Jurisprudence Sociale Lamy, n Jurisprudence a. Conseil d État CE, 19 juillet 2010, n b. Cour de cassation 89

91 Chambre sociale Cass. Soc., 10 mai 2001, n Cass. Soc., 28 février 2002, n Cass. Soc., 21 juin 2006, n , bull. V n 233 Cass. Soc., 15 novembre 2006, no Cass. Soc., 5 mars 2008, n Cass. Soc., 30 novembre 2010, n Cass. Soc., 27 mars 2012, no Cass.Soc. 25 sept. 2013, n Chambre commerciale Cass.Com., 25 juin 2013, n Chambre criminelle Cass. Crim., 11 janvier 2000, no ème Chambre civile Cass. Civ., 2 e, 22 février 2007, n Cass. Civ., 2 e, 8 novembre 2007, n Cass.Civ. 2 e,19 sept. 2013, n , D c. Cours d Appel CA Bordeaux, 02 septembre 2010 CA Chambéry, 13 décembre 2011 CA Paris, 28 octobre 2010 CA Paris, 13 décembre 2012, n d. Tribunal correctionnel Tribunal Correctionnel DAX, 29 mai 2006 e. Cour de Justice de l Union Européenne Affaire C-127/05 du 14 juin 2007, Commission c/royaume-uni 5. Délibérations des autorités de contrôles 90

92 a. Commission Belge de Protection de la Vie privée Avis d Initiative de la Commission de la Protection de la Vie Privée n 17/2008 du 9 avril 2008 relatif aux traitements des données biométriques dans le cadre de l authentification des personnes b. Commission Nationale Informatique et Libertés Autorisation unique n AU Délibération n du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle. Délibération n du 16 septembre 2010 autorisant la mise en œuvre par la direction de la recherche, des études, de l évaluation et des statistiques (DREES) de traitements de données à caractère personnel nécessaires à la réalisation de la seconde vague de l enquête «Santé et itinéraire professionnel». Délibération n du 3 mars 2011 autorisant la société CASINO SERVICES à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte professionnelle. Délibération n du 26 mai 2011 autorisant la société AREVA à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte professionnelle. Délibération n du 10 novembre 2011 autorisant la société EDF SA à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte professionnelle. Délibération n du 5 juillet 2012 autorisant l école de management de Strasbourg (EM Strasbourg) à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle dédié à la lutte contre les discriminations. Délibération n du 19 juillet 2012 autorisant la société Qualione à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité le suivi des personnes utilisatrices de son dispositif d écoute psychologique et de conseil par téléphone. Délibération n du 13 septembre 2012 autorisant la société BNP PARIBAS SA à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle dédié à la lutte contre les discriminations. Délibération n du 13 septembre 2012 autorisant la société TF1 SA à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre la mise en œuvre d un dispositif d alerte professionnelle dédié à la lutte contre les discriminations. Délibération de la CNIL n du 27 septembre 2012 autorisant la Manufacture Française des Pneumatiques Michelin à mettre en œuvre un traitement de données automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle permettant aux salariés de signaler des manquements à certains domaines de son code éthique. Délibération n du 4 octobre 2012 autorisant la société LEGRAND à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle. Délibération n du 11 octobre 2012 autorisant la société EADS FRANCE SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle. Délibération n du 8 novembre 2012 autorisant la société l Oréal à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte professionnelle. 91

93 Délibération n du 8 novembre 2012 autorisant la mise en œuvre par la Caisse d Epargne de Normandie d un traitement de données à caractère personnel ayant pour finalité la gestion des incivilités. Délibération n du 8 novembre 2012 autorisant le Conseil général du Calvados à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité le suivi de l agent agressé. Délibération n du 15 novembre 2012 autorisant l établissement public Caisse des Dépôts et Consignations à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle dédié à la lutte contre les discriminations Délibération de la CNIL n du 7 février 2013 autorisant la mise en œuvre par la Banque Nationale de Paris PARIBAS d un traitement de données à caractère personnel ayant pour finalité la gestion des incivilités. Délibération de la CNIL n du 28 février 2013 autorisant la société BOUYGUES TELECOM à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte professionnelle dédié à la lutte contre les violences et le harcèlement au travail. Délibération n du 7 mars 2013 autorisant VEOLIA ENVIRONNEMENT à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte dédié à la lutte contre les discriminations. Délibération n du 11 avril 2013 autorisant le ministère des affaires sociales et de la santé, le ministère du travail, de l'emploi, de la formation professionnelle et du dialogue social, et le ministère des sports, de la jeunesse, de l'éducation populaire et de la vie associative à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en place d un dispositif d alerte dédié aux discriminations. Délibération n du 27 juin 2013 autorisant la société RHODIA OPERATIONS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle. Délibération n du 27 juin 2013 autorisant la société SOLVAY ENERGY SERVICES à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle. Délibération de la CNIL n du 18 juillet 2013 autorisant le rectorat de Poitiers à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la déclaration et le suivi des faits de violence dans les établissements scolaires. Délibération n du 18 juillet 2013 autorisant la société SANOFI à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle. Demande d autorisation n ). Délibération n du 18 juillet 2013 autorisant la société ENI GAS & POWER FRANCE à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d un dispositif d alerte professionnelle. 6. Accord national interprofessionnel Accord national interprofessionnel du 12 octobre 2006 relatif à la diversité dans l entreprise. Accord national interprofessionnel du 2 juillet 2008 sur le stress au travail. Accord national interprofessionnel du 26 mars 2010 sur le harcèlement et les violences au travail. Accord national interprofessionnel du 19 juin 2013 sur la qualité de vie au travail. 92

94 7. Sites internet Site du Collège d expertise sur le suivi statistique des risques psychosociaux au travail : Sites du ministère du travail : et Site de l Institut National de Recherche et de Sécurité pour la prévention des accidents du travail et des maladies professionnelles : Site de l Agence nationale pour l'amélioration des conditions de travail : Site de l Agence Européenne pour la sécurité et la santé au travail : Site de l European Trade Union Institut : Site de l Organisation Internationale du Travail : Site de la CNIL : Site de l Institut de Santé au Travail du Nord de la France (ISTNF) : 8. Guides pratiques Guide de l INRS «Dépister les risques psychosociaux, des indicateurs pour vous guider», 2010 et «Evaluer les facteurs de risques psychosociaux, l outil RPS-DU», février 2013 Association Régionale pour l Amélioration des Conditions de Travail (ARACT) de Haute-Normandie «Prévenir les risques psychosociaux, Guide pratique, outils pour l action», Sept. 2012, disponible à l adresse suivante : Fiche pratique de la CNIL «l état des lieux en matière de procédé d anonymisation» consultable sur : MEDEF, «Prévenir le Stress au Travail, Guide d aide aux entreprises» disponible sur : Le Défenseur des Droits, «Mesurer pour progresser vers l égalité des chances, Guide méthodologique à l usage des acteurs de l emploi», disponible sur : World Health Organization, «Guidance on the European framework for psychological risk management, a resource for employers and workers representatives», disponible sur: 93

95 Annexes Annexe 1 : Tableau des sanctions financières les plus importantes prononcées par la CNIL par année Annexe 2 : Tableau des sanctions pénales Informatique et Libertés Annexe 3 : Questionnaire relatif aux pratiques de mesure, prévention et gestion des risques psychosociaux dans les organismes

96 Annexe 1 : Tableau des sanctions financières les plus importantes prononcées par la CNIL par année Années Montant de la plus haute sanction financière Numéro de l affaire Résumé euros du 28 juin plaintes ont été déposées à la CNIL par des clients du Crédit Lyonnais pour lesquels leur mainlevée de l inscription au FICP avait été tardive. Devant la noncoopération du Crédit Lyonnais à fournir les informations demandées par la CNIL et à se mettre en conformité, sanction pour traitement de données non pertinentes et inexactes et défaut de sécurité des données euros euros du 28 juin du 6 novembre 2008 Lors d un contrôle des systèmes d information RH d une entreprise, la CNIL a relevé de nombreux commentaires excessifs dans des zones de libre commentaire. Après avoir mis en demeure la société de régulariser sa situation, la CNIL a diligenté un 2 ème contrôle sur place de vérification des mesures prises. L entreprise ne s était pas mise en conformité : sanction pour traitement de données sensibles et excessives. CDiscount a été sanctionné pour avoir envoyé des courriels publicitaires à répétition à des clients n arrivant jamais à se désinscrire à leur liste d envoi euros du 26 février 2009 La société Directannonces, société de pige immobilière, réutilisait les annonces immobilières de particuliers en vue de leur revente à des professionnels sans leur accord. Sanction pour collecte déloyale de données euros du 17 juin 2010 La société JSM envoyait à des prospects des invitations à des ventes privées, notamment par télécopie, sans leur consentement. Suite à des plaintes, la CNIL a mis en demeure la société de régulariser sa situation. Une première sanction de euros a été prononcée à l encontre de la société en Mais d autres plaintes ont été déposées postérieurement. Après une seconde mise en demeure, la société a été sanctionnée pour violation de l obligation du consentement, du droit d opposition et de l obligation de formalité préalable euros du 17 mars 2011 En développant son service «Street view», Google Inc récupérait massivement des données techniques sur les réseaux wifi. Un contrôle de la CNIL a permis de révéler que la société enregistrait également, à l insu des personnes, des identifiants, des mots de passe, des données de connexions et échanges de mails. Face à l absence de réponse de la société et les nombreux manquements répétés, La CNIL a prononcé sa sanction la plus élevée jusqu à aujourd hui. 95

97 euros du 22 juin 2012 Un salarié commercial de la société équipement Nord Picardie a eu un accident de la circulation avec un véhicule de service et a formulé une demande de droit d accès à ses données de géolocalisation. L employeur acceptait de lui donner accès à ses données de géolocalisation en consultation sur place seulement aux motifs que ses données ne pouvaient quitter l entreprise. Le salarié a déposé plusieurs plaintes consécutives à la CNIL. L employeur ne s est pas conformé aux mises en demeure de la CNIL et n a pas coopérer. La CNIL a prononcé une amende de euros et l a rendu publique. 96

98 Annexe 2 : Tableau des sanctions pénales Informatique et Libertés La base légale Les faits répréhensibles Sanctions Jurisprudence (exemples) Article R du Code pénal Article R du Code pénal Ne pas avoir répondu à une demande de droit d accès dans les 2 mois suivant la réception de la demande. Ne pas avoir informé les personnes concernées sur leurs droits. Contravention de 5 ème classe, amende de 1500 Contravention de 5 ème classe, amende de Article du Code Pénal Ne pas avoir effectué les formalités préalables (déclaration ou demande d autorisation à la CNIL effectuées par le CIL Groupe). 5 ans d emprisonnement et d amende CA Paris, : euros de dommages et intérêts ; T.Corr.DAX, : 2000 euros de dommages et intérêts + sursis CA Bordeaux, : 500 euros de dommages et intérêts Article A du Code pénal Ne pas avoir respecté, y compris par négligence, les normes simplifiées ou cadre de conformité établies par la CNIL. 5 ans d'emprisonnement et Euros d'amende - Article du Code pénal Avoir traité des données à caractère personnel malgré l'opposition de la personne concernée, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes. 5 ans d'emprisonnement et Euros d'amende CA Riom, : 3 mois d emprisonnement avec sursis Article du Code pénal Avoir traité des données à caractère personnel sans en avoir informé la personne concernée, donc de manière déloyale ou illicite. 5 ans d emprisonnement et euros d amende C.Cass, Ch Crim : 3000 euros d amende Article du Code pénal Avoir utilisé des données à caractère personnel pour une autre finalité que celle prévue lors de la collecte. 5 ans d emprisonnement et euros d amende C. Cass. Ch.Crim n : respectivement 10 mois et 1an d emprisonnement avec sursis Article du Code Pénal. Avoir conservé des données à caractère personnel au-delà de la durée de conservation nécessaire et/ou proportionnée. 5 ans d emprisonnement et d amende CE, 19 juillet 2010, n : annulation de la décision d une directrice d établissement d enseignement de conserver 35 ans des informations sur les 97

99 élèves. Article du Code pénal Article du code pénal Article du Code pénal Article du Code pénal Article du Code pénal Avoir traité des données sensibles sans le consentement de l intéressé. Avoir transféré les données nominatives hors de l Union Européenne ou d un pays reconnu par la Commission Européenne comme adéquat sans autorisation ou sans le consentement exprès et éclairé de la personne. Avoir utilisé le NIR (numéro de sécurité sociale) alors que le traitement ne le nécessite pas, qu aucune disposition légale ne l autorise ou s il y a lieu, sans autorisation de la CNIL. Ne pas avoir mis en œuvre les mesures prescrites pour assurer la sécurité des données. Avoir divulgué des données personnelles a un tiers qui n'a pas qualité pour les recevoir et ainsi porter atteinte à la considération de l intéressé ou à l'intimité de sa vie privée. 5 ans d emprisonnement et euros d amende 5 ans d emprisonnement et euros d amende 5 ans d emprisonnement et euros d amende 5 ans d emprisonnement et euros d amende Divulgation volontaire : 5 ans d emprisonnement et euros d amende Divulgation par imprudence ou négligence : 3 ans d'emprisonnement et Euros d'amende 98

100 Annexe 3 : Questionnaire relatif aux pratiques de mesure, prévention et gestion des risques psychosociaux dans les organismes 1. <Pour l employeur> Existe-t-il une personne en charge de la conformité Informatique et Libertés au sein de l organisme? <Pour le CIL> Le CIL est-il interne, externe ou mutualisé? 2. Existe-t-il un dispositif/ une procédure de mesure des risques psychosociaux (baromètre, étude statistique, etc )? 3. Quelles sont les données des salariés utilisées par l employeur pour mesurer les risques (arrêt maladie, absentéisme, baromètre stress, information du médecin du travail )? 4. Le dispositif de mesure est-il géré par un sous-traitant ou est-ce géré en interne? 5. S il est géré par un sous-traitant, le contrat prévoit-il des clauses spécifiques de protection des données des salariés (confidentialité, anonymisation, sécurité, etc.). Quelle est la procédure de reporting du sous-traitant à la DRH ou aux OS? 6. S il est géré en interne, qui sont les acteurs du dispositif de mesure des risques? 7. Comment se passent les échanges de données? Les données sont-elles anonymes? 8. Le salarié est-il informé et a-t-il la possibilité de refuser que ses données soient traitées à des fins de mesure des RPS (dans le cas de l utilisation des données RH pour la mesure des RPS)? 9. Considérez-vous que des informations sur la santé des salariés sont collectées lors de la phase de mesure des risques (baromètre, études statistiques, etc.)? 10. Considérez-vous que des informations sur la vie privée des salariés (difficulté sociale, vie familiale, etc.) sont collectées lors de la phase de mesure des risques? 11. Quelles sont les actions mises en œuvre dans l entreprise pour prévenir les risques psychosociaux (campagne de prévention de santé, ateliers management, groupe de parole, action de sensibilisation, etc.)? 12. Les actions de prévention sont-elles effectuées par un sous-traitant ou en interne? 13. Si les actions sont effectuées par un sous-traitant, existe-t-il des clauses de sécurité des informations apportées par les salariés dans le contrat? Quelle est la procédure de reporting prévue à la DRH ou aux OS, quelles informations lui sont remontées? 14. Existe-t-il un dispositif de gestion des risques avérés ou d alerte (ligne de soutien psychologique, procédure dédiée de gestion des situations de harcèlement ou des discriminations ou des incivilités, dispositifs de signalement, etc.)? 99

101 15. Si oui, le dispositif d alerte ou de gestion des risques avérés inclut-il un sous-traitant ou est-ce exclusivement en interne? 16. Si la gestion des risques avérés inclut la participation d un sous-traitant, quelle est la procédure de reporting du sous-traitant à la DRH? 17. Si la gestion des risques avérés est exclusivement interne (mail, ligne téléphonique dédiée, etc.) quels sont les acteurs? 18. Quels sont les conséquences du dispositif de signalement, sur les salariés, sur les tiers (clients, usagers, fournisseurs )? 19. Considérez-vous que des données sensibles (informations sur la santé des protagonistes, données relatives à des infractions pénales, difficultés sociales ) sont susceptibles d être présentes dans la déclaration de signalement? si oui lesquelles? 20. Lors de la mise en place de ces dispositifs de signalement, comment les salariés ont-ils été informés (par quel biais, quel est le contenu)? 21. Y a-t-il des mesures de sécurité particulières autour du dispositif de signalement (mail crypté, traces des actions, conservation sécurisée, etc )? 22. S il y a du personnel de santé salarié de l entreprise impliqué dans la gestion des alertes ou risques avérés (infirmière, assistante sociale, psychologue, etc ), ont-ils signé un engagement de confidentialité vis-à-vis de l employeur? 23. Dans les deux cas, les informations recueillies en cas d alerte ou de risques avérés sont-elles conservées dans le dossier personnel du salarié? combien de temps? 1. <Pour le CIL> Considérez-vous que le CIL est suffisamment impliqué dans la conformité des traitements de mesure, prévention et gestion des risques psychosociaux? 100