Introduction à la protection des données
La protection des données à caractère personnel est d’une importance capitale dans notre monde de plus en plus numérisé. Avec le Règlement Général sur la Protection des Données (RGPD) de l’UE et la Loi fédérale sur la protection des données (BDSG), il existe des règles claires et contraignantes sur la manière dont les entreprises et les groupes doivent traiter les données des clients, des employés et des partenaires commerciaux. En particulier dans un groupe composé de plusieurs entreprises, il est crucial que les processus de traitement des données au sein du groupe soient conformes à la loi. Le RGPD et le BDSG réglementent la manière dont les données personnelles peuvent être collectées, stockées et traitées afin de protéger la vie privée et les droits des personnes concernées. Les entreprises et les groupes sont donc tenus de respecter ces règlements de manière conséquente afin de préserver la confiance des personnes concernées et d’éviter les risques juridiques.
Groupe et protection des données
Un groupe est une combinaison de plusieurs entreprises sous une direction unifiée. La direction du groupe a la responsabilité de s’assurer que les dispositions du Règlement Général sur la Protection des Données (RGPD) et de la Loi fédérale sur la protection des données (BDSG) sont respectées au sein du groupe. Cela concerne tous les niveaux et entreprises du groupe – de la société mère aux filiales. La collecte, le stockage et le traitement des données personnelles doivent être effectués dans tout le groupe conformément aux dispositions légales. La direction du groupe doit s’assurer que toutes les entreprises du groupe connaissent et appliquent les exigences en matière de protection des données afin de garantir la sécurité et la protection des données. Ce n’est qu’ainsi qu’un niveau de protection des données uniforme et juridiquement sûr peut être atteint dans tout le groupe.
Responsable et délégué à la protection des données
Au sein d’un groupe, le responsable est la personne ou l’entité qui décide des finalités et des moyens du traitement des données personnelles. Le délégué à la protection des données, quant à lui, est chargé de surveiller le respect des règles de protection des données dans toutes les entreprises du groupe. Il conseille la direction du groupe et les entreprises individuelles sur toutes les questions de protection des données, forme les employés et sert de point de contact pour les personnes concernées concernant leurs droits en lien avec le traitement de leurs données personnelles. Une coopération étroite entre le responsable et le délégué à la protection des données est essentielle pour garantir le respect des règles de protection des données dans tout le groupe et pour protéger efficacement les droits des personnes concernées.
BAG sur le transfert de données personnelles au sein d’un groupe – Az. 8 AZR 209/21
La protection des données joue également un rôle central dans le droit du travail. Cela concerne non seulement la gestion des données personnelles des employés vis-à-vis des tiers, mais aussi au sein d’un groupe. La Cour fédérale du travail a clairement indiqué dans son jugement du 8 mai 2025 que même lors du transfert de données au sein du groupe d’entreprises, les dispositions du Règlement Général sur la Protection des Données (RGPD) doivent être respectées (Az. 8 AZR 209/21).
Les autorités ont un rôle important dans l’application du règlement général sur la protection des données (RGPD) : elles doivent assurer le respect des lois sur la protection des données, y compris les lois sur la protection des données au niveau des Länder, et mettre en œuvre des mesures de collecte et de protection des données personnelles sur Internet. Dans certains cas, ces tâches et mesures sont régies par les articles pertinents du règlement pour protéger les droits des personnes concernées – comme les citoyens, les utilisateurs et le public – et garantir la transparence.
De la candidature à la fin de la relation de travail, de nombreuses données des employés sont collectées et traitées sur le lieu de travail. Dans ce contexte, les employeurs doivent en particulier observer les dispositions du Règlement Général sur la Protection des Données (RGPD) ainsi que la Loi fédérale sur la protection des données (BDSG), selon MTR Legal Rechtsanwälte, spécialisé notamment dans le droit de la protection des données.
Le RGPD doit être respecté lors de l’échange de données au sein d’un groupe
Les dispositions du RGPD doivent également être respectées lors de l’échange de données au sein d’un groupe, comme le montre le jugement de la Cour fédérale du travail du 8 mai 2025. Le BAG a clarifié qu’un employé peut avoir droit à des dommages-intérêts en raison d’une violation du RGPD.
Dans le cas sous-jacent, l’employeur avait transmis des données personnelles d’un employé au sein du groupe à une société holding. La raison en était qu’un nouveau logiciel de gestion des ressources humaines basé sur le cloud devait être testé. Avec le logiciel, un nouveau système de gestion des ressources humaines devait être introduit dans tout le groupe.
La phase de test préliminaire du nouveau système de gestion des ressources humaines avait auparavant été réglée par un accord de l’entreprise. Selon l’accord, le nom, le début de la relation de travail, l’entreprise, le lieu de travail ainsi que le numéro de téléphone et l’adresse e-mail professionnels pouvaient être transmis. Cependant, l’employeur avait également transmis à l’entreprise du groupe des informations concernant le salaire, la date de naissance, l’état civil, le numéro de sécurité sociale, l’identifiant fiscal et l’adresse privée de l’employé.
L’application de la réglementation sur la protection des données et des articles pertinents concerne non seulement les entreprises, mais aussi les autorités, pour protéger les droits des utilisateurs, des personnes concernées et des citoyens. Des mesures de collecte et de protection des données personnelles sur Internet ainsi que le respect des lois sur la protection des données au niveau des Länder sont des tâches importantes et centrales pour garantir la transparence vis-à-vis du public.
Données transmises sans base légale adéquate
Le plaignant s’y est opposé. Il a fait valoir que ses données avaient été traitées sans base légale adéquate, car l’utilisation de données réelles pendant la phase de test n’était pas nécessaire et violait ainsi les principes de minimisation des données et de limitation de la finalité conformément à l’art. 5 RGPD. De plus, le traitement n’était pas couvert par l’accord d’entreprise existant. Il a fait valoir un droit à des dommages-intérêts immatériels en raison d’une violation du RGPD conformément à l’art. 82 paragraphe 1 RGPD.
Après que les juridictions inférieures eurent rejeté sa plainte, celle-ci a finalement été portée devant la Cour fédérale du travail. Le BAG a d’abord saisi la Cour de justice de l’Union européenne. Dans son arrêt du 19 décembre 2024, la CJUE a précisé que les règles de traitement des données dans un accord d’entreprise doivent être conformes aux dispositions du RGPD. La Cour fédérale du travail a suivi cette jurisprudence et a décidé que le plaignant avait droit à des dommages-intérêts.
L’application des articles pertinents du règlement sur la protection des données ainsi que des lois sur la protection des données au niveau des Länder est d’une importance centrale pour les tâches et l’accomplissement du rôle des autorités et la protection des personnes et des utilisateurs concernés dans tous les cas. Des mesures de collecte et de protection des données personnelles sur Internet doivent également être mises en œuvre pour garantir la transparence vis-à-vis du public.
Droit à des dommages-intérêts immatériels
L’employeur avait transmis plus de données que ne le permettait l’accord d’entreprise à la société holding du groupe. Cela n’était pas nécessaire et constituait une infraction au RGPD, a expliqué la Cour fédérale du travail. En transmettant les données personnelles à la société holding du groupe, le plaignant avait perdu le contrôle de ses données, subissant ainsi un préjudice immatériel, a-t-elle encore précisé.
Le jugement montre que le transfert de données au sein d’un groupe doit toujours être examiné au regard de la législation sur la protection des données. Les exigences en matière de protection des données du RGPD doivent être respectées intégralement. Cela inclut notamment les principes de minimisation des données, de limitation de la finalité et de transparence.
La mise en œuvre de mesures appropriées et l’application stricte du règlement sur la protection des données ainsi que des articles pertinents sont essentielles pour la protection des personnes concernées, telles que les citoyens et les utilisateurs, et pour l’accomplissement des tâches et responsabilités des autorités dans tous les cas. Cela inclut la collecte de données sur Internet, le respect des lois sur la protection des données au niveau des Länder ainsi que la transparence vis-à-vis du public.
Exigences pour le traitement des données personnelles dans la relation de travail
En principe, le traitement des données personnelles dans la relation de travail n’est autorisé que s’il existe une base légale correspondante. Cela s’applique, par exemple, lorsque le traitement des données est nécessaire pour exécuter le contrat de travail. De plus, le traitement des données est autorisé si l’employé a donné son consentement. Il est important que ce consentement soit donné librement, soit spécifique et puisse être retiré. Le traitement des données peut également être autorisé si l’employeur peut démontrer un intérêt légitime à assurer la sécurité de l’entreprise, et qu’aucun intérêt ou droit fondamental de l’employé ne prévaut.
Le jugement du BAG souligne l’importance d’un traitement responsable des données des employés et la nécessité d’intégrer les aspects de protection des données tôt et de manière exhaustive dans les processus opérationnels.
MTR Legal Rechtsanwälte conseille dans le droit du travail et le droit de la protection des données.
N’hésitez pas à nous contacter !
L’application du règlement sur la protection des données et des articles pertinents ainsi que la mise en œuvre de mesures adéquates pour la collecte de données sur Internet et le respect des lois sur la protection des données au niveau des Länder sont d’une importance centrale pour la protection des personnes concernées, des citoyens et des utilisateurs, ainsi que pour l’accomplissement des tâches et missions des autorités dans tous les cas et vis-à-vis du public.
