La Cour de justice de l’Union européenne a rendu, le 30 mai 2013, une décision relative à l’articulation entre le droit du travail et la protection des données. Une autorité nationale de surveillance a constaté qu’une entreprise ne permettait pas la consultation immédiate de son registre du temps de travail informatisé. L’employeur a reçu une amende administrative de deux mille euros pour cette infraction grave aux règles relatives à l’organisation de l’activité. Il a contesté cette sanction devant le tribunal du travail de Viseu par la voie d’un recours en annulation de la décision initiale. Cette juridiction a interrogé le juge européen sur la qualification de ces informations et sur les obligations de sécurité incombant à l’État. La Cour a jugé que le registre constitue une donnée à caractère personnel sans toutefois empêcher un contrôle administratif immédiat et proportionné. L’étude de cette décision portera d’abord sur la qualification juridique du registre avant d’analyser la conciliation entre surveillance et protection des données.
I. L’affirmation de la nature de donnée à caractère personnel du registre du temps de travail
A. Une interprétation extensive de la notion d’information personnelle
La Cour rappelle que la notion de données à caractère personnel inclut toute indication permettant d’identifier une personne physique de manière directe ou indirecte. Le registre comporte l’ « indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes ». Ces éléments constituent bien des « informations concernant une personne physique identifiée ou identifiable » au sens de la directive européenne du 24 octobre 1995. Cette qualification impose alors au responsable du traitement de respecter les principes fondamentaux de protection prévus par le droit de l’Union. Les juges confirment ainsi que l’enregistrement des horaires de travail ne peut être soustrait au champ d’application des libertés individuelles numériques.
B. L’inclusion des données de gestion du temps de travail dans le champ protecteur
Le juge européen précise que la collecte et la consultation de ces horaires par un employeur présentent le caractère d’un traitement de données automatisé. Les magistrats soulignent que l’indication des périodes de repos journalières et hebdomadaires relève nécessairement de la vie privée protégée dans le cadre professionnel. Cette inclusion garantit aux salariés que l’usage de ces informations reste strictement encadré par les finalités déterminées lors de leur premier enregistrement. Une fois cette nature établie, il convient de s’interroger sur la légalité de l’accès immédiat de l’administration à ces documents pourtant protégés. La décision apporte des précisions essentielles sur les motifs permettant de lever la confidentialité de ces informations vis-à-vis des autorités publiques.
II. La légitimité de l’accès immédiat de l’autorité de surveillance aux données traitées
A. La justification du traitement par l’obligation légale et l’intérêt public
Le droit de l’Union européenne prévoit que le traitement est licite s’il s’avère « nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est tenu ». La mission d’intérêt public confiée aux inspecteurs du travail justifie la communication de documents utiles pour déterminer les relations et les conditions d’emploi. La Cour considère que les données sont « collectées pour des finalités déterminées, explicites et légitimes » afin d’assurer le respect effectif de la réglementation sociale. L’accès des autorités compétentes reste ainsi conforme aux exigences de légitimation dès lors qu’il poursuit l’objectif d’amélioration de la santé des travailleurs. Cette mission de surveillance constitue une condition de validité du traitement sans nécessiter le consentement préalable de chaque personne salariée.
B. La conciliation proportionnée entre sécurité des données et efficacité du contrôle
L’obligation de fournir un accès immédiat n’est pas incompatible avec la mise en œuvre de mesures techniques et d’organisation destinées à assurer la sécurité. Les juges estiment que cette immédiateté « contribue à une application plus efficace de la réglementation » en évitant tout risque d’altération ultérieure des horaires enregistrés. La juridiction nationale doit néanmoins vérifier que les sanctions infligées pour défaut de présentation instantanée respectent le principe essentiel de stricte proportionnalité. Cette décision valide le pouvoir de contrôle administratif tout en rappelant la nécessité d’un encadrement rigoureux de l’accès aux informations sensibles. La protection des données ne saurait ainsi faire obstacle aux missions de vérification des conditions de travail tant que l’atteinte reste nécessaire.
