LES DONNÉES PERSONNELLES
AU CŒUR DES RAPPORTS
ENTRE EMPLOYEUR ET TRAVAILLEUR

L’enjeu de sécurité

INTRODUCTION

La question des données personnelles et de la vie privée a fait irruption dans la sphère du travail et de son droit, à propos de la surveillance que les technologies de l’information et de la communication permettent à l’employeur de mettre en œuvre.

On a d’abord redouté une mainmise sur les dossiers, les mails, une géolocalisation des véhicules puis des salariés eux-mêmes. On s’est aussi beaucoup inquiété de la perméabilité croissante entre vie professionnelle et vie personnelle, celle-ci donnant lieu à des comportements nouveaux et souvent mal maîtrisés, comme la connexion permanente, la « joignabilité » totale, la confusion entre un discours d’ordre privé ou public sur les réseaux sociaux.

C’est dire que la perception du rôle du numérique par le droit a d’abord été plutôt négative. Les règles ont évolué cependant et la jurisprudence a clarifié les choses progressivement. De même, les pratiques ont démontré que les travailleurs avaient une aptitude à l’autorégulation, acceptant par exemple d’être joignables en dehors de la sphère professionnelle en contrepartie d’une plus grande autonomie sur le lieu de travail et pendant les heures de travail1.

Il apparaît donc que la question du numérique et des données personnelles en particulier est au cœur de relations de pouvoir renouvelées entre employeur et travailleur.

Si l’on se réfère à des publications récentes sur le travail et le numérique2, on constate que la question des rapports de pouvoir, et plus particulièrement celle du pouvoir de direction de l’employeur, est traitée en filigrane à propos de la fin supposée du salariat, à propos de l’impact du numérique sur le cadre de travail à travers l’évolution des notions de lieu et temps de travail qui transforme le lien de subordination.

Les généralités et généralisations semblent faire loi lorsqu’il s’agit d’appréhender les transitions numériques au travail. À l’opposé, la jurisprudence constitue un miroir parfois déformant de la réalité, lorsqu’elle met en lumière certains problèmes très spécifiques et ponctuels.

Pour concilier ces deux approches en vue de saisir la complexité de l’évolution de ces rapports de pouvoir, il est utile de se référer à un cas. Nous nous intéresserons ici à un dispositif technique d’assistance à personne en danger potentiel, analysé et expérimenté dans le cadre d’un projet collaboratif3. L’originalité du dispositif vient du fait qu’il concentre des fonctionnalités habituellement éclatées et notamment celles d’un dispositif d’alarme pour travailleur isolé (DATI).

Il s’agira de rendre compte de son acceptabilité juridique dans la perspective de la prévention de certains risques professionnels. Ce dispositif est fondé sur le traitement de données personnelles particulièrement sensibles puisqu’il s’agit de données physiologiques. Il s’agit d’un cas emblématique dans la mesure où il révèle un conflit potentiel entre une utilisation imposée par l’employeur et le refus possible par le travailleur du traitement de ses données personnelles.

On s’intéressera donc successivement aux traitements de données en tant qu’ils permettent à l’employeur de satisfaire à son obligation 159de sécurité de résultat (I), puis on verra dans quelle mesure la mise en œuvre de ces traitements est subordonnée à l’exercice des libertés du travailleur (II).

LE TRAITEMENT DES DONNÉES PERSONNELLES
AU SERVICE DE L’OBLIGATION DE SÉCURITÉ

Le traitement de données personnelles par l’employeur peut répondre à plusieurs finalités dans le cadre de la mise en œuvre de son pouvoir de direction. L’usage qu’il fait des données est perçu le plus souvent comme une menace pour l’autonomie du travailleur voire comme une source de stress nouvelle. C’est évidemment la surveillance et les nouvelles formes qu’elle revêt qui sont en jeu.

Mais les finalités de tels traitements peuvent aussi consister à assurer une meilleure sécurité au travailleur, une meilleure santé, un réel bien-être. Ces finalités nous placent d’emblée au cœur du droit du travail puisque l’objectif de sécurisation des personnes est à l’origine de tous les droits du travail européens auxquels on assigne la tâche de civiliser les relations de travail4.

Le dispositif technique qui nous intéresse a plus particulièrement pour objectif de prévenir les risques pesant sur certains travailleurs. Il s’agit d’un boîtier composé de capteurs qui permet d’enregistrer des données physiologiques comme le rythme cardiaque, le rythme respiratoire, la température corporelle, les mouvements et inclinaisons du corps. Outre ces données, le système permet aussi de traiter des données contextuelles comme l’environnement sonore ou visuel du travailleur.

Le recours à un tel dispositif permet de détecter une situation de stress anormale dans l’exercice d’un métier, comme celui de pompier ou de convoyeur de fonds, et d’activer une alerte de manière plus rapide et sûre que celle que l’intéressé pourrait activer de sa propre initiative.

Quoi de plus naturel alors que d’utiliser un tel système lorsqu’on est employeur et comment imaginer par ailleurs qu’un travailleur n’y trouve pas avantage ou pire s’y oppose ?

L’obligation de sécurité de résultat
comme limitation du pouvoir de direction

Pour l’employeur, l’usage de tels systèmes permet de se conformer à l’obligation de sécurité de résultat. Après une première formalisation par la Cour de Cassation, cette obligation va trouver sa source en droit de l’Union européenne dans une directive de 1989 qui impose à l’employeur d’assurer la sécurité et de protéger la santé physique et mentale des travailleurs. L’obligation est transposée en droit français dans l’article L4121.1 du Code du travail.

Le résultat ainsi attendu n’est pas l’absence d’atteinte à la santé mais l’ensemble des mesures prises par l’employeur dont les actions vont s’inscrire dans une perspective de prévention sur la base de l’évaluation des risques professionnels. Dans notre cas, l’enjeu consiste à assurer d’abord la protection individuelle du travailleur et par ricochet de ceux qui interviennent avec lui.

Mais la particularité du dispositif étudié tient au fait qu’il ne se limite pas à prévenir les lésions physiques. Il s’apparente aussi à tout ce qui tend au respect des rythmes du vivant puisqu’il donne des informations sur la manière dont le corps du travailleur réagit et agit dans le cadre d’une mission déterminée. Si sa vie est réellement menacée, l’alerte devrait naturellement conduire à mettre le travailleur en vacance de sa mission.

Le dispositif apparaît en tout comme étant adapté à la prévention des risques et toutes les conditions sont donc réunies pour inciter l’employeur à l’utiliser. Il sera tenté d’équiper ces corps, soulignant ainsi que ceux-ci sont déjà objectivés dans le contrat de travail qui « tire le corps humain du côté des choses5 ». L’environnement numérique l’y invite aussi dès lors que l’exigence de sécurité s’accroît lorsque les moyens de la renforcer existent dans un contexte de recherche du « mieux » technologique.

La question est alors plutôt de savoir si l’employeur peut se voir imposer l’utilisation de tels dispositifs ou s’il doit se l’imposer à lui-même. Pour répondre à cette question, il convient de mesurer l’étendue 161de la responsabilité de l’employeur si celui-ci se prive volontairement des techniques à sa disposition.

D’une manière générale, en matière de sécurité au travail, la mise en exergue de la notion de risque va de pair avec un régime de responsabilité objective fondé sur la notion de risque et non de faute. C’est ce qui explique la position des juges lorsqu’ils condamnent le tabagisme passif en l’absence de dommages.

La responsabilité de l’employeur peut donc être civile, administrative et aussi pénale. Les deux premiers régimes répondent à la même logique. Est susceptible d’être sanctionné à ce titre le manquement à l’obligation de sécurité de résultat dans le cadre soit d’un contrat de travail (droit du travail) soit du fonctionnariat ou d’un contrat de droit public. À cela s’ajoute la possibilité d’une sanction pénale pour les atteintes involontaires à la vie ou à l’intégrité des personnes, faute d’avoir pris notamment les mesures de sécurité adéquates.

L’obligation de sécurité de résultat ainsi conçue peut donc se voir comme une limitation au pouvoir de direction de l’employeur. Du côté du travailleur, est attendue néanmoins la mise en œuvre d’une obligation de sécurité de moyen.

L’obligation de moyen
comme expression du pouvoir de direction

L’employeur retrouve une certaine latitude lorsqu’il s’agit de rappeler au travailleur l’obligation de moyen qui pèse sur lui. Qu’il s’agisse du droit du travail ou du droit de la fonction publique, les travailleurs doivent se conformer aux instructions données par l’employeur. Ces instructions peuvent porter sur l’usage de certains moyens propres à garantir la sécurité et la santé.

L’article L4122-1 du Code du travail est très explicite lorsqu’il prévoit qu’il « incombe à chaque travailleur de prendre soin, en fonction de sa formation et selon ses possibilités, de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail. Les instructions de l’employeur précisent, en particulier lorsque la nature des risques le justifie, les conditions d’utilisation des équipements de travail, des moyens de protection, des substances et préparations dangereuses. Elles sont adaptées à la nature des tâches à accomplir ».

L’usage d’équipements de travail est mentionné et correspond au cas qui nous intéresse puisque les capteurs constituent de tels équipements, intégrés de surcroît aux vêtements de travail. On notera par ailleurs que l’évaluation du risque constitue un préalable qui guidera l’employeur dans sa réflexion sur l’adaptation de ses instructions à la nature des tâches à accomplir.

Refuser de porter par exemple des équipements de protection pourra donc légitimement conduire l’employeur à sanctionner le travailleur comme la jurisprudence l’a reconnu. Et c’est presque d’un devoir de sanction qu’il conviendrait de parler au regard de l’obligation de sécurité incombant à l’employeur.

Ainsi renforcé par l’obligation de moyen, le pouvoir de l’employeur peut toutefois trouver ses limites dans celui du travailleur, tel qu’il s’exprime dans le consentement à voir ses données personnelles traitées. A pouvoir de l’employeur s’opposent donc les libertés du travailleur.

UN TRAITEMENT SUBORDONNÉ
À L’EXERCICE DES LIBERTÉS DU TRAVAILLEUR

Le pouvoir du travailleur sur ses données personnelles

Le dispositif juridique de protection des données personnelles et de la vie privée est déjà ancien, 1978 pour la France avec sa grande loi dite « informatique et libertés », 1995 pour l’Union européenne avec la directive désormais remplacée par le règlement adopté en 20166.

Ce dispositif évolue lentement mais on observe certaines tendances très significatives comme celle qui consiste à donner à la personne concernée par le traitement de ses données un contrôle de plus en plus important. On parle à ce propos d’autodétermination informationnelle. Il n’est donc pas étonnant que le consentement de la personne soit devenu au fil du temps un principe directeur en matière de protection des données. Ce consentement est désormais si important qu’il peut non seulement être donné mais qu’il pourra également être retiré ce qui fragilise, l’avenir 163nous le dira, la position des responsables de traitement de données, parmi lesquels les employeurs.

S’agissant des données concernées dans notre cas, il conviendra d’abord de s’interroger sur leur statut, avant de pouvoir déterminer le régime juridique qui leur est applicable. Les données traitées sont des données physiologiques et des données de géolocalisation. Il ne fait pas de doute qu’il s’agit de données personnelles dans la mesure où elles permettent d’identifier la personne concernée.

En ce qui concerne les données physiologiques, la législation ne les définit pas alors qu’elles font l’objet de traitements de plus en plus intenses, notamment avec l’émergence du quantified self (auto-mesure de soi). L’article 4 (1) du règlement européen précise que les données personnelles qui permettent d’identifier directement ou indirectement une personne peuvent être constituées d’éléments spécifiques propres à l’identité physiologique d’une personne.

Le terme de physiologique apparaît plus précisément dans la définition des données dites génétiques, de telles données pouvant porter sur des informations relatives à la physiologie d’une personne. Il est aussi fait mention des données physiologiques dans la définition des données biométriques qui permettent d’identifier une personne de manière unique.

Les données traitées par notre dispositif n’entrent dans aucune de ces deux catégories spécifiques, même si la question se pose à propos de certaines données physiologiques comme le rythme cardiaque dont on se peut se demander s’il pourrait être propre à une seule personne.

La seule certitude, c’est que les données traitées dans le cadre de la prévention des risques professionnels correspondent à la catégorie des données dites de santé. En les définissant, le règlement européen ne fait pas référence aux données physiologiques. En revanche, on retrouve une mention des données physiologiques dans le considérant 26 du règlement qui indique que l’état physiologique d’une personne peut être constitutif d’une donnée de santé.

La particularité de ce type de données au sein de l’ensemble des données personnelles, c’est leur sensibilité. Par principe, le traitement de telles données est interdit, sauf à s’inscrire dans le cadre d’une exception. Dans notre cas, la seule possibilité sera le recueil préalable du consentement du travailleur.

Pour consentir, celui-ci devra disposer d’un certain nombre d’informations, la plus importante étant la finalité du traitement tel qu’il sera déclaré par l’employeur. Il ne fait pas de doute que la finalité première est bien la prévention des risques professionnels, étant entendu que l’on ne peut s’en écarter sans enfreindre la loi.

Quelles sont les chances pour l’employeur d’obtenir le consentement du travailleur ? Les travaux réalisés sur l’acceptabilité sociale de ce type de dispositif ont montré que les travailleurs étaient plutôt enclins à accepter de s’équiper. Cependant, au regard des finalités, certaines inquiétudes ont été exprimées. La crainte est réelle de voir la finalité première détournée, en toute illégalité bien sûr. Il est vrai qu’un tel dispositif fournit des informations utiles, sur le niveau de stress d’un travailleur par exemple. Si le seuil d’alerte est relativement faible, on pourrait en déduire que le travailleur est trop émotif ou inapte pour le poste. De la même manière, grâce aux données physiologiques, on peut avoir des renseignements sur une consommation excessive d’alcool ou sur la prise de stupéfiants. Le dispositif est donc potentiellement un mouchard.

À supposer que ces craintes débouchent sur un refus d’utilisation du dispositif, on pourra se demander si l’employeur serait fondé à contraindre le travailleur à consentir, jusqu’à lui imposer des sanctions disciplinaires. Mais celles-ci seraient aisément contestables car elles s’analyseraient comme une manière de forcer le consentement requis par la loi « Informatique et libertés ».

Il n’en reste pas moins, en cas de refus d’usage, que l’employeur risquerait de voir sa responsabilité engagée pour avoir manqué à son obligation de sécurité de résultat.

Face à cette contradiction potentielle entre les obligations de l’employeur et les droits du travailleur, on pourrait arguer du fait que proposer l’équipement suffit à satisfaire à l’obligation de sécurité, dès lors que les mesures disciplinaires ne pourraient être déclenchées. À l’impossibilité de sanctionner l’employeur répondrait ainsi l’impossibilité de sanctionner le travailleur7.

La question de l’accès du médecin
et du travailleur lui-même

Les choses se compliquent encore si l’employeur ajoute une seconde finalité au traitement, en l’occurrence la protection de la santé du travailleur par une meilleure surveillance médicale. La durée de conservation des données se trouverait affectée par une telle extension des finalités puisque dans le schéma initial, l’effacement est prévu à très court terme. La question se pose alors de savoir qui doit ou peut avoir accès aux données conservées, en dehors de l’employeur.

S’agissant du médecin du travail, son accès aux données se justifie dans le cadre de sa mission de prévention quant à l’altération de la santé du travailleur. L’intérêt principal semble résider dans l’aide aux actions de surveillance, surtout pour les métiers appelant une surveillance renforcée dont les modalités sont librement fixées par les médecins eux-mêmes. Le risque est alors que le médecin déclenche un dépistage spécifique de drogue et d’alcool ou tout autre examen non souhaité, sur la base d’un accès à des données physiologiques.

Si les données de santé sont traitées à des finalités de santé, se pose parallèlement la question de la qualification juridique du dispositif lui-même. S’il s’agit d’un dispositif médical, ce qui n’est pas le cas dans une optique de prévention des risques, de nouvelles contraintes apparaissent. Un dispositif médical est qualifié comme tel s’il est destiné par le fabricant à être utilisé à des fins de diagnostic et/ou thérapeutique. L’utilisation doit alors se faire dans un contexte médical. Cependant, la requalification du dispositif peut aussi intervenir a posteriori en considération de sa nature réelle.

Et si le dispositif change de nature, c’est aussi le statut du travailleur qui a vocation à être reconsidéré, celui-ci se transformant alors en patient. C’est ainsi qu’il pourrait se percevoir lui-même s’il était amené à contrôler ses données, au-delà du droit à consentir. Cela supposerait que la carte mémoire où sont stockées les données physiologiques soit la propriété, non pas de l’employeur, mais du travailleur. Survient alors une nouvelle finalité de type quantified self. Dans cette configuration, le travailleur deviendrait le responsable du traitement au sens de la loi de 1978, définissant les finalités et les modes d’accès, y compris celui du médecin.

On s’éloigne ici de la protection de la santé au sens strict pour aller vers la promotion du bien-être au travail. Or, la personne n’est pas nécessairement à même de mesurer toute l’importance des données la concernant. La CNIL relève ainsi que « la frontière peut être floue entre le médical et le simple suivi de son bien-être. Une donnée peut sembler anodine pour un utilisateur au moment où il la partage, mais receler beaucoup d’informations pour un spécialiste qui pourrait y avoir accès par la suite. À titre d’exemple, une fois interprété, le rapport poids/tour de taille peut être utilisé à l’appui d’une évaluation du risque cardio-vasculaire8 ».

C’est dire que de telles données peuvent présenter un intérêt plus général, justifiant ainsi une démarche de type Open Data. En effet, une fois anonymisées, elles peuvent constituer une ressource pour la gestion des politiques publiques de santé, dans une optique également de réalisation d’économies. Mais ce qui est au cœur du débat sur l’Open Data de santé, relancé récemment par la ministre Marisol Touraine, n’a pas nécessairement vocation à s’appliquer aux données traitées à l’initiative de l’employeur.

CONCLUSION

Le traitement de données personnelles sensibles apparaît donc bien comme un enjeu dans les rapports de pouvoir entre employeur et travailleur. Ce dernier tire a priori toute sa force de sa capacité à consentir aux traitements. Même si l’hypothèse du refus est envisageable, il est indéniable que celui-ci sera difficile à exprimer, surtout lorsqu’il s’agit de missions collectives comme celles assignées aux pompiers. C’est donc plus au niveau des instances de représentation du personnel que peuvent remonter certaines décisions.

Par ailleurs, le cas examiné pose un problème bien connu, celui du rôle du consentement dans le système juridique de protection des données personnelles et de la vie privée. Si la vision « micro-juridique » permet d’affirmer que le consentement est une véritable clé de voûte 167de l’édifice, une approche éthique conduit à douter du fait que ce soit le consentement qui puisse faire la validité de tels projets. L’Autorité néerlandaise de protection des données a ainsi estimé dans une affaire récente concernant des bracelets électroniques, que le consentement est sans valeur dans la mesure où il n’est pas libre compte tenu de la relation de dépendance du salarié vis-à-vis de l’employeur9. Ce qui est en jeu en effet, c’est le contrôle généralisé, la mise en acceptabilité d’une gestion biopolitique des relations10, ici les relations de travail.

Au problème de la conciliation entre les obligations de l’employeur et les droits du travailleur, s’ajoute enfin une tension entre la protection des données dans une logique de fermeture et les perspectives d’ouverture de ces mêmes données dans le contexte de l’Open Data de santé et du Big Data. Cette question relativement nouvelle interfère alors avec celle du rapport de pouvoir entre employeur et travailleur et représente pour ce dernier une source de légitimité évidente pour revendiquer plus d’autonomie dans son travail via un réel contrôle sur ses données11.

Annie Blandin

Professeur à l’IMT Atlantique, chaire Jean Monnet