Durant ces quelques dernières années, une des problématiques les plus marquantes qui se sont posées dans le monde du travail est celle de la prise en compte de la vie privée du salarié notamment le traitement de ses données personnelles : les documents des salariés, le dossier de santé, les échanges électroniques, le pointage ainsi que l’utilisation des nouvelles technologies d’informations et de communication au sein de l’entreprise. Une définition précise ou globale de la notion des données personnelles exige de s’interroger si les dispositions de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel visent également la protection des données personnelles du salarié.
Autrement dit, les dispositions prévues assurent-elles une protection satisfaisante, visible et claire, incluant l’ensemble des données du salarié ?
L’article 1 de la loi 09-08 définit comme normative, « toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable ». Le texte précise :
« Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
En effet, Toute donnée relative à la vie privée d’un individu est une donnée à caractère personnel tels que le nom, le
prénom, l’adresse, le numéro de téléphone, l’email, l’image, les vidéos, les données biométriques, les données génétiques, la voix… La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel impose une déclaration préalable auprès de la Commission nationale de contrôle de la
protection des données à caractère personnel (CNDP) de tout traitement automatisé d’informations nominatives, définies comme celles qui permettent l’identification directe ou indirecte d’une personne1.
En effet, la loi 09-08 s’applique aux seules personnes physiques. Le législateur n’a pas entendu protéger les personnes morales. Toutefois, la Commission nationale de protection des données à caractère personnel considère comme entrant dans le champ d’application de la loi les fichiers des entreprises, dès lors qu’y sont mentionnés les noms de personnes physiques. La conception large de la notion « données à caractère personnel » Se manifeste encore en ce qu’il n’est pas nécessaire que l’information soit relative à des éléments de la vie privée ; les éléments qui se rattachent à des activités publiques d’une personne physique (activités politiques, syndicales, etc.) sont également
protégés. Il n’est pas nécessaire non plus que les informations soient confidentielles pour bénéficier de la protection de la loi 09-08. Ce qui est visé par celle-ci, en effet, c’est le fait même de l’informatisation et non la protection directe du secret de la vie privée. Aussi, l’enregistrement de données nominatives parfaitement connues du public, ou aisément constituables à partir de documents imprimés, tombe aussi sous le coup de la loi2.
L‘article 1 alinéa 2 prévoit que « est considéré comme étant un traitement à caractère personnel toute opération ou ensemble d’opération automatisées ou non servant à la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction des données à caractère personnel ». Que faut-il entendre d’abord par « traitement automatisé ?
Il s’agit de tout traitement automatisé qui s’oppose au traitement manuel en général et suppose donc des opérations effectuées sur support informatique. Il existe aussi une autre définition, qui considère le traitement automatisé comme tout fichier qui n’est pas exclusivement manuel, ce qui inclurait non seulement le cas des traitements informatisés, mais aussi celui des traitements « mécanographiques » qui ont pour objet d’accélérer la recherche manuelle et d’autoriser les recherches croisées3.
Le droit relatif à la protection des données et le droit du travail se complètent sans pour autant se croiser. Le champ d’application de ces deux réglementations est distinct: l’une consacre les droits individuels des salariés face aux traitements informatisés, sans peut être tenir suffisamment compte de la relation de travail, l’autre établit des processus de négociation pour l’introduction de nouvelles technologies sans faire référence au respect de la vie privée et de l’identité humaine. Certaines entreprises souhaitent tout savoir sur leurs salariés pour faire des rapprochements de données, des profils, des tris, postulant que les informations relatives à la vie familiale, sentimentale, le mode de vie, de présentation extérieure et les goûts, la santé (y compris le code génétique), le passé scolaire, universitaire ou pénal, les habitudes de consommation, les réactions face à une situation donnée, les activités en dehors de l’entreprise, les comportements vis-à-vis des collègues ou du supérieur hiérarchique, les opinions, convictions et appartenances diverses, la nature des communications, etc… Sont de la plus haute utilité pour administrer le personnel.
Il faut noter que le respect du secret des correspondances ou des échanges écrits constitue l’un des piliers de la protection des données personnelles du salarié. La liberté de correspondre bénéficie d’un cadre juridique majeur au titre de la liberté d’expression et englobe ainsi les communications électroniques. La question se pose alors logiquement de savoir dans quelle mesure les correspondances privées du salarié sont- elles couvertes par le respect des données personnelles du salarié? Et l’employeur peut-il en prendre connaissance ?
(1)- www.Cndp.ma/2015/03/28/15:30
(2)- Raymond GASSIN, « Informatique et libertés », in Répertoire de droit pénal et de procédure pénale- Janvier 2015, p. 29
(3)- Raymond GASSIN, « Informatique et libertés », in Répertoire de droit pénal et de procédure pénale- Janvier 2015, p. 32
Mr. ATROUCH Brahim
Docteur en Droit, Professeur universitaire
Article du magazine « AIGLE », 7ème édition