Cas de figure : un responsable de traitement est informé par un opérateur de coupures d'électricité, mais sans planning précis. Il souhaite informer ses collaborateurs. Mais comment faire ?
L'Intranet de l'employeur n'est accessible qu'à partir d'un ordinateur qui est connecté au réseau de l'entreprise. Hors des bureaux, le collaborateur ne peut s'y connecter.
Pour prévenir ses salariés malgré tout, le responsable de traitement souhaite collecter le numéro de téléphone personnel de ses collaborateurs afin de leur faire un SMS pour leur éviter de se déplacer inutilement. Il interroge le DPO sur sa démarche. Faut-il demander le consentement des salariés pour obtenir leur numéro de téléphone portable ou l'entreprise a-t-elle le droit de lui demander sans passer par "la case" consentement ?
Voici la réponse du DPO :
1) Ce traitement est-il absolument nécessaire ?
Non, en l'espèce, ce n'est pas absolument nécessaire. Mais par respect pour ses salariés, le responsable de traitement veut simplement les prévenir qu'il est inutile qu'ils se déplacent pour venir au bureau durant la coupure d'électricité.
2) la base légale peut-elle être le consentement ?
En apparence, la réponse semblerait évidente. C'est une donnée personnelle, le salarié ne devrait pas avoir à la donner. Est-ce qu'une panne de courant justifie la demande de l'employeur ?
Mais cette réponse induit que la base légale serait le consentement, ce qui signifie l'obtention de ce consentement par un moyen explicite. La procédure est lourde et inadaptée dans le cas présent.
Compte tenu des circonstances et des délais, sans parler de l'aspect juridique du choix de base légale, ce n'est pas la bonne solution.
3) la base légale est l'intérêt légitime de l'entreprise
Il y a la base légale de l'intérêt légitime pour lequel la balance des intérêts (employeur/salariés) ne semble pas problématique dans ce cas précis, car la demande est "vertueuse" (éviter aux collaborateurs de perdre du temps).
En l'espèce, le pragmatisme doit primer, d'autant que le salarié a toujours un droit d'opposition (article 21 RGPD). L'intérêt légitime de l'entreprise cédera toujours face à l'exigence de limitiation et de pertinence dans le traitement d'une donnée.
Et n'oublions pas la responsabilité du Responsable de traitement lui-même (art 24-1) : "Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, (...), le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire."
En conclusion, le pragmatisme prime sur une lecture rigide (et déformée) du texte de loi. Mais le (toujours) mieux sera pour le responsable de traitement de choisir l'anticipation.
Quelque soit l'événement, et même si son occurrence est faible en termes de risque, les conséquences, elles, peuvent être potentiellement graves. Imaginons des risques d'incendie, de fuite de produits toxiques, de violences urbaines sur le trajet d'un site, l'employeur doit pouvoir prévenir l'ensemble de ses salariés par des procédures déjà en place et connues de tous. On peut citer :
la mise en place d'une page Web d'information spéciale et dédiée;
doublée éventuellement d'une alerte par courrier électronique aux collaborateurs;
secondée par la mise en place d'une boite e-mail répondeur automatique dédiée, créée pour la cause (du type alertes@XX.com ).