Le 21 janvier 2019, la CNIL a condamné la société Google LLC au paiement d’une amende administrative de 50.000.000 €, faisant application pour la première fois des nouveaux plafonds prévus par le RGPD entré en vigueur depuis le 25 mai 2018 (jusqu’à 10.000.000 € ou 2% du CA mondial de l’exercice précédent et, pour les manquements les plus graves, jusqu’à 20.000.000 € ou 4% du CA mondial de l’exercice précédent).
Le caractère exceptionnel du montant de cette amende a marqué les esprits. La décision de la CNIL ne porte pas sur les données des salariés de Google (mais sur les données d’utilisateurs de Google). Toutefois, en prononçant une amende record, la CNIL rappelle l’exigence pour les entreprises de s’interroger sur la conformité de leurs pratiques en matière de gestion des données personnelles, y compris dans le domaine RH.
La décision rendue par la CNIL apporte un éclairage sur deux types de manquements au RGPD :
- D’une part, un manquement à l’obligation « de transparence et d’information » qui impose d’informer les personnes préalablement au traitement de leurs données.
Selon la CNIL, certaines informations à fournir aux personnes concernées par les traitements opérés par Google LLC (telles que les finalités du traitement, les catégories de données traitées ou leurs durées de conservation) n’étaient pas aisément accessibles ou n’étaient pas communiquées de manière claire et compréhensible.
Application au domaine RH : les employeurs doivent s’assurer que les candidats à l’embauche et les salariés sont bien informés sur les traitements de données RH les concernant dans le cadre de notes d’information formulées en des termes clairs et simples.
- D’autre part, un manquement à l’obligation de disposer d’une « base légale » pour justifier la licéité du traitement (exécution d’un contrat auquel la personne concernée est partie, respect d’une obligation légale, « intérêt légitime » du responsable de traitement, consentement de la personne concernée…).
Alors que la société Google LLC invoquait le consentement des utilisateurs pour justifier le traitement de leurs données à des fins publicitaires, la CNIL considère que ce consentement n’avait pas été valablement recueilli, celui-ci n’étant pas suffisamment éclairé, « spécifique » et « univoque ».
Application au domaine RH : les employeurs devront vérifier que leurs traitements concernant des salariés correspondent bien à l’une des bases juridiques prévues par le RGPD, étant précisé qu’en pratique, le recours au consentement des salariés devra être évité autant que possible.
En effet, selon le RGPD, le consentement doit se manifester par un acte positif clair et n’est pas valable en cas de « déséquilibre manifeste » entre la personne concernée et le responsable de traitement. En outre, la personne concernée peut retirer son consentement à tout moment, ce qui ne manquerait de poser des difficultés pratiques pour des salariés de l’entreprise.
Plus de 7 mois après son entrée en vigueur, le RGPD n’a pas fini de faire parler de lui…