Cette référence à l’impératif de respect des droits et libertés est cruciale et un exemple concret permettra d’en mieux saisir l’importance. On a appris récemment qu’en Chine, un certain nombre d’entreprises commençaient à déployer des techniques « d’affectice computing » sous la forme de casques dotés de capteurs cérébraux permettant de surveiller les émotions des salariés : le stress, la colère, la fatigue, etc. Les firmes qui ont recours à ces technologies disent le faire au nom de la productivité ou pour améliorer la sécurité au travail, ce qui pourrait correspondre à ce que le RGPD appelle des « intérêts légitimes ». En Chine, les employés n’ont visiblement pas pu s’opposer au déploiement de ces méthodes de contrôle terriblement intrusives et un article de Slate rapporte même ce témoignage glaçant d’un manager chinois à propos des réactions des travailleurs :
"Ils pensaient que l’on voulait lire leurs pensées. Certains étaient mal à l’aise et il y a eu de la résistance au début."
En Europe, la résistance à ces procédés pourraient s’appuyer sur le RGPD et faire obstacle à l’invocation de l’intérêt légitime de l’entreprise pour atteinte disproportionnée à des libertés et droits fondamentaux. Sachant que si l’arrivée des casques détectant les émotions paraît encore assez improbable, d’autres signes inquiétants commencent à poindre, comme ce dépôt de brevet d’Amazon sur un bracelet connecté destiné à enregistrer en permanence les mouvements des mains des employés de ses entrepôts…
Il est aussi question de la question de la pertinence du consentement du salarié ou de la salariée (à livrer ses données) dans le cadre d’une relation de subordination (le travail) :
si le respect du consentement est appelé à jouer un rôle central dans la protection des internautes, ce ne sera pas le cas pour les employés en situation de travail. La raison en est assez logique : l’employé est lié à l’employeur par une relation de subordination qui fait que par construction, le consentement ne peut pas être considéré comme « libre » en raison du déséquilibre des forces en présence. Le RGPD contient notamment un considérant 43 assez explicite quant à l’incompatibilité entre liberté du consentement et subordination :
"Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement […]
(...)
Et c’est là que le renvoi de la Charte éthique et numérique RH à l’article 88 du RGPD pourrait prendre tout son sens, en ouvrant la voie à ce que certaines notions du Règlement fassent l’objet d’une déclinaison sectorielle par le biais de conventions collectives. Cela signifie que la détermination de ce que sont les intérêts légitimes des entreprises en matière de traitement de données ne devrait pas relever d’une définition unilatérale par les employeurs. Cela peut au contraire devenir un enjeu de négociation collective et de démocratie sociale, ce qui serait parfaitement logique étant donné qu’il est question de protection des droits et de la dignité des personnes.
(...)
(...) on peut dire que l’employé paraît aujourd’hui parfois mieux protégé que ne l’est le simple internaute face aux grandes plateformes comme les GAFAM, alors même que, contrairement au salarié, il dispose en théorie du consentement individuel pour contrôler ses données. Les employés peuvent s’appuyer sur ce qui fait actuellement cruellement défaut aux internautes, à savoir des moyens collectifs de défense de leurs droits sur les données. Une fois mises en œuvre dans le champ des relations de travail, ces méthodes d’organisation et de négociation collectives pourraient être appropriées plus largement par la société civile pour défendre les données en général, y compris face aux grandes plateformes vis-à-vis desquelles nous sommes tous des « travailleurs de la donnée ».
#data_monkey #informatisation
