Les cookies sur le site l’IFPPC

Ce site utilise des cookies nécessaires au fonctionnement de l'espace Adhérents et des cookies destinés à mesurer la fréquentation du site pour en améliorer la performance.

Plus d'information

Partager

Le sort des données personnelles en cas de transfert d'entreprise : un enjeu juridique sous-estimé ?

Le transfert d'entreprise est une opération courante dans le cadre des procédures collectives et qui soulève, au-delà des considérations financières et stratégiques, d'importantes questions juridiques, notamment concernant le sort des données personnelles des salariés. 

Par Nabil KEROUAZ, Avocat associé

Cette problématique, au carrefour du droit du travail et du droit des données personnelles, mérite une attention particulière à l'heure où la protection des informations individuelles est devenue un enjeu sociétal majeur, dont il est impératif d'appréhender les implications juridiques et pratiques lors du transfert de ces données.

I. Un cadre juridique complexe et contraignant : les défis du traitement des données

Il est remarquable de relever que si le transfert d'entreprise est régi par l'article L. 1224-1 du Code du travail, qui prévoit le maintien des contrats de travail en cas de modification dans la situation juridique de l'employeur. Ce texte laisse en suspens les modalités de traitement des données personnelles des salariés transférés.

C'est le Règlement Général sur la Protection des Données (RGPD) qui encadre le traitement de ces informations. Véritable socle de la protection des données personnelles en Europe, le RGPD impose un ensemble de principes fondamentaux que toute organisation, y compris celles impliquées dans un transfert d'entreprise, doit scrupuleusement respecter.

Ces principes, énoncés à l'article 5 du RGPD, incluent notamment :

  • Licéité, Loyauté et Transparence : Le traitement des données doit être fondé sur une base juridique valable et effectué de manière transparente pour les personnes concernées. Cette exigence implique une communication claire et précise aux salariés quant à l'utilisation de leurs données.
  • Limitation des Finalités : Les données ne doivent être collectées que pour des finalités déterminées, explicites et légitimes.
  • Minimisation des Données : Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement doivent être collectées. Cette exigence impose une approche sélective et proportionnée dans la collecte des données.
  • Exactitude : Les données doivent être exactes et, si nécessaire, tenues à jour, ce qui implique des mécanismes de vérification et de correction des données.
  • Limitation de la Conservation : Les données ne doivent être conservées que pendant une durée n'excédant pas celle nécessaire au regard des finalités du traitement.
  • Intégrité et Confidentialité : Les données doivent être traitées de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages d'origine accidentelle.

Dans le contexte spécifique des relations professionnelles, le RGPD impose notamment des obligations de transparence, de limitation des finalités et de minimisation des données. 

"Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail [...]" (RGPD, art. 88, § 1).

II. L’appréhension de la question des données personnelles dans les opérations de transfert d’entreprise : Un impératif pour les AJMJ

Dans le cadre d'un transfert d'entreprise, la base juridique la plus souvent invoquée est l'intérêt légitime du cessionnaire à poursuivre l'activité de l'entreprise cédée. 

Toutefois, cet intérêt doit être mis en balance avec les droits et libertés fondamentaux des salariés, notamment leur droit à la vie privée et à la protection de leurs données personnelles

Ainsi, en cas de transfert d’entreprise, les données personnelles des employés, telles que les fiches de paie, les évaluations de performance ou les informations de santé, doivent être protégées conformément aux principes du RGPD, notamment la minimisation des données, la limitation des finalités et la durée de conservation.  

Plus directement, conformément aux articles 13 et 14 du RGPD, les salariés doivent être informés des éléments suivants lors du transfert de leurs données personnelles :

  • L'identité et les coordonnées du responsable du traitement ;
  • Les finalités du traitement et la base juridique ;
  • Les catégories de données concernées ;
  • Les destinataires ou catégories de destinataires des données ;
  • La durée de conservation des données ;
  • Les droits des salariés (accès, rectification, opposition, etc.) et les modalités pour les exercer ;

La réalité est que, dans une proportion dominante des cas, les salariés ne sont pas informés de ce transfert de données, ce qui constitue une violation des exigences du RGPD.

En effet, malgré le cadre juridique strict, les pratiques en matière de transfert de données personnelles restent souvent lacunaires alors que c’est un enjeu important pour un cessionnaire qui pourrait solliciter un audit dédié afin de connaitre :  

  • Le nombre de salariés impliqués, car les entreprises dépassant un certain seuil sont soumises à des obligations réglementaires spécifiques.
  • La désignation d'un délégué à la protection des données (DPO).
  • L'existence de contentieux en cours ou passés liés au traitement des données.
  • Les failles de sécurité survenues au cours des 24 derniers mois.
  • L'existence d'un registre des traitements pour la partie RH.
  • La conformité des politiques et procédures en matière de gestion des droits d'accès, des durées de conservation, des habilitations, de la politique de confidentialité et de la charte informatique.
  • La nature des données traitées, en s'assurant qu'aucune donnée interdite ou sensible n'est collectée illégalement.
  • La sécurisation des infrastructures.

Ce d’autant que « tout responsable de traitement ayant participé au traitement est responsable du dommage causé […] » par ce dernier lorsqu’il constitue une violation du RGPD. Dès lors, en cas de reprise d’un traitement vicié préexistant par un nouveau responsable, ce dernier assumera les erreurs de son prédécesseur, ne serait-ce que parce qu’il n’a pas réagi au (x) manquement (s) constaté (s) (RGPD, art. 82).

Sur ce fondement, la Cnil italienne a sanctionné une entreprise cessionnaire à une amende de 1.400,000 € pour absence de consentement des personnes concernées, couplée à une violation du principe de « finalité et de limitation », des violations pourtant perpétrées avant le transfert, sous la responsabilité de l’entité cédée (Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A., 20 octobre 2022).

Il est donc impératif d’intégrer cette question dans le cadre des mandats judiciaires confiées aux AJMJ pour s’assurer des pratiques de gestion des données personnelles avant toute  opération de transfert. 

On ne rappellera jamais assez que « (…) dans sa mission d'assistance, l'Administrateur est tenu au respect des obligations légales et conventionnelles incombant au chef d'entreprise. » (L 622-1 du Code de commerce).

  • Dans ce cadre, un audit, qui s’intègrerait utilement et pertinemment au BESE, devra porter sur :
  • L'existence et le contenu du registre des traitements ;
  • La nature des données traitées, en veillant particulièrement aux données sensibles ;
  • Les mesures de sécurité mises en place ;
  • Les procédures de gestion des droits des personnes concernées.

Cet examen nécessaire permettra d'identifier les éventuelles non-conformités et d'y remédier avant le transfert, limitant ainsi les risques juridiques et opérationnels.

III. Le tri en cas de transfert des données du personnel : Un exercice délicat et essentiel

Bien sûr, lors d'un transfert d'entreprise, seules les données strictement nécessaires à la poursuite des relations de travail doivent être transmises au nouvel employeur. Ces données incluent généralement :

  • Les informations d'identification des salariés (nom, prénom, coordonnées professionnelles) ;
  • Les données relatives au contrat de travail (poste, ancienneté, rémunération, etc.) ;
  • Les informations nécessaires à la gestion des droits sociaux (mutuelle, prévoyance, etc.) 

Toute donnée non pertinente ou excessive par rapport à ces finalités ne doit pas être transférée.

Au-delà de ce tri délicat, cédant et cessionnaires sont condamnés à s’accorder car, la combinaison des corpus juridiques créée un cadre complexe que les protagonistes, dans une opération de cession, doivent maîtriser pour sécuriser leurs opérations de transfert.

  • L'entreprise cédante, en tant que responsable initial du traitement, est tenue de garantir la conformité des traitements de données personnelles avant le transfert ;
  • Après le transfert, l'entreprise cessionnaire devient responsable du traitement des données personnelles des salariés transférés (sans, à notre avis, qu’il puise limiter ses obligations à celles uniquement communiquées par écrit).

Pour le cédant, il faudra veiller à informer les salariés de manière transparente sur le devenir de leurs données (par exemple sous forme d’une notice d'information pour leur expliquer les modalités du transfert de leurs données et leurs droits)

Pour le cessionnaire, il devra, de son côté :

  • Informer les salariés des changements inhérents au transfert de leur données
  • Mettre à jour la documentation et le registre des traitements, 
  • « Garantir » la conformité des pratiques de l'entreprise cédante. 

Reste la question de savoir si l'entreprise cédante peut ou doit conserver une copie des données personnelles des salariés transférés. Si le RGPD ne tranche pas explicitement cette question, deux approches peuvent être distinguées :

  • L'Approche Restrictive considère que l'entreprise cédante perd toute légitimité à conserver les données personnelles des salariés dès lors qu'elle n'est plus responsable du traitement. La conservation de ces données constituerait un traitement illicite, sauf si elle est justifiée par une obligation légale ou un intérêt légitime spécifique.
  • L'Approche Extensive met en avant les obligations de conservation des archives (pénalement sanctionnés) et la possibilité d'actions en justice intentées par d'anciens salariés. La conservation des données permettant à l'entreprise cédante de se défendre en cas de litige.

*****

Le transfert d'entreprise, opération complexe aux multiples facettes, exige une attention particulière à la question de la protection des données personnelles. Le RGPD, par son caractère impératif et la sévérité des sanctions encourues, impose une approche prudente et documentée qui impose à : 

  • L'entreprise cédante, de garantir/sécuriser la conformité des traitements avant le transfert.
  • L'entreprise cessionnaire, de régulariser/s’assurer la continuité de la conformité après le transfert.

Pour ce faire, seule l'adoption de bonnes pratiques et la mise en place de procédures rigoureuses permettront de sécuriser ces opérations.  

A lire aussi :

Dernières actualités

En savoir plus sur l'IFPPC

Haut de page