Si le principe de la portabilité des données personnelles est aisément compréhensible, son application dans le domaine des RH relève de la casuistique.

La question est d’autant plus prégnante que la violation de ce droit est sanctionnée par une amende de niveau 2, pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires à l’encontre du responsable du traitement.

La portabilité des données personnelles est prévue par l’article 20 du RGPD dont le texte est le suivant :

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

• le traitement est fondé sur le consentement de la personne concernée ou sur un contrat auquel elle est partie. [NDLR : L’article 20 renvoi aux articles 6, paragraphe 1, points a et b, et 9, paragraphe 2, point a, pour préciser les cas d’application].

• le traitement est effectué à l’aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.Sont donc exclus les traitements fondés sur le respect d’obligations légales ou sur le fondement de l’intérêt légitime du responsable du traitement, en l’occurrence l’employeur.A ce stade, c’est encore simple.

Cela le devient moins après la lecture :

• D’une ligne de conduite ;
• Du G29 : https://www.cnil.fr/sites/default/files/atoms/files/wp242rev01_fr.pdf; (page 10) ;
• D’une publication de la CNIL : https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions.

Il en ressort qu’effectivement les données fournies par le salarié, recueillies et traitées par les employeurs, sur la base d’un intérêt légitime ou d’obligations légales, ne sont pas concernées par le droit à la portabilité.

Mais il en ressort également que le G29 considère que le déséquilibre des pouvoirs entre l’employeur et le salarié est tel que la notion de consentement libre ne peut être retenu que dans un nombre limité de cas.

Seules sont donc concernées par l’exercice de la portabilité, les données fournies par le salarié, recueillies et traitées par les employeurs en vertu du contrat de travail. Le G29 cite pour exemple « les services de paiement et d’indemnisation ou le recrutement interne ».

Il faut donc, ainsi que le recommandent le G29 et la CNIL, analyser les demandes de portabilité au cas par cas, pour le traitement de données en matière de gestion des ressources humaines, car nombre de traitements reposent soit sur l’intérêt légitime de l’entreprise, soit sur le respect d’obligations légales par l’employeur.

En pratique, il est donc relativement complexe de distinguer les données que l’employeur a recueillies dans le cadre du contrat de travail, de celles qu’il recueille dans le cadre d’une obligation légale. A titre d’exemple, un compte-rendu d’entretien de suivi de la charge de travail d’un salarié au forfait jours est effectué pour respecter des obligations légales que l’employeur se doit d’appliquer en vertu du contrat de travail… La portabilité s’applique-t-elle à ces données ? Aucune réponse, sécurisée en droit, ne peut être donnée.

Le choix devient encore plus complexe lorsque l’on prend en compte le fait que le dossier personnel papier, du salarié, est exclu de la portabilité car le RGPD pose comme condition que « le traitement soit effectué à l’aide de procédés automatisés ».

Il faut donc bien trier les données RH dont vous disposez pour exclure toutes celles qui ne doivent pas faire l’objet de la portabilité et en limiter le champ d’application au strict minimum (relevé des connexions internet, des éventuelles utilisations des badges, des éventuelles données de géolocalisation, factures de téléphone professionnel, données de paie…).

Le tout, en prenant, bien entendu, en considération le principe selon lequel la portabilité ne doit pas porter atteinte aux droits et libertés des tiers…

Il n’y a pas de prêt à porter, c’est obligatoirement du sur mesure.