Que s’est-il passé ? L’année dernière, plus précisément le 23 août 2023, le tribunal du travail d’Elmshorn a statué sur la dissolution d’un CSE en raison de nombreux manquements à ses obligations (réf. 3 BV 31 e/23). Le CSE avait conservé durablement des dossiers de salariés contenant des données relatives aux congés et à la santé, sans base juridique conformément au RGPD, au BDSG ou au BetrVG. En outre, des dossiers sur tous les employés ont été tenus, des demandes de congés non contestées ont été examinées et la direction a été exclue de la réunion d’entreprise.
Dans son jugement, le tribunal a également considéré comme des manquements aux obligations le fait de stocker des données de temps de travail, la transmission de données relatives à la santé, la tenue d’un second dossier personnel et le non-respect de l’obligation de collaborer en toute confiance. Dans le cadre de l’analyse du jugement, il convient de noter que les obstacles à la dissolution d’un CSE sont en principe très élevés.
Prises individuellement, les infractions n’étaient pas suffisantes pour justifier la dissolution du CSE.
Le tribunal a toutefois considéré que l’ensemble des violations de la protection des données constituait un manquement grave aux obligations. L’évaluation du tribunal du travail a pris en compte les nouveautés de la BetrVG qui n’ont été introduites qu’en 2022. Il s’agit du nouveau paragraphe 79a, qui précise dans les phrases 1 à 3 les obligations en matière de protection des données. Comme le CSE agit généralement de manière indépendante et sans instructions, le pouvoir de contrôle de la direction est limité. Ce qui est intéressant, c’est la décision judiciaire qui découle du jugement, à savoir la dissolution de l’ensemble du CSE. Il s’agit d’une décision qui est rarement prise dans le cadre d’une procédure judiciaire impliquant un CSE.
Le jugement ne précise pas le rôle joué par le délégué à la protection des données dans l’entreprise en question. En vertu de l’article 79a de la BetrVG, il lui incombe également de surveiller et d’assister le CSE dans l’accomplissement de ses obligations. Une stricte neutralité et une grande discrétion s’imposent ici. En effet, il a notamment un droit de regard sur le processus de formation de l’opinion du CSE.
Le DPD a toujours le devoir de sensibiliser les CSE à leurs obligations en matière de protection des données. Mais cela présuppose également que le CSE coopère et travaille avec le délégué à la protection des données.
Dans ce contexte, il convient de mentionner un jugement plus ancien, rendu par la Cour fédérale du travail en mai 2023 (BAG 11. 5. 2023 – 1 ABR 14/22). Dans ce cas, l’employeur a refusé de fournir des informations sur les données sensibles de ses employés en raison d’un concept de protection des données insuffisant.
La protection des données concerne tout le monde dans l’entreprise. Le CSE aussi, qui traite un grand nombre de données personnelles en raison de ses innombrables participations aux processus de décision et de son activité de surveillance. Dans ce contexte, le délégué à la protection des données peut et doit le soutenir et le sensibiliser. C’est ce que fait également legitimis auprès de ses clients et cela fait partie de notre travail passionnant de protecteur des données.
