Ce que l’on appelle le droit de contrôle dans le cadre du sous-traitement est un sujet important, lié au RGPD (art. 28 3c RGPD). Le RGPD oblige le responsable du traitement à prendre des mesures techniques et organisationnelles (TOM) appropriées et adéquates pour protéger les données à caractère personnel. Il en va de même pour le sous-traitant qui traite les données à caractère personnel d’un responsable. Celui-ci doit également veiller à mettre en place des TOM appropriées et adéquates afin de garantir la sécurité et la protection des données.
Le responsable doit être en mesure de vérifier et de prouver facilement le respect des mesures convenues, même maintenant. C’est généralement le cas pour les locaux commerciaux : système d’alarme, concept d’accès, etc., il en va tout autrement dans le confort du télétravail. Au sens strict, aucun traitement de données à caractère personnel ne peut avoir lieu s’il est effectué en dehors des possibilités de contrôle du responsable. Cela vaut aussi bien pour les employés du responsable du traitement que pour ceux du sous-traitant.
Souvent, les entreprises de sous-traitance et leurs délégués à la protection des données invoquent le droit fondamental à l’inviolabilité du domicile comme argument pour justifier la quasi-impossibilité d’appliquer le droit de contrôle dans un bureau à domicile. L’article 13 de la constitution allemande (inviolabilité du domicile) entre ici en conflit avec la législation européenne qui garantit le “droit à l’autodétermination en matière d’information” lors du traitement des données personnelles.
En tant que législation européenne, le RGPD est supérieur à la législation nationale, y compris la constitution. Par conséquent, l’invocation de la constitution est juridiquement conflictuelle, car les deux sont des droits fondamentaux au niveau de l’UE.
On oublie souvent dans le débat qu’il n’existe aucun droit au travail à domicile. Le traitement de données personnelles est possible à tout moment depuis les locaux de l’entreprise sans mettre en danger la protection du propre domicile et en respectant en même temps la protection des données.
Si les employés et les entreprises devaient recourir et accorder les possibilités de travailler à domicile, il faudrait donc, dans le cadre nécessaire, renoncer quelque peu au droit à l’inviolabilité du domicile. En d’autres termes : celui qui ne veut pas permettre au responsable, qu’il s’agisse de l’employeur ou du traitement, d’assumer ses propres obligations, et est tenu d’être présent dans les locaux de l’entreprise.
En outre, un droit de contrôle convenu par contrat, par exemple par le responsable du traitement dans le cadre d’un sous-traitement, ne signifie pas pour autant que ce dernier rendra effectivement visite à un employé à des fins de contrôle dans son propre domicile. En effet, le contrôle peut également être exercé et prouvé par exemple par l’employeur lui-même. Il n’est donc pas obligatoire que des inconnus se promènent avec curiosité dans l’appartement. En aménageant la technique de manière appropriée, mais aussi en imposant des obligations correspondantes aux employés, il est possible de limiter la zone à contrôler et, par conséquent, de la prouver plus facilement. Le droit de contrôle du responsable du traitement peut donc être réservé aux cas où l’autocontrôle n’est pas effectué dans les locaux du sous-traitant ou lorsque des événements rendent un contrôle nécessaire.
Le contrôle lors du traitement à domicile est donc un défi qui exige tant du responsable du traitement que du sous-traitant qu’ils vérifient les accords et mesures existants et les adaptent si nécessaire. Ce faisant, ils doivent tenir compte des risques pour les données à caractère personnel, des droits des personnes concernées et des sanctions possibles en cas de non-respect du RGPD. En effet, le risque d’accès par des tiers, même involontaire, augmente lorsque l’on travaille depuis son propre domicile ou en déplacement.
C’est pourquoi nous recommandons à nos clients d’établir des règles du jeu appropriées pour le travail en dehors des locaux professionnels, par exemple dans un bureau à domicile, et de mettre en œuvre les mesures techniques et organisationnelles correspondantes. Vos employés gagneront également en sécurité d’action grâce à des directives et des règles claires.
Vous n’êtes pas sûr que la mise en œuvre dans votre entreprise soit adaptée aux exigences de la protection des données ? N’hésitez pas à nous contacter. Nous nous ferons un plaisir de vous accompagner.
