Skip to main content

Dans son rapport d’activité 2021, publié fin 2022, l’autorité bavaroise de protection des données personnelles (BayLDA) s’est penchée sur la question de savoir si des employés peuvent refuser de signer la déclaration d’engagement à la protection des données personnelles. Cette déclaration d’engagement est signée à l’embauche, suite à la formation obligatoire à la protection des données personnelles.

Par cette déclaration, l’employé confirme qu’il traite les données à caractère personnel exclusivement dans le respect de la loi, conformément au RGPD, et uniquement dans le cadre de ses activités professionnelles et à aucune autre fin. Étant donné les questions de responsabilité et les éventuelles conséquences en matière de droit du travail en cas de négligence grave, des réticences apparaissent parfois concernant la signature d’un tel document.

Selon la BayLDA, l’obligation de respecter la protection des données personnelles s’applique même sans déclaration d’engagement. L’obligation de respecter la confidentialité des données, qu’il s’agisse de données à caractère personnel ou de données commerciales, notamment de secrets d’affaires, est une obligation légale et existe sans signature supplémentaire de la déclaration. De manière simplifiée, on peut faire ici une comparaison avec le code de la route. Ici aussi, chaque usager de la route doit s’y conformer. Même sans document écrit, les règles de priorité et la signalisation doivent être respectées. Pour les entreprises qui agissent en tant que sous-traitants, la situation est davantage compliquée par le fait qu’elles s’engagent, dans leurs accords avec leurs clients, à n’employé pour le sous-traitement que du personnel s’engageant à respecter la protection des données personnelles.

Légalement, aucune forme écrite ou électronique n’est requise. Ainsi, selon la BayLDA, l’obligation légale est en principe suffisante.

En cas de refus absolu, lorsque les informations supplémentaires et les explications n’ont pas d’effet sur la personne qui refuse, il est important pour l’entreprise de pouvoir en apporter la preuve. Les employeurs doivent donc documenter le processus complet, y compris le refus, afin de pouvoir prouver qu’une sensibilisation à la protection des données personnelles a tout de même eu lieu. La raison de l’absence de déclaration d’engagement doit être consignée dans un procès-verbal ou une déclaration. L’information fournie à l’employé, la confidentialité des données comme partie intégrante du contrat de travail et le fait que celle-ci s’applique légalement au-delà de la fin de la relation de travail sont à documenter dans ce procès-verbal.

Afin d’éviter une telle situation, legitimis recommande d’informer l’employé sur le sens et le but de la déclaration d’engagement avant de s’engager à respecter la protection des données personnelles. Le délégué à la protection des données personnelles peut également clarifier d’éventuelles réserves lors d’un entretien personnel et jouer un rôle de conciliateur.

Pourquoi signer une déclaration d’engagement si l’obligation est légale ? La déclaration d’engagement est une confirmation et un renforcement de la protection des données personnelles au sein de l’entreprise. Le collaborateur est ainsi informé de l’obligation et de sa portée. En revanche, l’employeur dispose d’une preuve écrite et signée – il a donc rempli son obligation de documentation.

Enfin, la question se pose de savoir si les employeurs doivent tout de même engager des collaborateurs qui refusent de signer la déclaration d’engagement ? Les mesures décrites ci-dessus permettent d’employer la personne malgré tout. Le refus doit certainement être considéré comme un cas exceptionnel. Pour éviter d’en arriver là, il est indispensable d’informer et de sensibiliser sur le sujet.

Si une telle situation devait tout de même se produire, legitimis soutient ses clients en les conseillant et en les aidant. La protection des données personnelles reste passionnante.