Droits numériques au travail : article 88 de la LOPDGDD

·

Depuis l'entrée en vigueur de la Loi organique 3/2018, du 5 décembre, relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD), le droit espagnol reconnaît explicitement un catalogue de droits numériques dans le cadre des relations de travail. Les articles 87 à 91 de cette loi imposent aux entreprises de réglementer avec précision l'utilisation des appareils professionnels, la protection du temps de repos des travailleurs, les conditions dans lesquelles leur position géographique peut être suivie, et les limites de la vidéosurveillance sur le lieu de travail.

Cet article analyse chacune de ces dispositions avec rigueur normative, explique ce que l'employeur doit concrètement faire pour les respecter et signale les erreurs les plus fréquentes que nous détectons lorsque nous accompagnons des organisations dans leur mise en conformité avec le RGPD et la LOPDGDD. Il ne s'agit pas d'une lecture académique : chaque section se termine par une action concrète.

Le cadre légal : arts. 87-91 de la LOPDGDD

La LOPDGDD (LO 3/2018) n'a pas abrogé le Règlement (UE) 2016/679 (RGPD — Règlement général sur la protection des données) — qui est du droit européen d'application directe —, mais l'a complété au niveau national en ajoutant un Titre X entièrement consacré aux droits numériques. Au sein de ce titre, les articles 87 à 91 se réfèrent exclusivement au contexte professionnel :

L'ancienne LO 15/1999 (LOPD — loi organique sur la protection des données) ne prévoyait aucun de ces droits. C'est la LOPDGDD en vigueur qui les introduit pour la première fois avec rang de loi organique, renforçant les garanties de l'article 18.4 de la Constitution espagnole (limitation de l'usage de l'informatique pour préserver l'honneur et l'intimité personnelle et familiale des citoyens) dans le contexte numérique et professionnel.

Article 87 : protection de la vie privée dans l'usage des appareils numériques professionnels

L'article 87 de la LOPDGDD reconnaît aux travailleurs le droit à la protection de leur vie privée lors de l'utilisation des appareils numériques mis à leur disposition par l'employeur. Il établit trois exigences essentielles :

  1. L'employeur ne peut accéder au contenu des appareils qu'il a mis à la disposition du travailleur que pour contrôler le respect des obligations professionnelles et assurer l'intégrité des systèmes d'information de l'entreprise.
  2. L'employeur doit établir des critères d'utilisation de ces appareils par voie de négociation collective ou de consultation des représentants des travailleurs, ou, à défaut, de manière unilatérale. Ces critères doivent préciser, en particulier, si les appareils peuvent être utilisés à des fins personnelles et dans quelles conditions.
  3. Les travailleurs doivent être informés de façon claire et précise de la portée du contrôle que peut exercer l'employeur et des moyens qu'il peut employer. Cette information doit être fournie avant que le contrôle ne devienne effectif.

La jurisprudence de la Cour européenne des droits de l'homme (affaire Bărbulescu c. Roumanie, Grande Chambre, 2017) et du Tribunal suprême espagnol exige que le travailleur ait été prévenu au préalable de la possibilité d'un contrôle. Sans cette mise en garde préalable, les preuves obtenues par la surveillance de l'appareil peuvent être déclarées nulles dans une procédure disciplinaire ou judiciaire.

Action concrète : rédiger ou mettre à jour la politique d'utilisation des appareils professionnels, la notifier aux travailleurs avec accusé de réception et conserver le justificatif.

Article 88 : le droit à la déconnexion numérique

L'article 88 de la LOPDGDD est la disposition la plus citée du Titre X et, à la fois, la plus fréquemment violée en pratique. Il reconnaît aux travailleurs le droit à la déconnexion numérique afin de garantir, en dehors du temps de travail légal ou conventionnel, le respect de leur temps de repos, de leurs autorisations d'absence et de leurs congés, ainsi que de leur vie privée personnelle et familiale.

L'article impose à l'employeur deux obligations spécifiques :

Ce que doit contenir la politique interne de déconnexion numérique

La LOPDGDD ne fixe pas de contenu minimal exhaustif, mais l'AEPD (Agence espagnole de protection des données — Agencia Española de Protección de Datos) et les guides de bonnes pratiques identifient les éléments qu'une politique efficace doit couvrir :

La politique doit être approuvée avec la participation des représentants des travailleurs (comité d'entreprise, délégués du personnel ou section syndicale, selon le cas), même si l'absence de représentation légale n'exonère pas de l'obligation : dans ce cas, l'employeur doit adopter la politique unilatéralement et la communiquer à l'ensemble du personnel.

Chez Summum Consultoría, nous accompagnons les entreprises dans la rédaction et la mise en œuvre de leur politique de déconnexion numérique, y compris la négociation avec les représentants et l'intégration avec les conventions collectives applicables, depuis nos cinq bureaux en Castille-et-León et aux îles Canaries.

Article 90 : géolocalisation des travailleurs

L'article 90 de la LOPDGDD réglemente l'utilisation des systèmes de géolocalisation — GPS dans les véhicules, applications de suivi sur appareils mobiles, systèmes télématiques de contrôle des itinéraires — dans le contexte professionnel. Le traitement des données de localisation est expressément mentionné à l'article 4.1 du RGPD en tant que donnée à caractère personnel, et un traitement à grande échelle peut nécessiter une analyse d'impact relative à la protection des données (AIPD) conformément à l'article 35 du RGPD.

L'article 90 de la LOPDGDD impose aux employeurs utilisant des systèmes de géolocalisation de :

  1. Informer les travailleurs au préalable, de manière expresse, claire et non équivoque, de l'existence et des caractéristiques du système de géolocalisation.
  2. Les informer de l'exercice des droits d'accès, de rectification, de limitation du traitement et d'effacement relatifs aux données traitées (articles 15 à 22 du RGPD), dans le cadre des fonctions de contrôle prévues à l'article 20.3 du Statut des travailleurs.

L'information préalable est une condition de validité du traitement, et non une simple formalité. Si un travailleur découvre qu'il est géolocalisé sans en avoir été informé, il peut exercer les droits reconnus aux articles 15 à 22 du RGPD auprès de l'entreprise et, en l'absence de réponse satisfaisante, déposer une réclamation auprès de l'AEPD.

Erreur fréquente : installer un GPS dans un véhicule de fonction sans inclure de clause informative dans le contrat de travail ni dans le protocole de remise du véhicule. La clause doit indiquer la finalité du traitement (contrôle de l'activité professionnelle, optimisation des itinéraires, sécurité du véhicule), le responsable du traitement, la durée de conservation des données et les droits de la personne concernée.

Article 89 : vidéosurveillance et enregistrement sonore au travail

L'article 89 de la LOPDGDD autorise les employeurs à traiter les images obtenues par des systèmes de vidéosurveillance dans le cadre de leurs fonctions de contrôle des travailleurs, dans les mêmes limites et avec les mêmes garanties que l'article 20.3 du Statut des travailleurs. Cette disposition du ET autorise l'employeur à adopter les mesures de surveillance et de contrôle qu'il juge les plus appropriées pour vérifier le respect par le travailleur de ses obligations, dans le respect de sa dignité.

L'article 89 introduit une règle spécifique en matière d'information : les employeurs sont dispensés d'informer individuellement les travailleurs du traitement effectué par vidéosurveillance lorsque les dispositifs sont installés dans les zones communes du lieu de travail et que l'avis informatif a été placé dans un endroit suffisamment visible, identifiant l'existence du traitement, l'identité du responsable et la possibilité d'exercer les droits prévus par le RGPD. Cet avis correspond à la célèbre affiche « zone sous vidéosurveillance ».

Toutefois, la disposition comporte une exception importante : cette dispense d'information préalable individuelle ne s'étend pas aux cas de vidéosurveillance dissimulée (caméras cachées). La vidéosurveillance dissimulée n'est admise que lorsqu'il existe une suspicion fondée de comportements illicites graves de la part du travailleur, et toujours dans les limites du principe de proportionnalité. L'AEPD et les tribunaux ont constamment exigé que la mesure soit appropriée, nécessaire et proportionnée à l'objectif poursuivi.

L'article 89 interdit également expressément l'installation de systèmes d'enregistrement sonore et de vidéosurveillance dans les lieux destinés au repos ou à la détente des travailleurs, tels que les vestiaires, les toilettes, les cantines ou les espaces de repos.

Article 91 : droits numériques dans la négociation collective

L'article 91 de la LOPDGDD reconnaît le droit des travailleurs et de leurs représentants à participer à la négociation des conventions collectives qui réglementent l'exercice des droits numériques dans le cadre professionnel. La disposition confie aux partenaires sociaux la mission de développer et d'adapter par voie de négociation collective les droits reconnus au Titre X — notamment ceux relatifs à l'usage des appareils, à la déconnexion numérique et aux systèmes de contrôle — aux spécificités de chaque secteur d'activité et entreprise.

Par ailleurs, il convient de rappeler que l'enregistrement du temps de travail — obligatoire depuis l'entrée en vigueur du décret-loi royal 8/2019, qui a modifié l'article 34.9 du Statut des travailleurs — génère des données à caractère personnel qui doivent être traitées conformément au RGPD. Les systèmes de contrôle de présence — feuilles de présence physiques, applications mobiles, lecteurs biométriques — doivent reposer sur une base juridique légitime (article 6.1.c du RGPD, respect d'une obligation légale) et les données collectées ne peuvent pas être utilisées à des fins autres que celles communiquées aux travailleurs, qui conservent le droit d'accéder à leurs enregistrements en vertu des articles 15 à 22 du RGPD.

Tableau comparatif : obligations de l'employeur selon les arts. 87-91 LOPDGDD

Article Droit reconnu Obligation principale de l'employeur Document/action minimal(e)
Art. 87 Vie privée dans l'usage des appareils Réglementer et communiquer la portée du contrôle sur les appareils professionnels Politique d'utilisation des appareils numériques (notifiée et signée)
Art. 88 Déconnexion numérique Élaborer une politique interne de déconnexion, après consultation des représentants Politique de déconnexion numérique (approuvée avec les représentants)
Art. 89 Vie privée face à la vidéosurveillance et à l'enregistrement sonore Apposer un avis informatif visible ; interdiction des caméras dans les espaces de repos Affiche « zone sous vidéosurveillance » conforme au modèle AEPD + clause si audio enregistré
Art. 90 Vie privée face aux systèmes de géolocalisation Informer au préalable de l'existence et des caractéristiques du système GPS/télématique Clause informative dans le contrat ou en annexe + registre des activités de traitement
Art. 91 Droits numériques dans la négociation collective Développer et adapter par voie de négociation collective les droits numériques du Titre X Clause dans la convention collective ou accord d'entreprise sur les droits numériques

La politique interne d'utilisation des appareils : contenu minimal recommandé

Les articles 87 et 88 de la LOPDGDD convergent sur la nécessité pour l'entreprise de disposer d'une politique interne qui régisse de manière cohérente l'utilisation des appareils numériques et le droit à la déconnexion. Bien que les deux obligations puissent être articulées dans des documents séparés, de nombreuses organisations optent pour un document intégré couvrant les deux aspects.

Le contenu minimal que nous recommandons d'inclure — sur la base des guides de l'AEPD et de notre expérience accumulée en accompagnant les entreprises dans leur mise en conformité au RGPD — est le suivant :

La politique doit être accessible en permanence à tous les travailleurs (intranet, portail employé, tableau d'affichage numérique) et mise à jour lorsque la technologie utilisée évolue, lorsqu'une nouvelle réglementation applicable entre en vigueur ou lorsque les représentants des travailleurs en font la demande.

Régime de sanctions applicable

Le non-respect des droits numériques au travail réglementés aux articles 87-91 de la LOPDGDD peut engager la responsabilité de l'employeur à deux niveaux distincts :

Sur le plan du droit du travail, le comportement de l'employeur peut constituer une violation des droits fondamentaux du travailleur (arts. 18 et 20 de la Constitution espagnole en lien avec le Statut des travailleurs), ce qui habilite le travailleur à engager des procédures de protection des droits fondamentaux devant les juridictions sociales.

Sur le plan du droit de la protection des données, les infractions sont soumises au régime de sanctions de l'article 83 du Règlement (UE) 2016/679 et des articles 70 à 77 de la LOPDGDD. Les infractions graves (art. 83.4 RGPD) peuvent être sanctionnées par des amendes allant jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total ; les infractions très graves (art. 83.5 RGPD), par des amendes allant jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. La LOPDGDD, en son article 74, qualifie d'infraction mineure le traitement de données à caractère personnel sans respecter les principes d'information lorsque cela ne porte pas atteinte à des droits fondamentaux, avec des amendes pouvant aller jusqu'à 40 000 EUR.

L'AEPD a publié des résolutions portant sur la vidéosurveillance dissimulée et la géolocalisation des travailleurs qui illustrent la manière dont ce régime s'applique en pratique. Il est conseillé de consulter le moteur de recherche des résolutions de l'AEPD avant de mettre en place tout système numérique de contrôle de l'activité professionnelle.

Questions fréquentes

L'entreprise peut-elle lire les courriels du travailleur sur le téléphone professionnel ?

Oui, à condition d'avoir informé au préalable le travailleur de la portée du contrôle et des conditions d'utilisation de l'appareil, conformément à l'article 87 de la LOPDGDD. Sans cette information préalable, les preuves obtenues à partir du contenu du courriel professionnel peuvent ne pas être recevables dans une procédure disciplinaire. Si le travailleur était autorisé à utiliser l'appareil à des fins personnelles, l'employeur ne peut accéder aux contenus à caractère personnel sans violer le droit à la vie privée, sauf s'il existe une suspicion fondée de comportement illicite grave et que la mesure adoptée est proportionnée.

La politique de déconnexion numérique oblige-t-elle à répondre aux messages en dehors des heures de travail ?

Non : la politique de déconnexion numérique produit précisément l'effet inverse. L'article 88 de la LOPDGDD reconnaît au travailleur le droit de ne pas répondre aux communications professionnelles en dehors de son temps de travail. La politique interne doit indiquer clairement que l'absence de réponse en dehors des horaires de travail ne peut faire l'objet d'une sanction ni être évaluée négativement. Les responsables de proximité doivent recevoir une formation spécifique pour ne pas générer d'attentes de disponibilité permanente, car une culture organisationnelle exerçant une pression implicite sur le travailleur pour qu'il reste connecté peut être considérée comme une violation du droit reconnu par la norme, même si l'entreprise a formellement adopté une politique de déconnexion.

Est-il obligatoire d'afficher l'avis de vidéosurveillance si seul l'extérieur du bâtiment est surveillé ?

Oui. L'article 89 de la LOPDGDD exige que l'avis informatif soit placé dans un endroit suffisamment visible dès lors que des caméras sont en service, que celles-ci soient orientées vers l'intérieur ou l'extérieur du bâtiment. Si les caméras extérieures peuvent capter des images de travailleurs à l'entrée, au parking ou aux abords du lieu de travail, le traitement de données a lieu dans tous les cas et les travailleurs doivent en être informés. L'avis doit identifier au minimum l'existence du traitement, l'identité du responsable et le lien ou la référence permettant d'obtenir des informations complémentaires sur les droits exerçables.

Que se passe-t-il si l'entreprise n'a pas de représentants des travailleurs et ne peut pas négocier la politique de déconnexion ?

L'article 88 de la LOPDGDD exige une « consultation préalable » des représentants des travailleurs, mais ne subordonne pas la validité de la politique à l'existence d'une telle représentation. Lorsque l'entreprise ne dispose ni de comité d'entreprise ni de délégués du personnel, l'employeur peut — et doit — élaborer et adopter la politique unilatéralement et la communiquer individuellement à tous les travailleurs. Il est recommandé de documenter que la consultation a été tentée et de conserver la trace du processus suivi. Certaines conventions collectives sectorielles réglementent déjà le droit à la déconnexion ; dans ce cas, l'entreprise doit a minima respecter ces conditions.