Quelques réflexions tirées de : Molè, Michele (2025) « Lost in Translation: Is Data Protection Labour Law Protection?, » Comparative Labor Law & Policy Journal: Vol. 45: Iss. 3, Article 6 (DOI: https://doi.org/10.60082/2819-2567.1067; disponible sur  https://digitalcommons.osgoode.yorku.ca/cllpj/vol45/iss3/6):

L’article analyse de manière systématique la manière dont le RGPD transpose ses deux catégories centrales – « personne concernée » et « responsable du traitement » – dans la relation de travail, où elles deviennent respectivement « salarié » et « employeur ».

L’auteur soutient que cette transposition n’est pas neutre : les droits et obligations pensés pour un contexte de marché numérique et de protection des consommateurs ne correspondent pas entièrement aux besoins de protection en droit du travail, ce qui crée un effet de « perte en traduction » lorsque le RGPD est appliqué au traitement des données des salariés.

Dans l’introduction, l’auteur rappelle que la surveillance au travail est un thème ancien en Europe, mais profondément transformé par les technologies numériques. Les outils de monitoring sont plus fréquents, plus continus et plus intrusifs, ce qui renforce le pouvoir de l’employeur. Depuis la directive de 1995 et désormais avec le RGPD, l’employeur qui traite des données est qualifié de responsable du traitement et le salarié de « personne concernée ». Le RGPD prévoit des marges de manœuvre nationales, notamment à l’article 88, ainsi que des lignes directrices du G29, mais plusieurs travaux récents estiment qu’il manque toujours un cadre véritablement adapté à la relation de travail. L’article ne propose pas de réforme détaillée ; il se concentre sur un « contrôle de subjectivité »: les figures de « personne concernée » et de « responsable du traitement », telles que construites par le RGPD, correspondent-elles réellement à la position du salarié et de l’employeur dans la relation de travail, compte tenu de la subordination, de la dépendance économique et du rôle des fournisseurs technologiques?

Dans un premier temps, l’auteur examine le salarié comme « personne concernée ». Il rappelle la définition large de la personne concernée (toute personne identifiable par des données) puis montre que le cœur de la protection repose sur les droits des articles 12 à 22 RGPD: droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de ne pas faire l’objet d’une décision entièrement automatisée. L’idée générale est de permettre à l’individu, informé de manière claire par le responsable du traitement, de comprendre ce qui est fait de ses données, d’exercer un contrôle et, le cas échéant, de s’y opposer. En toile de fond, le RGPD présuppose un sujet actif, informé et autonome, que certains auteurs décrivent comme un « sujet libéral » : quelqu’un qui lit les notices d’information, évalue les risques, et exerce ses droits pour défendre ses propres intérêts.

L’article montre que cette figure de « personne concernée moyenne » est largement héritée du droit de la consommation de l’UE. Dans ce dernier, la référence constante est celle du « consommateur moyen, normalement informé et raisonnablement attentif et avisé ». Le RGPD et le droit de la consommation partagent le même objectif de base : créer la confiance dans le marché intérieur par la transparence et des droits individuels, afin de favoriser la croissance de l’économie numérique. La personne concernée moyenne est, comme le consommateur moyen, supposée capable de comprendre l’information fournie et de faire des choix raisonnés une fois informée. Les droits sont conçus sur ce postulat, et l’article 80 RGPD confirme ce caractère individualiste : la représentation collective (par exemple par un syndicat) ne peut pas, sauf droit national contraire, exercer à la place des individus leurs droits d’accès, de rectification, d’effacement, etc., mais uniquement les soutenir dans des recours devant l’autorité de contrôle ou les tribunaux.

Or, souligne l’auteur, cette construction ne se transpose pas aisément dans l’univers du travail. Le salarié n’est pas un consommateur libre de changer de vendeur ; il est lié par un contrat de travail marqué par la subordination juridique et la dépendance économique. En droit du travail, l’employeur dispose d’un pouvoir d’organisation, de contrôle et de sanction ; le salarié risque des conséquences directes sur son emploi et ses moyens d’existence. La « marge d’autonomie » du salarié est donc limitée, et son « agency » réelle varie fortement selon le contexte, les alternatives sur le marché du travail ou sa situation personnelle. Pour cette raison, le droit du travail ne se contente pas d’informer et de laisser l’individu décider : il impose des normes impératives (durée du travail, salaire minimum, santé et sécurité, etc.) et interdit en principe la renonciation à certaines protections.

Transposé au champ des données, cela signifie que le salarié-personne concernée est structurellement vulnérable. Même correctement informé, il peut hésiter à exercer ses droits d’accès, de rectification ou d’opposition par crainte d’être perçu comme « difficile » ou non coopératif. Il peut aussi accepter des pratiques de surveillance intrusives faute d’alternative professionnelle. Certes, le RGPD prévoit des garde-fous plus forts pour les données sensibles et permet aux États membres d’adopter des règles spécifiques pour le travail, et le G29 considère que le consentement du salarié est en principe invalide à cause du déséquilibre de pouvoir. Mais la structure de base des droits reste celle d’un individu autonome qui doit « activer » lui-même la protection par des démarches individuelles. Dans un contexte de subordination, ce modèle protège imparfaitement les salariés, même si, formellement, ils restent des personnes concernées au sens plein du RGPD. C’est le premier « effet de perte en traduction »: un dispositif pensé comme prolongement de la protection du consommateur est appliqué à des travailleurs qui ont besoin d’un niveau de protection plus proche de celui du droit du travail que du droit de la consommation.

Dans un second temps, l’article se concentre sur l’employeur comme « responsable du traitement ». Le RGPD définit le responsable comme l’entité qui détermine les finalités et les moyens du traitement. En droit du travail, il est admis que l’employeur entre naturellement dans cette catégorie : il fixe l’organisation du travail, décide des objectifs de productivité, du contrôle des performances, des outils de surveillance, etc. Sur cette base, les articles 24, 25 et 35 lui imposent des obligations d’accountability : responsabilité générale de conformité, mise en œuvre de la protection des données dès la conception et par défaut, réalisation de DPIA en cas de risques élevés, ce qui inclut souvent les traitements de données des salariés. Le RGPD suppose ainsi que le responsable du traitement a la capacité de concevoir ou paramétrer les systèmes de traitement, de comprendre leurs risques pour les droits des personnes et de les ajuster pour respecter les principes de licéité, minimisation, proportionnalité, sécurité, etc.

L’auteur montre cependant que ce schéma ne correspond pas toujours à la réalité des entreprises. De nombreuses grandes plateformes (Amazon et d’autres) développent effectivement en interne des systèmes sophistiqués qui organisent le travail en s’appuyant sur une collecte massive de données. Mais beaucoup d’employeurs achètent sur le marché des produits de gestion et de surveillance de la main-d’œuvre conçus et opérés par des fournisseurs spécialisés : logiciels d’analyse de la voix dans les call centers, dispositifs de suivi vidéo des chauffeurs, outils d’« analytique RH » capables de calculer des indices de « risque syndical », etc. Dans ces situations, le fournisseur agit comme sous-traitant au sens de l’article 28 RGPD, tandis que l’employeur reste, en droit, responsable du traitement.

Le RGPD organise alors une répartition des rôles: le responsable doit choisir des sous-traitants offrant des garanties suffisantes, conclure un contrat de traitement, contrôler le respect des instructions, s’assurer que le sous-traitant l’aide à répondre aux demandes des personnes concernées et à réaliser les DPIA. Mais, en pratique, les obligations du sous-traitant demeurent relativement limitées et largement dépendantes de ce que le responsable lui demande. L’adhésion à des codes de conduite ou des mécanismes de certification est facultative. Le sous-traitant n’a qu’une obligation générale d’assistance, à la demande du responsable, pour évaluer les risques ou documenter la conformité. Le texte part du principe que le contrôleur conserve, en dernier ressort, la compréhension et la maîtrise du traitement.

L’article souligne ici une seconde asymétrie : sur le marché des technologies de surveillance et de gestion du personnel, ce sont souvent les fournisseurs qui maîtrisent l’architecture technique, les algorithmes et les risques concrets, tandis que l’employeur se comporte davantage comme un client non spécialiste qui achète une « solution clé en main ». Il est pourtant juridiquement censé vérifier les garanties, paramétrer le système pour respecter le RGPD et évaluer les risques, alors même qu’il dépend fortement des informations que veut bien lui fournir le prestataire. On aboutit à une situation paradoxale où l’employeur est tenu à de fortes obligations de conception et de contrôle, mais sans que le sous-traitant soit véritablement obligé de lui donner tous les moyens d’y parvenir. C’est le second « effet de perte en traduction »: le RGPD traite l’employeur comme un « créateur » du traitement, alors que, dans bien des cas, il est un utilisateur relativement dépendant d’un prestataire qui, lui, n’est que faiblement régulé sur le plan de la conception des systèmes.

Sur cette base, l’auteur propose une lecture d’ensemble: le RGPD repose sur deux présupposés d’autonomie qui ne tiennent pas pleinement dans la relation de travail. Côté salarié, il suppose une personne concernée moyenne, proche du consommateur moyen, capable d’exercer ses droits individuellement, ce qui sous-estime la subordination et la dépendance économique. Côté employeur, il suppose un responsable du traitement maître d’œuvre du système de traitement, alors que la réalité de plus en plus fréquente est celle d’un employeur client d’un écosystème de prestataires technologiques qui conservent l’essentiel de la compétence technique et du pouvoir d’innovation. Dans les deux cas, il existe un « décalage d’agence » entre les rôles que le RGPD attribue aux acteurs et leurs capacités effectives dans la relation de travail.

L’article conclut que cette double divergence montre les limites d’une régulation du traitement des données au travail fondée uniquement sur un instrument général comme le RGPD. D’autres instruments récents de l’UE, comme le règlement sur l’IA ou la directive sur le travail via plateforme, vont déjà plus loin dans la prise en compte du contexte de travail: ils interdisent certaines pratiques (par exemple certaines formes d’analyse des émotions au travail), reconnaissent des droits spécifiques aux travailleurs de plateformes et imposent des obligations plus détaillées aux fournisseurs de systèmes d’IA et aux plateformes. L’auteur ne les analyse pas en détail, mais y voit un signe que le législateur commence à raisonner en termes de conditions de travail, et pas seulement de protection des données. Sa thèse centrale est qu’il faut poursuivre dans cette voie: dépasser l’idée que la protection des données des salariés peut être assurée par simple application du RGPD et développer des cadres spécifiquement pensés pour la relation de travail, qui prennent au sérieux la subordination des salariés, la dépendance technique des employeurs vis-à-vis des fournisseurs de technologies et, plus largement, les valeurs propres du droit du travail (dignité, sécurité économique, inclusion sociale) dans un environnement de travail de plus en plus structuré par les données et l’IA.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence Artificielle