L’appréhension de la problématique du casier judiciaire sur le lieu de travail suite au RGPD
Publié en
Cet article fait partie de « La peine ne s’arrête pas à la sortie de prison »
L’article analyse la façon dont un employeur peut exiger de la part du candidat-travailleur de consulter son extrait de casier judiciaire et lui poser des questions au sujet de son passé judiciaire. Les auteurs posent, d’une part, le constat que la consultation des extraits doit devenir plus limitée dans l’objectif de respecter le RGPD et, d’autre part, proposent plusieurs pistes de réforme au législateur fédéral.
Introduction
§1 Dire que le casier judiciaire est une double peine est un euphémisme : le passé judiciaire d’un candidat à un emploi peut le poursuivre toute sa vie durant. C’est en effet une information que l’employeur souhaite obtenir et obtient régulièrement à l’occasion d’un processus de recrutement. Cependant, faut-il accepter de transmettre un extrait de casier à son employeur ? La demande d’un extrait de casier « vierge » est-elle légale ?
§2 Le présent article vise à répondre à ces questions à l’aune du règlement général sur la protection des données à caractère personnel (ci-après le « RGPD »), tout en prenant en considération les autres textes juridiques le précédant et qui limitaient déjà les possibilités pour un employeur d'exiger de connaître le passé judiciaire d'un candidat-travailleur. Il sera exposé que ce règlement et sa mise en œuvre bousculent les pratiques liées au contenu mais aussi à la diffusion des extraits de casier judiciaire1. L’exposé concerne principalement la phase de recrutement. Après avoir fait un rapide tour d’horizon des dispositions protectrices des travailleurs ayant un passé judiciaire, et en particulier du RGPD, nous dressons les différents types d’accès au casier judiciaire central et les différents types d’extraits de casier judiciaire. Ensuite, nous expliquons que la régulation des extraits devrait être entièrement refondue consécutivement à l’entrée en vigueur du RGPD. Enfin, nous concluons sur le fait qu’un travailleur ne devrait pas se voir reprocher de ne pas avoir fait part de son passé judiciaire lorsque celui-ci n’est pas lié à la nature de sa fonction ou aux conditions de son exercice. La pratique persistante de poser des questions relatives au passé judiciaire nous amène à suggérer au législateur social de prévoir un mécanisme supplémentaire qui permette au travailleur ou à la travailleuse de ne pas devoir subir ad vitaem aeternam les conséquences d’un passé judiciaire pour lequel il ou elle a déjà payé sa dette.
§3 Nous n’abordons pas le droit de la non-discrimination. Cela ne doit pas induire qu’il faudrait renoncer à démontrer la discrimination dont font l’objet les personnes condamnées par des employeurs et cela, en recourant aux articles 10 et 11 de la Constitution. Comme l’ont expliqué P. Joassart, M. Solbreux et A.-S. Bouvy, hormis la Cour de cassation dans un arrêt isolé de 2004, les autres juridictions – y compris la Cour constitutionnelle – et de nombreux auteurs reconnaissent un effet direct horizontal aux articles 10 et 11 de la Constitution2. Il est donc possible de démontrer l’existence d’une discrimination par rapport à un employeur qui exigerait un extrait de casier judiciaire « vierge » ou un extrait non lié à la profession concernée ou à ses conditions d’exercice. Toutefois, les preuves à apporter sont exigeantes dans la mesure où le ou la requérant-e ne pourra pas s’appuyer sur la loi du 10 mai 2007 tendant à lutter contre certaines formes de discrimination dès lors qu’elle ne contient pas dans sa liste fermée de critères protégés, un critère relatif aux antécédents judiciaires3.
Les dispositions protectrices du travailleur au passé judiciaire
§4 Si le passé judiciaire d’un candidat à un emploi est une information convoitée par l’employeur à l’occasion d’un processus de recrutement, il s’agit néanmoins d’une information qui relève du droit au respect de la vie privée et qui ne peut être traitée, sollicitée et obtenue que dans le respect de règles strictes. Le droit au respect de la vie privée est un droit fondamental qui figure à l’article 22 de la Constitution, à l’article 8 de la Convention européenne des droits de l’homme (CEDH), à l’article 17 du Pacte international relatif aux droits civils et politiques et aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.
§5 Dans le domaine de l’emploi, c’est surtout le contenu de l’article 11 de la convention collective de travail (CCT) n°38 concernant le recrutement et la sélection de travailleurs qui nous intéresse car il vient limiter de façon nette le type de questions qu’un employeur peut poser au travailleur. Il prévoit que « la vie privée des candidats doit être respectée lors de la procédure de sélection. Cela implique que des questions sur la vie privée ne se justifient que si elles sont pertinentes en raison de la nature et des conditions d’exercice de la fonction ». Si cette disposition n’a pas été rendue obligatoire par arrêté royal4, elle a au minimum un effet supplétif à l’égard des employeurs5.
Il faut également mentionner que de son côté, et en vertu de l’article 13 de la même CCT, le candidat-travailleur est tenu - même si à nouveau la disposition n’a pas été rendue obligatoire - « de collaborer de bonne foi à la procédure de sélection et de fournir toutes les données nécessaires quant à son passé professionnel et les études qu’il a effectuées, lorsqu’elles ont un rapport avec la nature et les conditions d’exercice de la fonction ».
Les contours de l’obligation d’information qui s’imposent au candidat-travailleur ont pu être résumées ainsi par la doctrine : « si le candidat s’abstient volontairement et en toute connaissance de cause de déclarer spontanément des données relevant de sa vie privée dont il ne peut ignorer leur caractère pertinent vu la nature et les exigences de l’emploi qu’il sollicite, il commet un manquement à son obligation de collaborer de bonne foi à la procédure de recrutement. Le silence délibéré du candidat est constitutif de dol pour autant que la nature et les conditions d’exercice du poste sollicité (dont le candidat à connaissance) impliquent incontestablement l’obligation pour ce dernier de dévoiler spontanément certaines informations d’ordre privé à l’employeur qui, pour sa part, ne pouvait en avoir connaissance »6. Il est donc impératif de se référer au principe de pertinence pour savoir ce que le candidat-travailleur doit dire ou peut taire7.
Jusqu’à présent, ces dispositions demeurent sous-utilisées devant les juridictions du travail8, mais il y a fort à parier que l’article 11 de la CCT n°38 soit de plus en plus invoqué lorsqu’il est lu en combinaison avec le RGPD.
§6 Entré en vigueur le 24 mai 2016 et s’appliquant sur le territoire de l’Union européenne depuis le 25 mai 2018, le RGPD concerne l’employeur, y compris l’entreprise de travail intérimaire, ainsi que l’agence de recrutement ou chasseur de têtes qui sont, au sens du RGPD, des responsables du traitement lorsqu’ils déterminent les finalités du traitement de données et ses moyens de traitement. Ainsi, le responsable du traitement, qui peut également être désigné par le droit de l’Union ou d’un Etat membre, vise « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »9.
Le traitement des données inclut les opérations de « consultation » et d’« utilisation » des données10. Par conséquent, le simple fait de consulter des extraits de casier judiciaire est un traitement de données à caractère personnel.
La notion de données à caractère personnel est également entendue de façon large ; l’article 4,1), du RGPD définit comme étant des données à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable ». La formulation généreuse de l’article 4, 1) du RGPD visant « toute information » suppose que la protection offerte par le RGPD ne concerne pas uniquement les données liées au passé judiciaire d’un futur collaborateur mais englobe également l’existence d’une information pénale ou d’une instruction pénale en cours, la conclusion d’une transaction pénale, l’existence de peine ne figurant pas à l’extrait de casier judiciaire ou encore l’existence de sanctions administratives11.
§7 Le fait de traiter des données judiciaires constitue un traitement particulièrement strict qui devra respecter les conditions prévues à l’article 10 du RGPD. L’article 10 du RGPD vise ainsi les données relatives aux « condamnations pénales » et aux « infractions » ou aux « mesures de sûreté connexes ».
Par contre, les suspicions d’infractions ne sont pas couvertes par le RGPD et
cela contrairement, à ce que prévoyait la loi du 8 décembre 1992 relative à la
protection de la vie privée à l'égard des traitements de données à caractère
personnel (ci-après, « loi du 8 décembre 1992 »)12. L’Autorité de protection
des données a été amenée à confirmer cette interprétation de la notion des
« données judiciaires » au sens de l’article 10 du RGPD et elle a insisté sur le
fait que « les traitements de données judiciaires consisteront uniquement en des
traitements de données à caractère personnel relatives à des
condamnations pénales et aux infractions pénales ou aux mesures de sûreté
connexes »13.
Le RGPD prévoit que le traitement de ces données « ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées » 14. Il y est encore précisé que « tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique »15.
§8 Le traitement de ce type de données est donc exceptionnel et quand il est possible, il est fortement encadré. Or, après la lecture de l’article 10 du RGPD, la mise en œuvre du RGPD par le législateur fédéral belge ne nous paraît pas totalement adéquate. Précisément, l’article 10 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel prévoit une liste de six possibilités – mêlant des catégories de personnes ou de traitements – qui peuvent être effectuées. Toutefois, et contrairement à ce que requiert le RGPD, les « garanties appropriées pour les droits et libertés des personnes concernées » ne sont pas systématiquement précisées :
« § 1er. En exécution de l’article 10 du Règlement, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes est effectué :
1° par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige ; ou
2° par des avocats ou d’autres conseils juridiques, pour autant que la défense de leurs clients l’exige ; ou
3° par d’autres personnes lorsque le traitement est nécessaire pour des motifs d’intérêt public important pour l’accomplissement de tâches d’intérêt général confiées par ou en vertu d’une loi, d’un décret, d’une ordonnance ou du droit de l’Union européenne ; ou
4° pour les nécessités de la recherche scientifique, historique ou statistique ou à des fins d’archives ; ou
5° si la personne concernée a autorisé explicitement et par écrit le traitement de ces données à caractère personnel pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités ; ou
6° si le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée, de sa propre initiative, pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités ».
À la lecture de l’exposé des motifs, il semble que certaines garanties doivent être directement trouvées dans l’article 10 du RGPD, sans que le législateur belge ait procédé à une répétition, et il est précisé, toujours dans l’exposé des motifs, qu’« il n’est plus spécifié que les personnes désignées sont tenus au secret car ils le sont par d’autres règlementations »16.
§9 Une analyse diachronique des six possibilités de traitement détaillées ci-dessus nous amène à constater que les quatre premières sont très proches de celles prévues par la loi qui précédait la loi du 30 juillet 2018, à savoir la loi du 8 décembre 199217.
À l’inverse, les deux dernières – les alinéas 5 et 6 de l’article 10 – ont été ajoutées en 2018 et cela, après que soit clôt le processus de consultation de deux organes clé par rapport au respect des droits fondamentaux, à savoir la section de législation du Conseil d’Etat et la Commission de la protection de la vie privée (devenue depuis lors l’Autorité de protection des données (APD)). Elles concernent la situation de la personne qui « a autorisé explicitement et par écrit le traitement de ces données à caractère personnel pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités » et deuxièmement, le traitement qui porte sur des données à caractère personnel « manifestement rendues publiques par la personne concernée, de sa propre initiative, pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités »18. Ces deux dernières possibilités de traitement résultent d’un amendement, déposé par la N-VA, suivie de l’Open VLD, du CD&V et du MR.
Les auteurs justifient cet amendement en expliquant que l’absence d’exceptions juridiques « générales » a déjà causé des problèmes dans le passé. Cette absence crée, d’après eux, « une situation absurde : les informations sur le passé judiciaire communiquées par la personne concernée elle-même ne peuvent pas être enregistrées. Or, il existe de nombreuses situations dans lesquelles les personnes concernées doivent pouvoir autoriser la communication et l’enregistrement d’informations sur leur passé judiciaire, par exemple pour diverses catégories de travailleurs sociaux, les compagnies d’assurance, etc. Certains anciens détenus partagent eux-mêmes leur histoire par le biais des médias sociaux et demandent explicitement qu’elle soit diffusée »19. Ils mentionnent également le fait que des « entreprises s’étonnent, par exemple, de ne pas pouvoir soumettre la fourniture de certains services (notamment en ligne) à l’accord de leurs clients, outre que le fournisseur de services, en cas de suspicion ou de détection de fraude, l’enregistrera et suspendra ou interrompra la fourniture de services »20. Ils suggèrent que « dans tous ces cas, une simple clause contractuelle permettant aux responsables de solliciter l’accord préalable des personnes concernées pourrait suffire », en ajoutant qu’il « est tout simplement impossible pour le législateur de prévoir à l’avance toutes les situations dans lesquelles les personnes concernées pourraient elles-mêmes souhaiter, dans leur propre intérêt, communiquer des informations sur leur passé judiciaire par voie électronique »21. Ils concluent sur le fait que « le maintien d’une réglementation plus stricte en Belgique entraînera l’obligation pour les avocats de mettre en place toutes sortes de constructions pour leurs clients afin que le traitement puisse être effectué, par exemple, en vertu du droit néerlandais. Dans le passé, cela a d’ailleurs déjà abouti, dans certains secteurs, à la décision de ne pas s’établir en Belgique »22.
§10 Malgré le caractère très discutable de ces arguments, l’amendement a été adopté par le parlement fédéral. Pourtant, le fait de prévoir, à l’article 10, 5° de la loi du 30 juillet 2018, une exception « générale », bref un traitement très vaste, sur la base du consentement de la personne, est contraire tant au regard du principe de minimisation des données - contenu à l’article 5, c) du RGPD - que par rapport au fait que ce consentement est donné dans le cadre d’une relation de travail. En effet, un tel traitement ne saurait être admis en droit du travail en raison de l’existence d’une relation de travail subordonnée23. Partant, il n’est pas possible de considérer que le consentement est libre au sens du RGPD. Le Comité européen de la protection des données (le European Data Protection Board et ci-après l’EDPB) a développé que le consentement ne pourra être invoqué dans le cadre de la relation de travail que dans de très rares cas24 :
« […] Au vu de la dépendance résultant de la relation employeur/employé, il est peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus. Il est ainsi peu probable qu’un employé soit en mesure de répondre librement à une demande de consentement de la part de son employeur visant à activer des systèmes de surveillance, tels que des caméras de surveillance, sur le lieu de travail, ou à remplir des formulaires d’évaluation, sans se sentir obligé de consentir. Aussi l’EDPB considère-t-il problématique que les employeurs traitent les données à caractère personnel de leurs employés actuels ou potentiels en se fondant sur leur consentement, dès lors qu’il est peu probable que celui-ci soit donné librement. Pour la majorité de ces traitements de données au travail, la base juridique ne peut et ne devrait pas être le consentement des employés [article 6, paragraphe 1, point a)] en raison de la nature de la relation employeur/employé »25.
En l’espèce - et nous proposerons en fin d’article des pistes pour y remédier - il ne fait aucun doute que le refus de répondre aux questions posées par l’employeur ou de délivrer un extrait de casier judiciaire peut avoir une incidence décisive sur l’obtention du poste convoité par le candidat. Il en résulte que le consentement du travailleur à délivrer les données relatives au passé judiciaire ne peut être considéré comme étant libre26. C’est d’ailleurs en ce sens que s’est positionnée l’Autorité de protection des données grecque au sujet d’une exception similaire dans la réglementation grecque27.
En outre, cette idée de restreindre le traitement de données dans le cadre des relations de travail apparaît également dans d’autres dispositions du RGPD, tel que l’article 8828. Il y est prévu que les Etats membres peuvent prévoir des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des travailleurs29.
Enfin, bien que cela ne soit pas mentionné dans le texte du RGPD, l’Autorité de protection des données belge (APD) mentionne sur son site internet que le fait de poser des questions sur le passé judiciaire dans le cadre d’un recrutement est normalement « interdit »30. En outre, elle y confirme tacitement que la possibilité légale pour un travailleur de consentir à un traitement de données judiciaires - prévue à l’article 10, 5° de la loi du 30 juillet 2018 - est problématique : hormis le cas d'une profession pour laquelle la loi exige que le titulaire de cette profession dispose d'un casier judiciaire vierge ou soit exempt de certaines condamnations, l’Autorité explique que « le traitement (par exemple la conservation) de telles données n'est possible que dans un nombre de cas précisés par l’article 10. Le consentement du candidat ne constitue en tout cas pas un fondement juridique pour le traitement de telles données à caractère personnel »31.
Bref, en raison tant des articles 5, 10 et 88 que des déclarations de ces différents organes, l’article 10, 5° de la loi du 30 juillet 2018 prête le flanc à la critique et en tout cas ne saurait s’appliquer à la relation de travail32.
Ce tour d’horizon des dispositions protectrices et moins protectrices du (futur) travailleur ayant un passé judiciaire doit à présent être confronté à la régulation des accès au casier judiciaire central et à l’existence des différents types d’extraits.
Les différents types d’accès au casier judiciaire central et les différents types d’extraits de casier judiciaire
§11 Avant de différencier les types d’extraits, il convient de distinguer les types d’employeurs et leurs possibilités d’accès au casier judiciaire central. L’employeur privé ne peut directement avoir accès au passé judiciaire d’une personne. En effet, les articles 595 et 596 du Code d’instruction criminelle (C.I.cr.) prévoient que seules les personnes physiques peuvent solliciter un extrait de casier judiciaire concernant les données qui la concernent33. Concernant les employeurs publics, un accès direct au casier judiciaire peut être autorisé sur la base de l’article 594 du C.I.cr. moyennant un arrêté royal34 autorisant l’accès de manière précise et pour autant qu’il soit fondé sur une disposition légale ou réglementaire dont l’application nécessite la connaissance d’antécédents judiciaires35. Cet accès doit être très limité, comme l’APD ne manque pas de le rappeler 36.
§ 12 Il existe trois types d’extraits de casier : les deux premiers sont réglementés par l’article 596 du C.I.cr., il s’agit, d’une part, de l’extrait pour les professions réglementées, et d’autre part, de celui relatif aux activités dans le secteur de la jeunesse. Enfin, le troisième, l’extrait « standard », est celui qui régulé par l’article 595 du C.I.cr.
Lorsqu’il s’agit de demander l’extrait lié aux professions réglementées, la personne concernée (le-a candidat-e) se réfère, en vertu de l’article 596, al. 1 du C.I.cr, à une activité dont les conditions légales ou d’exercices ont été définies par des dispositions légales ou réglementaires. Il existe ainsi une série de professions et de secteurs d’activités qui ont des exigences spécifiques concernant le passé judiciaire du travailleur37. S’il s’agit des conditions requises pour l’exercice de la profession concernée, l’employeur doit exiger la production d’un extrait de casier judiciaire à l’occasion du processus de recrutement. Sans que le texte du Code d’instruction criminelle soit particulièrement explicite, figurent régulièrement dans cet extrait des mentions qui ne sont pas nécessaires pour l’exercice de la fonction mais qui ont parfois été - à tort - consacrées comme des exigences réglementaires ou légales 38. Nous revenons sur ce point lors de la section suivante.
Lorsque la demande d’extrait est effectuée en vue d’accéder à une activité qui relève de l'éducation, de la guidance psycho-médico-sociale, de l’aide à la jeunesse, de la protection infantile, de l'animation ou de l'encadrement de mineurs, l'extrait mentionne certaines mentions relatives à des infractions sur mineurs : les suspensions du prononcé (simples ou probatoires), les décisions rendues en matière pénale par des juridictions étrangères à charge de Belges, les simples déclarations de culpabilité, les mises à la disposition du gouvernement et les mesures prises au regard de la loi de défense sociale sont mentionnées dans la mesure où elles concernent une infraction en rapport avec des mineurs. En outre, toutes les condamnations, prononcées moins de trois ans avant la date de l’extrait, à une peine criminelle, correctionnelle, de police ou à une simple déclaration de culpabilité sont mentionnées dans l’extrait39.
Depuis le 30 juin 2009, l’interdiction, décidée par un juge ou une juridiction d'instruction, d’exercer une activité qui mettrait en contact la personne avec des mineurs, est également reprise sur ce deuxième type d’extrait40. En outre, à l’occasion de la loi dite « Pot-pourri II »41, le législateur fédéral a décidé de faire figurer la peine de travail, la peine de surveillance électronique et la probation autonome sur l’extrait de casier judiciaire « 596-2 » pour des faits commis à l’égard d’un mineur, et pour autant que cet élément soit constitutif de l’infraction ou qu’il en aggrave la peine. Comme le rappelle V. Seron, ces dernières mentions s’inscrivent dans un mouvement de contrôle sans cesse plus important des auteurs d’infractions à l’égard des mineurs qui est amorcé depuis 199742. Dans les travaux parlementaires relatifs à l’adoption de la base légale du casier judiciaire central en 1997, « le Ministre insiste sur l'importance de la responsabilisation des institutions et des personnes chargées de l’éducation des enfants. Lorsqu’une institution ou une association engage un éducateur, il est de sa responsabilité de s'assurer que ce dernier offre toutes les garanties de moralité nécessaires en exigeant, notamment, la délivrance d'un extrait formulant l’objet pour lequel il est octroyé »43. Autrement dit, la demande de production d’un extrait de casier judiciaire relève ici de la responsabilité des institutions qui recrutent le personnel travaillant avec la jeunesse et non d’une simple faculté. Cependant, pour être conforme à la CCT n°38 et au RGPD, cette responsabilité ne pourrait viser des condamnations sans lien avec la profession et ne concernant pas des mineurs.
Enfin, lorsque la demande d'extrait est effectuée en vue d’autres situations autres que celles visées par l’art. 596 du C.I.cr., elles sont a contrario régies par l’article 595 du C.I.cr. Nous allons toutefois expliquer ci-dessous que, depuis l’entrée en vigueur du RGPD, cet extrait ne devrait pouvoir être remis à l’employeur. Cet extrait est, lui aussi, rempli de mentions très diverses. Il comporte le relevé des informations enregistrées dans le casier judiciaire qui la concernent personnellement à l'exception de certaines mentions44.
La prochaine section vise à montrer que la régulation des extraits devrait être entièrement revue avec l’essor du RGPD.
Les extraits de casier judiciaire sous pression depuis le RGPD
§13 Après avoir passé en détail une série d’avis de l’APD qui vient recadrer des projets des entités fédérales et fédérées prévoyant des extraits bien trop fournis, nous proposons quelques pistes de réflexion supplémentaires qui devraient amener le législateur fédéral à revoir sa régulation des extraits de casier judiciaire.
Le contrôle du contenu des extraits par l’APD
§ 14 Depuis l’entrée en vigueur du RGPD, l’APD contrôle beaucoup plus - en raison d’une plus grande fréquence de saisine - et en outre, elle contrôle parfois plus sévèrement le contenu des extraits. Cette pratique, limitée actuellement à des avis relatifs à des extraits délivrés pour les professions réglementées (article 596, al. 1 du C.I.cr.), est une pratique qui devrait à terme retentir sur l’ensemble de la régulation des extraits de casier judiciaire.
La présente section vise à citer plusieurs exemples qui montrent que le principe de minimisation des données45 doit guider la production des extraits et que le contenu de ceux-ci devrait être bien moins étoffé que ce qu’il est aujourd’hui. Les exemples choisis ne concernent pas seulement le travailleur salarié dont l'employeur/futur employeur s'enquerrait du passé professionnel, mais aussi le futur travailleur en formation ou encore le travailleur indépendant qui se verrait réclamer des informations à l'initiative par exemple d’un institut de formation ou d'une autorité de régulation d'un secteur.
Le premier exemple concerne les candidats stagiaires à la profession d’expert-comptable ou de conseiller fiscal. Au sujet d’une demande d’avis à l’APD relative au traitement de données en lien par la formation gérée par l’institut supervisant l’accès à la profession, l’Autorité rappelle le principe de minimisation des données et propose qu’ « au besoin, il sera exigé du casier judiciaire central que celui-ci crée un extrait du casier judiciaire spécifique ne reprenant que les informations nécessaires »46.
Au sujet de la demande d’un extrait de casier judiciaire ne datant pas de plus
de 3 mois à des sportifs en Communauté germanophone, qui se justifiait par le
fait qu’il « fallait garantir que
leurs actes et comportements sont conformes aux principes éthiques généralement
en vigueur dans le domaine du sport », l’APD déclare qu’
« il s’agit d’une description vide de sens qui ne justifie nullement la présentation
d’un extrait sur lequel sont purement et simplement mentionnées toutes les condamnations pénales.
Les dispositions du décret sur le sport n’offrent pas non plus le moindre point de repère quant à la
finalité précise visée par la réclamation d’un tel extrait. À défaut de tout point de repère, le traitement de données judiciaires est dans ce cas excessif et non pertinent à la lumière de l’article 5.1.c) du RGPD »47.
Au sujet de personnes physiques qui travaillent ou qui sont des intermédiaires pour une entreprise d’assurance, de distribution d’assurance ou de réassurance qui devaient être amenées à faire la preuve de leur honorabilité et de présenter un casier vierge d’infractions graves ou en lien avec des activités financières, l’APD va constater que le projet ne répond pas « à la condition cumulative reprise à l’article 10 du RGPD (disposition légale claire et garanties suffisantes pour la personne concernée contre un usage abusif par les entreprises d’assurance (de réassurance) » 48. Ensuite, elle considère que le traitement systématique d’extraits du casier judiciaire « n’est ni proportionnel, ni nécessaire » et qu’il faut respecter le principe de minimisation des données vu que « toutes les informations qui peuvent ressortir (indirectement) d’un extrait du casier judiciaire ne sont pas forcément pertinentes pour évaluer l’honorabilité pour la distribution d’assurances »49. Enfin, elle insiste sur le fait que « toute évaluation de l’honorabilité de la personne concernée doit s’effectuer avec prudence car il s’agit d’effectuer un profilage, ce à quoi, en vertu du RGPD, les droits de la personne concernée s’appliquent intégralement (information et accès, rectification, droit à l’effacement et à la limitation du traitement) »50.
Autre exemple, au sujet la profession de mandataire en brevets, l’APD estime qu’il faut se limiter aux « infractions qui peuvent raisonnablement affecter le bon exercice de la profession de mandataire en brevets »51. Elle poursuit : « la communication obligatoire de toutes les procédures/condamnations judiciaires par les mandataires en brevets paraît dès lors disproportionnée »52.
En ce qui concerne les extraits que devraient produire les ouvriers portuaires, l’APD souligne encore que « les informations figurant sur l’extrait du Casier judiciaire central doivent se limiter aux infractions pouvant raisonnablement avoir une influence sur l’exercice correct de la profession d’ouvrier portuaire. Vu le caractère sensible des données visées, ces aspects doivent être définis dans une loi. À titre d’exemple, l’Autorité renvoie à une réglementation qui définit, pour des activités réglementées dans d’autres secteurs, pour quel type d’infractions un candidat ne peut avoir encouru aucune condamnation »53.
À propos des critères d’octroi d’un permis d’utilisation pour les zones d’activités industrielles et commerciales dans les espaces marins, l’APD ne comprend pas « pourquoi il doit y avoir une absence totale de condamnations » et rappelle la façon dont les infractions peuvent être mentionnées au sujet d’activités réglementées : « à cet égard, on peut opter pour un groupe professionnel spécifique, ce qui permet d’obtenir un extrait où figurent uniquement les condamnations pertinentes pour ce groupe cible et non l’intégralité du passé pénal, pour autant qu’il y en ait un »54.
Dans la même idée, elle déclare encore dans un autre avis que :
« L’extrait du casier judiciaire doit en effet consister en un extrait pour des "activités réglementées". Il s’agira en l’occurrence d’un extrait visant spécifiquement la catégorie professionnelle des assurances et pas d’un modèle de base du casier judiciaire qui pourrait comporter d’autres données non pertinentes »55.
À propos des exigences d’un projet d’arrêté royal au sujet des commerçants en
diamants, « l’Autorité ne comprend pas, par exemple, dans quelle mesure une
condamnation pour un excès de vitesse est pertinente pour juger une demande
d’enregistrement en tant que commerçant en diamants »56.
Enfin, en ce qui concerne l’accès de l’Autorité des services et marchés financiers (FSMA) au casier judiciaire central pour vérifier les prescrits réglementaires, cette consultation doit être organisée de manière telle que la FSMA « reçoive uniquement une réponse par oui ou par non, selon que la personne concernée ait ou non fait l'objet d'une des condamnations visées »57.
§15 À la lecture des avis de l’APD, le RGPD produit une petite révolution qui devrait nous amener à revoir considérablement l’encadrement légal des extraits de casier, à savoir les articles 594 à 596 du Code d’instruction criminelle mais également l’ensemble des mentions prévues pour chaque profession réglementée.
La libre circulation des extraits à revoir
§16 L’APD est claire sur les orientations qui doivent être prévues pour les professions réglementées. Elle suggère plusieurs pistes pratiques pour parvenir à respecter au principe de minimisation des données : des réponses par « oui » ou « non » du casier judiciaire central lors d’une demande de vérification de données judiciaires pertinentes, des extraits limités aux condamnations pertinentes qui pourraient être des « extraits spécifiques » plus limités que ce que prévoit actuellement la réglementation…
§17 Les avis de l’APD peuvent être étayés par d’autres arguments pour freiner la « libre » circulation des extraits de casier judiciaire.
En effet, de manière plus générale et depuis le RGPD, l’article 595 du Code d’instruction criminelle ne consiste plus, selon nous, en une base légale suffisante pour prévoir que des employeurs vont pouvoir consulter des extraits de casier judiciaire délivrés à des particuliers. C’est une différence majeure par rapport aux deux autres types d’extraits qui peuvent se fonder sur l’article 10, 3° de la loi du 30 juillet 2018, à savoir lorsque le traitement est réalisé « par d’autres personnes lorsque le traitement est nécessaire pour des motifs d’intérêt public important pour l’accomplissement de tâches d’intérêt général confiées par ou en vertu d’une loi, d’un décret, d’une ordonnance ou du droit de l’Union européenne ».
L’ancienne Commission de la protection de la vie privée avait bien mentionné lors de sa consultation de l’avant-projet de loi que celui-ci devait « viser explicitement les personnes déterminées par ou en vertu d’une loi, d’un décret ou d’une ordonnance adopté pour des motifs d’intérêt public important pour l’accomplissement de tâches d’intérêt général confiées par ou en vertu d’une loi, d’un décret ou d’une ordonnance »58. Si on pourrait discuter du caractère suffisamment déterminé des personnes visées indirectement à l’article 596 du Code d’instruction criminelle – vu que cette disposition cite des activités et non des personnes – il est par contre certain qu’aucune précision permettant d’identifier les employeurs n’est prévue à l’article 595 du Code d’instruction criminelle. En fait, l’article 595 du C.I.cr semble ne pas avoir vocation à être utilisé en matière d’emploi mais plutôt pour l’exercice d’activités très variées allant de l’obtention d’un permis de chasse, d’un port d’arme, à l’obtention de titres honorifiques59.
Il n’est guère possible de s’appuyer sur une autre exception de l’article 10 de la loi du 30 juillet 2018 étant donné que pour les différentes raisons expliquées plus dans la première section, le consentement du travailleur ne saurait permettre de laisser un employeur consulter un extrait de casier judiciaire. La seule hypothèse où cela demeure possible est en fait la possibilité où les données ont été rendues manifestement publiques par la personne, sans que ce soit lié à une simple demande de l’employeur60.
Dans la pratique pourtant, il demeure fréquent que l’employeur ou l’agence de recrutement sollicite encore que le candidat à un poste d’emploi fournisse un extrait de casier judicaire. À la lecture du RGPD et hormis le cas où les données sont rendues manifestement publiques par la personne, cette demande n’est plus régulière que dans les deux hypothèses visées par l’article 596 du Code d’instruction criminelle, à savoir lorsqu’il est question de professions réglementées ou d’activités liées au secteur de la jeunesse61 .
C’est d’ailleurs dans un sens proche et avant l’entrée en vigueur du RGPD que s’est prononcé de façon innovante le tribunal de commerce de Charleroi qui a jugé qu’hormis l’hypothèse des professions réglementées, aucune disposition légale n’autorisait une entreprise intérimaire à demander aux candidats un certificat de bonne vie et mœurs62 . Le tribunal a ainsi débouté un agent d’assurances de son action en responsabilité à l’encontre d’une entreprise d’intérim : en l’espèce, l’intérimaire avait été impliqué dans des faits supposés de vol domestique d’une somme de 5.000 € chez l’utilisateur en ouvrant des comptes fictifs tandis que les services internes de ce dernier avaient identifié que l’intéressé avait déjà été impliqué dans des faits similaires. L’utilisateur reprochait à l’entreprise intérimaire de n’avoir pas vérifié cette donnée.
Cela étant dit, il ne faudrait pas penser qu’en ce qui concerne les extraits pour les professions réglementées et les activités en lien avec des mineurs, l’article 596 du Code d’instruction criminelle régule à suffisance le traitement de données judiciaires. En effet, le RGPD prévoit en son article 10 que des garanties appropriées pour les droits et libertés des personnes concernées doivent être prévues lorsque le traitement de ces données a lieu, ce que l’APD ne manque d’ailleurs pas de rappeler dans ses avis cités ci-dessus.
§ 18 À défaut d’avis de l’APD permettant de démontrer que l’extrait demandé est bien trop fourni, et tant que le législateur n’a pas procédé à une réforme de la matière, il est cependant possible de mettre en cause l’employeur qui exige un extrait comportant des données non pertinentes. Solliciter l’obtention d’un extrait de casier judiciaire fondé sur l’article 596, en dehors des conditions légales, est non seulement contraire au droit au respect de la vie privée du travailleur - qui peut invoquer l’effet direct horizontal de l’article 8 de la CEDH - mais ce comportement est également constitutif d’une infraction pénale. En effet, l’article 222 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel sanctionne le responsable du traitement63 d'une amende de deux cent cinquante euros à quinze mille euros lorsque les données à caractère personnel sont traitées sans base juridique ou sans respecter les conditions prévues à l’article 5 du RGPD (qui prévoit entre autres le principe de minimisation)64. Lorsqu’il s’agit d’un traitement sans fondement juridique, il n’est pas requis d’avoir agi avec une intention frauduleuse (« infraction matérielle »)65. S’il s’agit d’une violation du principe de minimisation des données, l’employeur ne pourra être condamné qu’en cas de négligence grave ou d’intention malveillante66.
Le travailleur devrait donc démontrer que l’employeur demande à consulter un extrait de casier judiciaire « vierge » ou reprenant plus de mentions que ce que requiert la profession concernée. Les incriminations prévues à l’article 222 s’appliquent également aux agences d’intérim, agences de placement ainsi qu’aux recruteurs (chasseurs de tête, entreprise de staffing, etc.) qui agissent tantôt en tant que responsable de traitement tantôt en qualité de mandataire de ce dernier. Notons d’ailleurs que les entreprises de recrutement devront être particulièrement attentives au respect de la législation en vigueur en matière de vie privée et de protection des données car les obligations qui en découlent conditionnent l’octroi ou le maintien de leur agrément67.
Enfin, en guise de preuve, il pourrait être opportun de se fonder sur le formulaire que doit remettre la personne concernée à l’autorité communale lorsqu’elle fait la demande d’un extrait de casier fondé sur l’article 596 du C.I.cr. Ce formulaire permet un certain contrôle -manifestement inexistant à ce jour - de l’usage qui sera fait de l’extrait de casier judicaire fondé sur l’article 596 du C.I.cr.68.
Propos conclusifs : quel droit d’accès de l’employeur au passé judiciaire sans consultation des extraits de casier judiciaire ?
§19 La consultation des extraits devrait donc devenir plus limitée si l’objectif est de respecter le RGPD… Nous avons en effet exposé qu’hormis les cas visés à l’article 596 du Code d’instruction criminelle - et encore la liste des mentions est à revoir -, il devrait juridiquement être exceptionnel d’exiger de consulter un extrait de casier judiciaire de la part d’un travailleur.
Toutefois et même à concevoir ce bouleversement des pratiques, il demeure possible pour l’employeur de poser des questions sur le passé judiciaire du travailleur sans consulter l’extrait de casier judiciaire.
L’équilibre à trouver est délicat car le travailleur et l’employeur sont respectivement tenus par un devoir de loyauté, y compris à l’occasion du processus de recrutement69. Toutefois, et comme cela a été rappelé ci-dessus, le principe de pertinence est cardinal en la matière et ce devoir de loyauté ne saurait justifier que le travailleur doive auprès de son nouvel employeur faire part de condamnations sans rapport avec la nature et les conditions d'exercice de son nouveau métier70.
§20 Cependant, un tel mensonge pourrait - en principe - être de nature à justifier une action en nullité du contrat de travail. En effet, l'article 1116 du Code civil dispose que « le dol est une cause de nullité de la convention lorsque les manœuvres pratiquées par l'une des parties sont telles qu'il est évident que, sans ces manœuvres, l'autre partie n'aurait pas contracté ». Sans détailler plus en avant les conditions du dol71, précisons simplement qu’il faut démontrer que le consentement de la victime du dol ait été altéré dans des conditions telles qu'en l'absence de ces manœuvres cette victime n'aurait pas contracté ou, à tout le moins, aurait contracté à des conditions différentes72. Bref, le fait d’avoir délibérément menti sur son passé judiciaire pourrait entraîner la nullité du contrat de travail si l’employeur démontre que le mensonge est constitutif d’une erreur telle que s’il avait eu connaissance du passé judiciaire du travailleur, l’employeur n’aurait pas « contracté ». Tel serait évidemment le cas, lorsque le candidat présente des antécédents judiciaires qui rendent impossible l’exercice de l’activité réglementée pour laquelle il est engagé. Pour les autres fonctions à exercer au sein d’une entreprise, il appartient à l’employeur de démontrer que les antécédents judiciaires sont pertinents en raison de la nature et des conditions d'exercice de la fonction. Dans ces situations, le fait de ne pas révéler certains éléments relatifs à son passé judiciaire pourrait toujours être constitutif de réticence dolosive même si une réflexion devra avoir lieu sur la durée endéans laquelle une condamnation devrait être révélée73.
En dehors de ces situations, une interprétation conforme au RGPD ainsi qu’à l’article 11 de la CCT n°38 ne permet plus de reprocher au travailleur d’être responsable d’une réticence dolosive en n'ayant pas spontanément révélé des informations concernant son passé judiciaire74 . À défaut, l’ensemble du dispositif européen relatif à la protection des données et plus généralement les limites strictes entourant le droit à la vie privée se verraient purement et simplement neutralisées puisque le travailleur se verrait contraint de révéler des informations personnelles situées en dehors du périmètre stricte prévu par la réglementation européenne pour la collecte de données personnelles sous peine de se rendre.
§21 Dans la suite logique de cette impossibilité de soulever le dol, nous pensons que la mise en place d’un droit au mensonge permettrait de limiter effectivement les effets de la peine. En effet, le travailleur qui entend invoquer son droit au silence lorsqu’il fait face à des questions relatives à son passé judiciaire en dehors des limites admissibles s’expose immédiatement au risque de ne pas être embauché. En d’autres termes, son silence aura pour effet de le priver de son emploi. À la lumière des circonstances de la cause, un « droit au mensonge » serait l’une des seules manières efficaces de contrecarrer la violation du droit au respect de la vie privée et d’éviter ainsi qu’un passé judiciaire ne soit un obstacle indéfini à une réinsertion professionnelle. Ce droit au mensonge concernant son passé judiciaire pourrait être utilisé comme un bouclier face aux questions irrégulières d’un employeur. Il faudrait donc prévoir qu’un tel mensonge ne puisse donner lieu à aucune sanction du point de vue de la nullité du contrat de travail ni à une rupture pour motif grave. On peut trouver un appui à ce « droit au mensonge » dans la jurisprudence relative à l’interdiction de discrimination sur base du sexe où il a été admis qu’une travailleuse enceinte puisse mentir sur son état de grossesse sans que cela justifie un licenciement pour motif grave étant donné que l'employeur n'avait pas le droit de demander à la travailleuse un renseignement qui aurait pu susciter un refus d'embauche discriminatoire75 . Certes le travailleur ayant un passé judiciaire n’est pas dans la même situation que le travailleur victime de discrimination, il n’en demeure pas moins que l’un comme l’autre n’aura parfois pas d’autre choix que de mentir pour permettre assurer l’effectivité de plusieurs de leurs droits fondamentaux, leur droit au respect de la vie privée mais aussi leur droit au travail qui lui-même conditionne son droit à la sécurité sociale.
Consacrer légalement ce droit ne reviendrait qu’à suivre un mouvement initié par la doctrine et la jurisprudence qui reconnaissent - explicitement ou implicitement - un « droit de mentir » dans le chef du candidat-travailleur en admettant la possibilité de taire certaines informations qui ne doivent pas être légitimement révélées, relativisant ainsi la perte de confiance invoquée parfois très et trop rapidement par l’employeur76.
Règlement général n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, JO L 119 du 4 mai 2016. ↩
P. Joassart, M. Solbreux et A.-S. Bouvy, « L’influence du droit constitutionnel sur le droit du travail », Annales de droit de Louvain, vol. 75, n° 3-4, pp. 348-353. ↩
Au Québec par contre, l’art. 18.2 de la Charte des droits et libertés de la personne prévoit que : « nul ne peut congédier, refuser dʼembaucher ou autrement pénaliser dans le cadre de son emploi une personne du seul fait quʼelle ait été déclarée coupable dʼune infraction pénale ou criminelle, si cette infraction nʼa aucun lien avec lʼemploi ou si cette personne en a obtenu le pardon ». ↩
Seuls les articles 1er à 6 ainsi que l'article 19 ont été rendus obligatoires par l’arrêté royal du 11 juillet 1984, le non-respect de l’article 11 n’est donc pas sanctionné pénalement, en vertu de l’article 189 du Code pénal social, faute d’avoir été rendu obligatoire par arrêté royal. ↩
C’est en effet l’effet le plus limité de la CCT dans la mesure où les employeurs n’ont pas adhéré à cette convention ou ne sont pas affiliés à une organisation patronale qui aurait signé celle-ci (voir article 26 de la loi du 5 décembre 1968 sur les conventions collectives de travail et les commissions paritaires ; M.B., 15 janvier 1969). L’effet n’est cependant que supplétif, nous renvoyons à l’article 51 de la loi du 5 décembre 1968 sur les conventions collectives de travail et les commissions paritaires. ↩
C. Mairy, « Protection de la vie privée dans le cadre du recrutement et de la sélection », Orientations, 2005, p. 23. ↩
Voy. à ce sujet V. De Greef, « Le casier judiciaire face au droit constitutionnel : une rencontre borderline », R.B.D.C., 2010, pp. 370 et s. ; G. Demez, Le droit au respect de la vie privée dans le cadre des tests préalables l’embauche In Vie privée du travailleur et prérogatives patronales, sous la dir. de J.-F. Leclercq, Bruxelles, Editions du Jeune Barreau de Bruxelles, 2005, p. 59. ↩
Voy. par ex. les arrêts suivants faisant référence à ces dispositions de la CCT : C. trav. Mons, 7 avril 2009, R.G. n°21 040, Juportal.be ; C. trav. Mons, 7 novembre 2011, R.G. n°2010/AM/236, Juportal.be ; C. trav. Bruxelles, 17 janvier 2007, R.G. n° 47 309, Juportal.be. ↩
Article 4, 7) du RGPD. ↩
L’article 4, 2) du RGPD définit le « traitement » comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ». ↩
L’article 4 du RGPD concerne évidemment bon nombre de données individuelles du (candidat-)travailleur telles que ses données salariales, son sexe, sa situation familiale, sa situation de santé. Ces données dépassent très largement le cadre de la présente contribution (à ce propos, voy. O. Rijckaert et N. Lambert, Le respect de la vie privée et le RGPD au travail, Liège, Kluwer, Etudes pratiques de droit social, 2019, pp. 31-32). ↩
À ce sujet, l’APD (encore Commission Vie Privée) se demande « si, dans la version néerlandaise du §1 de l’article 9 en projet, il ne convient pas de traduire les termes ‘infractions pénales’ par ‘strafrechterlijke inbreuken’ à la place de ‘strafbare feiten’ et ce, même si cette traduction correspond à la traduction officielle de l’article 10 du RGPD (Avant-projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (CO-A-2018-026), avis n°33/2018 du 11 avril 2018). ↩
Avant-projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (CO-A-2018-026), avis n°33/2018 du 11 avril 2018. ↩
Article 10 du RGPD. ↩
L’APD précise qu’il faut donc établir une liste des personnes qui ont accès à ces données à caractère personnel et prévoir que les personnes qui bénéficient de cet accès soient tenues à une obligation légale ou statutaire de secret professionnel (Autorité de protection des données, Avis sur l’avant-projet d'arrêté du Gouvernement de la Communauté germanophone établissant la procédure d’enregistrement et de reconnaissance des praticiens des professions des soins de santé et de délivrance d'une carte professionnelle européenne (CO-A-2019-018), n° 56/2019, 27 février 2019, point 14). ↩
Doc. Parl., Chambre, Projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, 11 juin 2018, n°54/3126-001, p. 22. ↩
Moniteur belge, 18 mars 1993. ↩
Art. 10, 5° et 6° de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Voy. Doc. Parl., Chambre, Projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, Amendement Dedecker et consorts, 3 juillet 2018, n°54/3126-002, pp. 13-15. ↩
Doc. Parl., Chambre, Projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, Amendement Dedecker et consorts, 3 juillet 2018, n°54/3126-002, p. 14. ↩
Ibid. ↩
Ibid. ↩
Ibid., p. 15. ↩
C’est à la même conclusion qu’arrivent les auteurs dans la récente contribution : J. Hick et R. Unusyan (« Vérification des antécédents des candidats (background checks) : état de la question en droit belge », J.T.T., 2022, n°3, p. 39 et p. 44). ↩
Cela ne signifie toutefois pas que les employeurs ne peuvent jamais avoir recours au consentement en tant que base juridique pour le traitement de données. Il peut exister des situations où l’employeur est en mesure de démontrer que le consentement est de facto donné librement. Vu le déséquilibre des rapports de force entre un employeur et les membres de son personnel, les employés ne peuvent donner librement leur consentement que dans des situations exceptionnelles, lorsqu’absolument aucune conséquence négative ne résultera de leur refus de donner leur consentement (Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679, p. 10) ↩
Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679, p. 10 ↩
L’article 4, 11° du RGPD définit le consentement comme « toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». ↩
L’Autorité de protection des données grecque a condamné par décision du 30 juillet 2019 la société PricewaterhouseCoopers Business Solutions SA (PWC BS) à une amende de 150.000 euros notamment au motif que PWC BS avait basé le traitement des données personnelles de ses salariés sur leur consentement, lequel est une de ces six bases légales en Grèce. L’autorité grecque, saisie par une plainte, a décidé que le consentement des salariés ne peut pas être considéré comme étant donné librement dans le contexte d’une relation de travail, compte tenu du rapport de force déséquilibré en faveur de l’employeur. Le consentement n’est donc pas valable (décision du 30 juillet 2019 de l’APD grecque, n°26/2019, consultable sur le site internet de l’APD. URL : https://www.dpa.gr/sites/default/files/2020)12/SUMMARY%20OF%20DECISION%2026_2019%20%28EN%29.PDF ) ↩
On retrouve encore cette idée de traitement de données très restreint par rapport aux données judiciaires à l’article 6, 4.c) ou dans le cadre d’une relation de travail à l’article 7. 4 du RGPD, relatif aux conditions applicables au consentement, qui prévoit qu’ « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ». ↩
Qui sont appelés erronément à l’article 88 « employés » au lieu de « salariés ». ↩
Autorité de protection des données, Questions portant sur le passé judiciaire du candidat, « Recrutement des candidats », disponible sur le site de l’APD. URL : https://www.gegevensbeschermingsautoriteit.be/professionnel/themes/vie-privee-sur-le-lieu-de-travail/recrutement-des-candidats ↩
Ibidem. Nous soulignons. L’APD se réfère à l’article 10 mais elle exclut dans le cadre des relations de travail le fait de se limiter au consentement (pourtant prévu à l’article 10, 5° de la loi du 30 juillet 2018 mais au sujet duquel elle n’a pas été invitée à donner son avis). ↩
Le cabinet Claeys & Engels épouse la même conception : voy. sa newsletter de septembre 2018, « La loi belge sur la protection des données entre aujourd’hui en vigueur », disponible sur le site de Claeys & Engels dédié au RGPD, p. 3. URL : https://www.gdprbelgium.be/sites/default/files/uploads/Newsletters/fr_-_verwerking_van_persoonsgevens.pdf Il faut cependant signaler par rapport à sa fiche que la simple consultation de l’extrait est déjà problématique en dehors des autres cas prévus par l’article ↩
À la différence d’une série d’administrations publiques qui peuvent accéder au casier judicaire central, ce que préfère d’ailleurs l’APD en raison de l’accès à la source authentique : Autorité de protection des données, avis sur le projet d’arrêté du Gouvernement wallon relatif à l’agrément et au subventionnement des services d’accompagnement à l’accueil social et rural et à l’agrément des structures d’accueil social rural (CO-A-2019-081), n° 91/2019, 3 avril 2019. ↩
Voy. par exemple l’arrêté royal du 19 juillet 2001 relatif à l'accès de certaines administrations publiques au Casier judiciaire central (Moniteur belge, 24 août 2001). ↩
Dans son avis du 8 novembre 2000, la section de législation du Conseil d’Etat rappelle qu’il « ne peut être admis qu’une administration publique soit autorisée à accéder aux informations du Casier judiciaire central, en application de l’article 594 du CIC, de manière générale et permanente, en se bornant à énoncer cette autorisation donnée en vue de l’accomplissement des tâches confiées par une disposition légale ou réglementaire et qui requièrent la connaissance des antécédents » (Conseil d’Etat, section de législation, avis n° 20.089/2). ↩
L’APD préfère qu’un accès à la source authentique soit possible en consultant le Casier judiciaire central mais cette consultation doit être organisée en tenant compte du principe de minimisation des données. Par exemple, en ce qui concerne l’Autorité des services et marchés financiers (FSMA), cette consultation doit être organisée de manière telle que la FSMA « reçoive uniquement une réponse par oui ou par non, selon que la personne concernée ait ou non fait l'objet d'une des condamnations visées » (Autorité de protection des données, avis sur le projet d’arrêté royal modifiant l’arrêté royal du 1er juillet 2006 portant exécution de la loi du 22 mars 2006 relative à l’intermédiation en services bancaires et en services d’investissement et à la distribution d’instruments financiers, et l’arrêté royal du 29 octobre 2015 portant exécution du Titre 4, Chapitre 4, du Livre VII du Code de droit économique (CO-A-2020-001), n° 18/2020 du 21 février 2020, point 16). L’APD a également insisté sur le fait que « les articles 9 et 10 du RGPD doivent en outre être lus conjointement avec les articles 6 du RGPD, 22 de la Constitution et 8 de la CEDH, ce qui implique que – même si le traitement de ce type de données a lieu sous le contrôle d'une autorité publique – les éléments essentiels du traitement de ce type de données doivent aussi être établis dans la réglementation » (Autorité de protection des données, avis sur le projet d'arrêté royal portant des mesures relatives à la surveillance du secteur du diamant (CO-A-2019-096), n°115/2019, 5 juin 2019). ↩
À titre d’exemple : agent immobilier, exploitant d’une agence de voyage, dirigeant dans le domaine des assurances, personnel d’une auto-école, détective privé, dirigeant dans le domaine des établissements de crédits, fonctionnaire SAC, gardien de la paix, professionnels du chiffre, agent de gardiennage, etc. ↩
L’art. 596 al. 1er se limite pourtant à préciser que l'extrait mentionne les décisions visées à l'article 595 alinéa 2 (à savoir les condamnations de moins de 6 mois, les condamnations par simple déclaration de culpabilité et les condamnations à des peines d'amende ne dépassant pas 500 euros et à des peines d'amende infligées en vertu des lois coordonnées par l'arrêté royal du 16 mars 1968 relatives à la police de la circulation routière quel que soit leur montant) lorsqu'elles comportent des déchéances ou des interdictions dont les effets dépassent une durée de trois ans, ayant pour effet d'interdire à la personne concernée d'exercer cette activité. Il est à souligner que les mentions (la peine de travail, peine probatoire autonome, etc.) ne pouvant figurer sur l'extrait du « modèle 595 » ne peuvent, bien entendu, pas non plus se voir inscrites sur le « modèle 596-1 ». ↩
L’extrait 596 al. 2 mentionne notamment (par un renvoi aux articles 590, 594 et 596 al. 1er du C.I.cr.) : a) toutes les condamnations à une peine criminelle, correctionnelle, de police ou à une simple déclaration de culpabilité prononcées moins de 3 ans avant la date de l'extrait ; b) s'agissant des jugements prononcés il y a plus de 3 ans : - sont toujours mentionnées les condamnations à une peine d'emprisonnement supérieure à 6 mois ainsi que les condamnations à une peine d'amende supérieure à 500 EUR, prononcées dans le cadre d'une infraction ne relevant pas du domaine de la circulation routière ; - sont mentionnées uniquement si ces condamnations sont visées par la réglementation de l'activité pour laquelle l'extrait est demandé ou s'il existe une déchéance ou une interdiction de plus de 3 ans en rapport avec l'activité concernée, prononcée ou non dans le jugement : les condamnations par simple déclaration de culpabilité ; les emprisonnements jusqu'à (et compris) 6 mois ; les amendes jusqu'à (et y compris) 500 EUR ; et les amendes prononcées en matière de circulation routière, quel que soit leur montant. ↩
Article 6 de la loi du 31 juillet 2009 portant diverses dispositions concernant le Casier judiciaire central, M.B., 30 juin 2009. Cependant, et contrairement à ce que prévoit encore le texte, la mention de l’interdiction est omise de l’extrait de casier judiciaire « modèle 2 » dès que l’interdiction est levée ou lorsqu’elle n’est pas renouvelée (Cour constitutionnelle, arrêt n° 1/2011, 13 janvier 2011, § B.19.4). Pour le reste, le fait que l'administration communale s'adresse au service de police locale au sujet de cette interdiction a été supprimé vu qu’elle est reprise directement dans l’extrait (art. 30 de la loi du 5 mai 2019 portant dispositions diverses en matière d’informatisation de la Justice, de modernisation du statut des juges consulaires et relativement à la banque des actes notariés, M.B., 19 juin 2019). Cela a été « acté » par l’APD (Autorité de protection des données, avis sur l’avant-projet de loi portant dispositions diverses en matière d’informatisation de justice et de modernisation du statut des juges consulaires (CO-A-2018-111), n° 120/2018 du 7 novembre 2018, point 29). ↩
Article 57 de la loi du 5 février 2016 modifiant le droit pénal et la procédure pénale et portant des dispositions diverses en matière de justice ↩
V. Seron, « Le casier judiciaire : un instrument mémoriel au passé tourmenté mais à l'avenir empreint de sérénité ? », J.T., 2016/10, n° 6638, p. 160 ↩
Doc. Parl., Chambre, Projet de loi relatif au casier judiciaire central, Rapport fait au nom de la commission Justice, 26 mai 1997, n°988/4, p. ↩
Il ne comprend pas les mentions suivantes : les arrêts de réhabilitation et les condamnations visées par la réhabilitation, les peines de travail, les suspensions du prononcé (simples ou probatoires), les déchéances de l’autorité parentale, les arrêts d'annulation, les décisions de rétractation, les condamnations ayant fait l’objet d’une mesure d’amnistie, les déchéances de l’autorité parentale, les mesures prises à l’égard des mineurs et les mesures prises au regard de la loi de défense sociale. Les petites condamnations et amendes ne sont plus reprises après un délai de trois ans sauf si elles prévoient, dans le jugement, une déchéance ou une interdiction dont les effets dépassent une durée de trois ans (voy. la fin de la note de bas de page n°35 à ce sujet). ↩
Article 5, 1 c) du RGPD. ↩
Autorité de protection des données, Demande d’avis concernant un projet d’arrêté royal relatif à la formation professionnelle des experts-comptables et des conseillers fiscaux (CO-A-2019-221), n° 16/2020 du 21 février 2020, point ↩
Autorité de protection des données, Avis sur l’avant-projet de décret de la Communauté germanophone modifiant le décret sur le sport du 19 avril 2004 (CO-A-2019-212), n° 08/2020, 31 janvier 2020, point 23. ↩
Autorité de protection des données, Avis sur le projet de loi transposant la directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances (CO-A-2018-050), n° 56/2018, 4 juillet 2018, point 41. ↩
Ibid., point 42. ↩
Ibid., point 43. En raison du caractère délicat et risqué du test d'honorabilité, l’APD suggère plutôt que « cette évaluation s'effectue au niveau sectoriel au moyen d'une considération documentée parce que l’on appelle un tiers de confiance (trusted third party), plutôt que selon les modalités les plus diverses
par chaque entreprise d'assurance distincte » (point 44). ↩Autorité de protection des données, avis sur le projet d’arrêté royal relatif à la représentation en matière de brevets & projet d’arrêté royal établissant le règlement de discipline applicable aux mandataires en brevets (CO-A-2020-031 & CO-A-2020-034), n° 41/2020, 15 mai 2020, point 27. ↩
Ibidem. ↩
Autorité de protection des données, avis sur le projet d'arrêté royal modifiant l’arrêté royal du 5 juillet 2004 relatif à la reconnaissance des ouvriers portuaires dans les zones portuaires tombant dans le champ d'application de la loi du 8 juin 1972 organisant le travail portuaire (CO-A-2020-023), n° 28/2020, 3 avril 2020, point 24. ↩
Autorité de protection des données, avis relatif à l'article 4, § 2 du projet d'arrêté royal établissant la procédure d'obtention d'un permis d'utilisation des zones d'activités industrielles et commerciales dans les espaces marins sous juridiction de la Belgique (CO-A-2019-133), n° 119/2019, 19 juin 2019, point 19. ↩
Autorité de protection des données, avis concernant un avant-projet d'arrêté royal portant exécution des articles 5, 19°/1, 264, 266, 268 et 273 de la loi du 4 avril 2014 relative aux assurances (CO-A-2019-071), n° 89/2019, 3 avril 2019, point 25. ↩
Autorité de protection des données, avis concernant le projet d'arrêté royal portant des mesures relatives à la surveillance du secteur du diamant (CO-A-2019-096), n° 115/2019, 5 juin 2019, point 22. ↩
Autorité de protection des données, avis sur le projet d’arrêté royal modifiant l’arrêté royal du 1er juillet 2006 portant exécution de la loi du 22 mars 2006 relative à l’intermédiation en services bancaires et en services d’investissement et à la distribution d’instruments financiers, et l’arrêté royal du 29 octobre 2015 portant exécution du Titre 4, Chapitre 4, du Livre VII du Code de droit économique (CO-A-2020-001), n° 18/2020 du 21 février 2020, point 16. ↩
Commission de la protection de la vie privée, avant-projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (CO-A-2018-026), n°33/2018, 11 avril 2018. ↩
Cette affirmation est - à notre estime - confortée consécutivement à l’adoption de l’arrêté royal du 21 novembre 2016 fixant les modalités de délivrance des extraits de casier judiciaire aux particuliers. Les articles 16 à 19 de l’arrêté introduisent l'utilisation d'un formulaire-type uniquement pour la demande d'extraits de casier judiciaire fondée sur l’article 596 al.1er ou 2 du C.I.cr. Comme le rappelle le rapport au Roi de l’arrêté du 21 novembre 2016, l’introduction de ce formulaire-type, signé par l'administration communale et remis avec l'extrait au demandeur, fixe la responsabilité de la délivrance d'un type d'extrait correct au destinataire final, soit l'employeur actuel, soit le futur employeur du demandeur ou l'organisation dont le demandeur souhaite faire partie. Si un formulaire-type n'est pas remis, le demandeur reçoit le modèle d'extrait qu'il a demandé oralement. Cet encadrement a précisément pour objectif d’effectuer un contrôle quant au destinataire final du casier judiciaire. Cette formalité n’est pas prévue pour l’article 595 du C.I.cr puisque ce type d’extrait n’a pas vocation à être utilisé en matière recrutement de personnel. ↩
Les première et deuxième hypothèses de l’article 10 de la loi du 30 juillet 2018 (la gestion du contentieux et les conseils juridiques) ne concernent a priori pas la phase de recrutement mais davantage celle de l’exécution du contrat de travail. ↩
Ce sont également les seules deux hypothèses citées par O. Rijckaert et N. Lambert (Le respect de la vie privée et le RGPD au travail, op. cit., p. 49). ↩
Comm. Charleroi, 17/12/2009, JTT, 2010/25, pp. 398-399. ↩
Ainsi que le sous-traitant, son préposé ou mandataire, l'autorité compétente, visés aux titres 1er et 2 (de la loi du 30 juillet 2018). ↩
Les articles 222, 1° et 222, 2° de la loi du 30 juillet 2018 visent ainsi « 1° les données à caractère personnel sont traitées sans base juridique conformément à l'article 6 du Règlement et aux articles 29, § 1er, et 33, § 1er, de la présente loi, y compris les conditions relatives au consentement et au traitement ultérieur ; 2° les données à caractère personnel sont traitées en violation des conditions imposées par l'article 5 du Règlement et par l'article 28 de la présente loi par négligence grave ou avec intention malveillante (…)». Il faut bien prendre en compte l’article 6 qui concerne la licéïté du traitement pour des données judiciaires, comme l’a rappelé l’APD dans l’avis suivant : Autorité de protection des données, avis concernant le projet d'arrêté royal portant des mesures relatives à la surveillance du secteur du diamant (CO-A-2019-096) , n° 115/2019, 5 juin 2019. ↩
Article 222, 1° de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. ↩
Article 222, 2° de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. ↩
On relèvera notamment que l’Ordonnance de la Région de Bruxelles relative à la gestion mixte du marché de l'emploi dans la Région de Bruxelles-Capitale fixe impose aux entreprises d’intérim : « de respecter la législation en vigueur sur la protection de la vie privée des personnes physiques à l'égard des traitements de données à caractère personnel » (article 6, 4°). Le non-respect de cette disposition pouvant conclure à la suspension au retrait ou à la suspension de l’agrément (article 18, § 1er, 1°).
« 8° respecter les réglementations de travail, de sécurité sociale, commerciales et fiscales ainsi que le droit des sociétés et les conventions collectives de travail en vigueur » ↩
Article 16 de l’arrêté royal du 21 novembre 2016 fixant les modalités de délivrance des extraits de casier judiciaire aux particuliers. ↩
On retrouve notamment l’expression du devoir de loyauté à l’article 13 de la CCT n°38 (« Le candidat est tenu de collaborer de bonne foi à la procédure de sélection et de fournir toutes les données nécessaires quant à son passé professionnel et les études qu'il a effectuées, lorsqu'elles ont un rapport avec la nature et les conditions d'exercice de la fonction ») au niveau de la phase précontractuelle et de l’article 17 al.3 de la loi du 3 juillet 1978 relative aux contrats de travail ainsi que du devoir général de bonne foi dans l’exécution des conventions (1134 du Code civil). Voy. Ch. Bedoret, « La bonne foi et le contrat de travail : baliverne, balise ou baliste? », Orientations, février 2009, pp. 12 et s. ↩
Voy. la note de bas de page n°7 et par ex. C. trav. Mons, 7 avril 2009, R.G. n°21040, Juportal.be. ↩
Voy. not. les arrêts suivants : Cass., 23 septembre 1977, Pas., 1978, I, p. 101 ; Cass., 6 octobre 1977, Pas., 1978, I, p. 57 ; Cass., 29 mai 1980, Pas., I, 1190 ; Cass., 16 septembre 1999, Pas., I, p. 1160, Cass., 8 juin 1978, Pas., I, p. 1156. Voy. également la doctrine suivante : P. Van Ommeslaghe, Droit des Obligations, Tome I, Bruxelles, Bruylant, 2010, p. 252 ; J.P. Masson, note sous Cass., 8 juin 1978, R.C.J.B., 1979, p. 525. ↩
Cass., 24 mai 1974, Pas., I, p. 951. ↩
Pour une réflexion sur la durée des antécédents à révéler, voy. C. trav. Brux., 17 janvier 2007, R.G. n°47.309 et C. trav. Liège, 2 avril 1981, R.G. n°7689/80, cités in V. De Greef, « Le casier judiciaire face au droit constitutionnel : une rencontre borderline », op. cit., p. 374. ↩
On retrouve d’ailleurs une telle interprétation avant l’entrée en vigueur du RGPD, voy. C. trav. Gand, 17 octobre 1984, Chr. D. S., 1986, pp. 167-168, cité in V. De Greef, « Le casier judiciaire face au droit constitutionnel : une rencontre borderline », op. cit., p. 373. ↩
Trib. Trav. Gand, 18 mai 1981, J.T.T., 1981, p. 300. Voy. aussi CJUE, 4 octobre 2021, Tele Danmark A/S c. Handels- og Kontorfunktionaerernes Forbund i Danmark (HK), agissant pour M. Brandt-Nielsen, Chr. D.S., 2002, p. 436, obs. J. Jacqmain, cité par O. Rijckaert et N. Lambert, Le respect de la vie privée dans la relation de travail, op. cit., p. 96. Voy. également sur cette question : S. Gilson et F. Lambinet, La vie privée au travail, in Actualités choisies des droits fondamentaux, sous la dir. de F. Krenc, F. Bouhon et C. Deprez, Limal, Anthemis, coll. CUP 2021, vol. 210, p. 159. ↩
Voy. C. trav. Brux., 17 janvier 2007, R.G. n°47.309 et C. trav. Liège, 2 avril 1981, R.G. n°7689/80, cités in V. De Greef, « Le casier judiciaire face au droit constitutionnel : une rencontre borderline », op. cit., p. 374. Sur l’exercice d’un droit de « mentir » pour éviter un refus d’embauche illégitime : F. Lagasse, « La vie privée et le droit du travail », Chr. D.S., 1997, p. 422 ; G. Demez, « Le droit au respect de la vie privée dans le cadre des tests préalables l’embauche », op. cit., pp. 52-54 ; O. Rijckaert et N. Lambert, Le respect de la vie privée dans la relation de travail, op. cit., p. 96 ; F. Hendrickx, Privacy en arbeidsrecht, Bruges, La Charte, 1999, p. 121. ↩