La question de savoir si un salarié peut invoquer le RGPD pour refuser d'être évalué via un outil de gestion des performances révèle la complexité entre le droit du travail français et la réglementation européenne sur la protection des données. Cette problématique nécessite une analyse approfondie des différents cadres juridiques applicables, notamment l'article 22 du RGPD relatif aux décisions automatisées, l'article L1222-3 du Code du travail français et les diverses bases légales du traitement de données personnelles.
Le cadre juridique de l'évaluation des salariés en France
Les fondements légaux de l'évaluation professionnelle
L'évaluation des salariés constitue une prérogative reconnue de l'employeur dans le cadre de son pouvoir de direction. Cette évaluation permet d'apprécier les aptitudes professionnelles du salarié, de faire le bilan de ses performances et de fixer des objectifs pour l'avenir.
Le Code du travail encadre strictement cette pratique à travers l'article L1222-3, qui impose trois obligations fondamentales à l'employeur.
Premièrement, le salarié doit être "expressément informé, préalablement à leur mise en œuvre, des méthodes et techniques d'évaluation professionnelles mises en œuvre à son égard".
Deuxièmement, les résultats obtenus doivent demeurer confidentiels.
Troisièmement, les méthodes et techniques d'évaluation doivent être "pertinentes au regard de la finalité poursuivie".
L'impossibilité de principe de refuser l'évaluation
Il est clairement établi : "le salarié ne peut pas refuser d'être évalué par son employeur", à condition qu'il ait été préalablement informé des méthodes utilisées. Cette position s'explique par la nature même du contrat de travail, qui crée un lien de subordination justifiant le contrôle et l'évaluation de l'activité professionnelle.
Cependant, cette règle générale doit désormais être confrontée aux exigences du RGPD, particulièrement lorsque l'évaluation implique des traitements automatisés de données personnelles ou des décisions entièrement automatisées.
L'application du RGPD aux outils de gestion des performances
Les bases légales du traitement des données d'évaluation
L'utilisation d'outils de gestion des performances implique nécessairement le traitement de données personnelles des collaborateurs, soumettant ainsi l'employeur aux obligations du RGPD. L'article 6 du RGPD établit six bases légales possibles pour justifier un traitement de données personnelles.
Dans le contexte de l'évaluation des salariés, plusieurs bases légales peuvent être invoquées. L'exécution du contrat de travail (article 6 b) justifie les traitements nécessaires à la gestion basique des performances. L'intérêt légitime de l'employeur (article 6 f) constitue généralement la base la plus appropriée pour les outils d'évaluation plus sophistiqués. Cette base nécessite cependant une mise en balance entre les intérêts de l'employeur et les droits et libertés des salariés.
Le consentement (article 6 a) s'avère généralement inadapté dans le contexte professionnel en raison du déséquilibre de pouvoir inhérent à la relation de travail. La CNIL reconnaît cette difficulté, soulignant que le consentement doit être libre, ce qui est rarement le cas dans une relation employeur-salarié.
Les obligations spécifiques de transparence
Le RGPD impose des obligations renforcées de transparence lorsque des données personnelles sont traitées. L'employeur doit informer les salariés de l'identité du responsable de traitement, de l'objectif poursuivi, de la finalité du dispositif, du caractère obligatoire ou facultatif des réponses, des destinataires des informations, de la durée de conservation des données et des conditions d'exercice de leurs droits.
Ces obligations s'articulent avec celles du Code du travail, créant un double niveau d'exigences. La CNIL précise qu'aucune information concernant un salarié ne peut être collectée par un dispositif qui n'a pas été préalablement porté à sa connaissance.
L'article 22 du RGPD et les décisions automatisées
Le principe d'interdiction des décisions entièrement automatisées
L'article 22 du RGPD établit un principe fondamental : "la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative". Cette disposition vise à protéger les individus contre les risques liés aux décisions prises uniquement par des algorithmes, sans intervention humaine.L'analyse juridique de la question posée
Les différentes hypothèses selon la nature de l'outil
La réponse à la question de savoir si un salarié peut refuser un outil de gestion des performances en invoquant le RGPD dépend essentiellement de la nature et du fonctionnement de cet outil.
Première hypothèse : outil d'aide à la décision avec intervention humaine
Lorsque l'outil ne fait que collecter et présenter des données pour aider un manager à prendre une décision d'évaluation, l'article 22 du RGPD ne s'applique pas. Il n'y a pas de décision "entièrement automatisée" puisqu'un être humain intervient dans le processus. Dans ce cas, l'évaluation relève du droit commun du Code du travail et le salarié ne peut pas refuser d'y participer, à condition d'avoir été préalablement informé.
Deuxième hypothèse : décision entièrement automatisée sans effets significatifs
Si l'outil prend des décisions de manière entièrement automatisée mais que ces décisions n'ont pas d'effets juridiques ou d'impact significatif (par exemple, simple classement interne sans conséquence), l'article 22 ne s'applique pas non plus. Le salarié ne peut donc pas invoquer cette disposition pour refuser l'évaluation.
Troisième hypothèse : décision entièrement automatisée avec effets significatifs
C'est dans cette configuration que l'article 22 du RGPD trouve pleinement à s'appliquer. Si l'outil prend automatiquement des décisions qui ont des conséquences sur la carrière, la rémunération ou les conditions de travail du salarié, celui-ci peut théoriquement invoquer son droit de ne pas faire l'objet d'une telle décision.
Les recommandations pratiques pour les employeurs
Les bonnes pratiques de mise en conformité
Les employeurs doivent adopter une approche prudente et méthodique. La première étape consiste à réaliser une analyse d'impact sur la protection des données (AIPD) lorsque l'outil présente un risque élevé pour les droits et libertés des salariés. Cette analyse permettra d'identifier les risques spécifiques et de mettre en place les mesures de protection appropriées.
L'information et la consultation des représentants du personnel constituent également des préalables indispensables. Le CSE doit être consulté sur les méthodes d'évaluation, particulièrement lorsqu'elles sont susceptibles de générer une pression psychologique. Cette consultation doit intervenir avant la mise en œuvre du dispositif.
La formation des managers et des équipes RH représente un autre aspect crucial. Ils doivent comprendre les enjeux juridiques liés à l'utilisation des outils automatisés et être capables d'assurer l'intervention humaine requise par la réglementation.
La documentation et la traçabilité
Les employeurs doivent documenter soigneusement leurs pratiques d'évaluation. Le registre des activités de traitement doit mentionner les outils utilisés, leurs finalités, les bases légales invoquées et les mesures de sécurité mises en place. Cette documentation sera essentielle en cas de contrôle de la CNIL ou de contestation par un salarié.
La traçabilité des décisions automatisées constitue également une exigence importante. L'employeur doit être en mesure d'expliquer la logique sous-jacente aux algorithmes utilisés et de justifier les décisions prises. Cette capacité d'explication devient d'autant plus importante que la jurisprudence européenne renforce les exigences de transparence.
Les évolutions récentes et perspectives d'avenir
L'impact du règlement sur l'intelligence artificielle
L'adoption du règlement européen sur l'intelligence artificielle introduit de nouvelles obligations pour les employeurs utilisant des systèmes d'IA dans leurs processus RH. Ce règlement classe certains usages de l'IA comme "à haut risque", notamment ceux concernant le recrutement et l'évaluation des travailleurs.
Les systèmes d'IA utilisés pour l'évaluation des performances devront respecter des exigences renforcées en matière de transparence, de robustesse et de supervision humaine. Ces évolutions renforceront encore les droits des salariés face aux décisions automatisées.