L’article L.261-1 du Code du travail figurant au « Titre VI – Traitement de données à caractère personnel à des fins de surveillance dans le cadre des relations de travail » dispose notamment que « (1) Le traitement de données à caractère personnel à des fins de surveillance des salariés dans le cadre des relations de travail ne peut être mis en œuvre par l’employeur que dans les cas visés à l’article 6, paragraphe 1er, lettres a) à f), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et conformément aux dispositions du présent article. (2) Sans préjudice du droit à l’information de la personne concernée, sont informés préalablement par l’employeur : pour les personnes tombant sous l’empire de la législation sur le contrat de droit privé : le comité mixte ou, à défaut, la délégation du personnel ou, à défaut encore, l’inspection du travail et des mines ; pour les personnes tombant sous l’empire d’un régime statutaire : les organismes de représentation du personnel tels que prévus par les lois et règlements afférents. Cette information préalable contient une description détaillée de la finalité du traitement envisagé, ainsi que des modalités de mise en oeuvre du système de surveillance et, le cas échéant, la durée ou les critères de conservation des données, de même qu’un engagement formel de l’employeur de la non-utilisation des données collectées à une finalité autre que celle prévue explicitement dans l’information préalable. (3) Lorsque le traitement des données à caractère personnel prévu au paragraphe 1er est mis en œuvre : 1. pour les besoins de sécurité et de santé des salariés, 2. pour le contrôle de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou 3. dans le cadre d’une organisation de travail selon l’horaire mobile conformément aux dispositions du présent code, les dispositions prévues aux articles L.211-8, L.414-9 et L.423-1 s’appliquent, sauf lorsque le traitement répond à une obligation légale ou réglementaire…». Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 cité ci-avant, dispose au paragraphe 1er de l’article 6, intitulé « Licéité du traitement », que :
Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant…».