Note : cet article est issu d’un mémoire rédigé en juin 2021. Il a été mis à jour pour être publié sous forme de série à partir d’octorbre 2022 sur mon site.
Une entreprise, ou bien une équipe dédiée “Diversité & Inclusion” souhaite mener une politique efficace de diversité. Afin d’avoir une idée de l’existant, et de fixer des objectifs, des mesures doivent être réalisées. Dans cette entité, on est convaincu que la mesure de la diversité d’origine est une étape préalable à toute mise en place de mesures correctives aux fins d’égalité des chances.
Oui, il est possible de mesurer la diversité en entreprise, même si les données sont considérées comme sensibles. Toutefois, des précautions doivent être prises pour ne pas violer la législation sur la protection des données personnelles. En outre, il est sans doute peu recommandable, ni souhaitable, d’aller plus loin que ce qui se fait déjà pour les enquêtes publiques (lieu de naissance des ascendants, ressenti d’appartenance). En d’autres termes, la mise au point de catégories ethno-raciales (« noir », « arabo-musulman », « asiatiques ») en entreprise, sans recours à un prestataire adapté, est risquée autant en droit qu’en termes de communication interne et externe (le bad buzz n’est jamais loin).
Ainsi, il reviendra de faire la part des choses entre ce qui est légal, et ce qui est légitime – ce qui est possible et ce qui est souhaitable.
Le RGPD est le texte de référence pour la protection des données personnelles des citoyens européens. Dans le contexte français, la Loi Informatique & Libertés est encore en vigueur et vient compléter le droit européen, directement applicable, en la matière.
La Loi Informatique & Libertés appliquée à la mesure de la diversité
I.-Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Article 6, I et II de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
II.-Les exceptions à l’interdiction mentionnée au I sont fixées dans les conditions prévues par le 2 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 et par la présente loi.
III.-De même, ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés suivant les modalités prévues au II de l’article 31 et à l’article 32.
Une interdiction de principe. La Loi Informatique et Libertés dans sa version actuelle interdit les traitements de données à caractère personnel portant sur l’origine ethno-raciale. D’ailleurs, le texte est fidèle à l’approche française en précisant le caractère « prétendu » d’une telle origine, précision qui ne figure pas dans le texte européen auquel il est fait référence dans le II.
L’autorisation est l’exception. L’interdiction du I n’est pas absolue. Non seulement la Loi Informatique et Libertés renvoie au règlement (UE) 2016/679 (« RGPD« ), abordé ci-dessous, mais aussi à des exceptions prévues par le texte français. En l’occurrence, on peut citer les enquêtes statistiques comme « Trajectoires et Origines » dont la licéité est fondée sur l’article 6, III ci-dessus et l’article 31, II de la même loi. En effet, à des fins statistiques justifiées par l’intérêt public, le traitement de données à caractère personnelles traitant de l’origine ethno-raciale est autorisé par décret du Conseil d’Etat après avis motivé et publié rendu par la Commission nationale de l’informatique et des libertés (« CNIL« ).
Que faire lorsqu’on veut mesurer la diversité hors du cadre des statistiques d’intérêt public ? Pour les traitements (ou « utilisation ») de données à caractère personnel n’entrant pas dans le champ d’application des exceptions prévues par la Loi Informatique & Libertés, il faut se référer au RGPD.
Le RGPD appliqué à la mesure de la diversité
Dans cette section, l’hypothèse est celle d’une organisation ayant son activité en France et qui souhaite mettre en place une mesure, parmi ses collaborateurs, de la diversité d’origine ethno-raciale.
Le genre, la couleur de peau, l’origine sociale, la situation de handicap, sont des données qui permettent d’identifier une personne dans un groupe. Il s’agit donc de données à caractère personnel et pour celles-ci de données dites « sensibles ». L’entreprise va les collecter, les enregistrer, et les utiliser voire les communiquer dans le cadre d’une politique de diversité – il s’agit d’un traitement de données à caractère personnel.
Dans le cas d’entreprise française, il s’agit donc du traitement de données à caractère personnel à caractère sensible de personnes se trouvant sur le territoire de l’UE.
C’est pourquoi le RGPD s’applique lorsqu’une entreprise utilise les données personnelles de ses employés pour mesurer la diversité au sein des équipes.
Pour rappel : une violation de la loi sur les données personnelles peut coûter cher, à la fois pécuniairement et pour la réputation de l’entreprise. Il est donc important de comprendre les enjeux et obligations en la matière.
Se poser les bonnes questions pour une mesure licite
Il y a des idées reçues et des zones d’ombre sur la mesure de la diversité. Pour rester dans les clous et pouvoir répondre la tête froide en cas de bad buzz, il faut déjà être en mesure d’assurer un cadre juridique solide à toute mesure de la diversité.
Quelle est la base juridique du traitement ?
La nécessité d’un traitement licite. Le traitement de données à caractère personnel doit être licite. Cela signifie qu’il doit reposer sur une base juridique. L’article 6 du RGPD liste six bases juridiques dont le consentement de la personne concernée et l’intérêt légitime du responsable du traitement.
Sur le consentement au traitement des données personnelles. Si l’entreprise choisit de recourir au consentement, celui-ci doit être libre, spécifique, éclairé et univoque. Cela signifie que la personne concernée doit réaliser un acte de consentement (par ex. : cocher une case, signer un document…), tout en ayant été correctement informé sur la ou les finalité(s) du traitement. Il faut avoir en tête la formule « 1 consentement pour 1 finalité ».
Une interdiction de principe du traitement de données sensibles. L’article 9 du RGPE, reproduit ci-dessous, liste certaines données à caractère personnel pour lesquelles tout traitement est interdit, et les exceptions autorisant un tel traitement.
1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
Extrait de l’article 9 du RGPD
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;
(…)
e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
(…)
g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;
Premier constat : aucune interdiction absolue du traitement de données sensibles. Le a) du 2 de l’article 9 ci-dessus admet que les États membres empêchent tout traitement de données sensibles. Or, le droit français prévoit des exceptions et renvoie pour le reste au RGPD. Il est possible de considérer qu’en France, un traitement de données sensibles est licite s’il se fait dans le cadre des exceptions du 2 de l’article 9 du RGPD.
Des conditions de licéité restreintes. Trois conditions de licéité sont présentées : le consentement explicite, les données « manifestement rendues publiques » et les motifs d’intérêt public.
Base légale n°1 : le consentement. Comme rappelé ci-dessus le consentement peut-être une base légale fondant la licéité d’un traitement de données à caractère personnel. Dans le cas de données sensibles, le RGPD ajoute un caractère à ce consentement qui doit être « explicite« . Dans le cadre professionnel, le consentement peut-il être libre alors même que le contrat de travail salarié est caractérisée par un lien de subordination ? Pour dépasser cet obstacle, il est recommandé de faire appel à un prestataire externe, et de prévoir que la personne puisse toujours refuser de répondre. Ainsi, le consentement est libre, et son caractère explicite peut être plus facilement vérifié au sein d’un formulaire de réponse externalisé et dédié.
Une incertitude demeure pour la licéité du consentement. D’une part, le RGPD admet le traitement de données portant sur l’origine ethno-raciale, lorsque les personnes concernées ont donné leur consentement explicite. D’autre part, et à l’inverse, la décision du Conseil constitutionnel de 2007 dit explicitement qu’un traitement de données, même s’il devait être utilisée pour mesurer la diversité des origines ne saurait « reposer sur l’origine ethnique ou la race« . Si des entreprises proposent aujourd’hui de mesurer la diversité d’origine en entreprise, elles ont tout intérêt à se fonder sur l’approche du RGPD plutôt que sur une lecture restreinte de la décision du Conseil constitutionnel sus-mentionnée.
Base légale n°2 : les données rendues publiques. Ce fondement peut être intéressant pour une mesure de la diversité qui se ferait sur la base de données publiques, et pas sur les données utilisées en interne par les ressources humaines. On peut par exemple mentionner la mesure de la diversité menée par les entreprises MeAndYouToo et Mozaïk RH dans une étude publiée en 2022, qui se basait entre autres sur les photos des dirigeants.
Base légale n°3 : les motifs d’intérêt public . Les motifs d’intérêt public et le consentement explicite sont mis en avant dans des lignes directrices de la Commission Européenne pour améliorer la collecte de données pour les politiques d’égalité (2018, en ligne). Le motif d’intérêt public est aussi prévu dans la Loi Informatique & Libertés (voir ci-dessus). Il reviendrait à une entreprise d’avancer que la mesure de la diversité menée en son sein participe à un objectif plus grand de lutte contre la discrimination et de promotion de l’égalité des chances.
Conclusion. Si une entreprise souhaite mesurer la diversité d’origine ethno-raciale, elle devra, au moins, justifier du respect d’une des bases légales prévues par le RGPD. Se fonder sur le consentement libre, spécifique, éclairé et univoque mais aussi explicite est une base légale accessible pour les entreprises. Les données rendues publiques (base légale n°2) peuvent être utilisées pour la mesure de la diversité de personnes dont les photographies sont publiquement disponibles, comme les dirigeants de conseil d’administration ou de comités de direction. Enfin, une entreprise pourrait aussi arguer que sa mesure de la diversité « privée » participe à l’intérêt public et à la lutte contre la discrimination – cette base légale est assez incertaine.
Quelle est la « finalité » du traitement ?
Une fois la base légale déterminée, il faut définir la finalité du traitement de données sensibles sur l’origine.
La finalité désigne l’objectif principal de l’utilisation de données. La finalité doit être déterminée, explicite, légitime et doit répondre à un objectif. Lorsque des données collectées dans le cadre d’une finalité sont utilisées pour un autre objectif, on parle de détournement de finalité.
Utilisation des données RH. Pour utiliser des données déjà collectées pour une finalité additionnelle, il faut un nouveau consentement ou une nouvelle base juridique, sauf exceptions (liens entre les finalités [Article 6, 4 du RGPD]], utilisation à des fins statistiques [Article 5, 1 b du RGPD]). Or, les données à caractère personnel confiées aux RH n’ont pas généralement pour finalité la mesure de la diversité, mais plutôt la gestion administrative des collaborateurs. Comme tout ne peut pas être écrit dans cet article, nous renvoyons à l’excellent guide publié en 2012 par la CNIL et par le Défenseur de droits et intitulé Mesurer pour progresser vers l’égalité des chances. A contre-courant des idées reçues, ces institutions admettaient que les RH puissent mesurer la discrimination au sein de la masse salariale en se basant sur l’origine supposée des noms de famille des salariés (européenne/extra-européenne).
Quelles données l’entreprise a-t-elle le droit de collecter ?
Peut-on faire passer une enquête dans l’entreprise pour demander aux employés s’ils sont « noir », « arabe, « asiatique », « blanc »…? Il s’agit autant d’une question juridique que philosophique.
Les éléments présentés ci-dessus permettent de répondre que juridiquement, il est possible d’organiser une mesure de la diversité ethno-raciale en respectant l’une des conditions proposées par le RGPD, comme le consentement explicite. En ce qui concerne les catégories dans lesquelles classer l’origine des personnes, la prudence voudrait de s’inspirer de ce qui existe déjà dans les études publiques : la nationalité, l’origine « européenne » ou non, les pays de naissance des parents (agrégés ensuite en grands ensembles « Afrique du Nord », « Afrique subsaharienne »… pour préserver l’anonymat des répondants). La Commission Européenne et les Nations Unies recommandent quant à elles de toujours laisser un espace « d’auto-déclaration » aux répondants pour qu’ils puissent s’identifier hors des catégories proposées.
Sur la couleur de peau. Si la démonstration ci-dessus permet de penser que l’utilisation de catégories basées sur la couleur de peau est admise, il n’y a pas en octobre 2022 de jurisprudence étant venu confirmer une interprétation large du RGPD sur ce point. Autrement dit, c’est aux risques et périls de l’entreprise que de demander aux salariés de partager leur couleur de peau.
Un principe supplémentaire : la minimisation des données. Enfin, le RGPD impose un principe de minimisation des données. Ce principe encourage à organiser le traitement des données de manière à limiter la quantité de données prélevées. Pour la mesure de la diversité, cela implique (1) de ne pas collecter plus de données que nécessaires, (2) de laisser la possibilité à la personnes de ne pas répondre ou (3) d’indiquer les questions pour lesquelles une réponse est facultative.
Sur l’acceptabilité. Se pose la question de l’acceptabilité de telles questions, portant sur la vie privée et l’identité des personnes, au sein d’une entreprise. Même si le traitement est licite, une telle enquête pourrait être perçue comme une intrusion. Il s’agit alors d’une question de culture d’entreprise, de communication interne, et de soutien de la direction pour éviter le retour de bâtons et le bad buzz.
Conclusion
Oui, il est possible de mesurer la diversité en entreprise, même si les données sont considérées comme sensibles. Dans le respect de la Loi Informatique & Libertés et du RGPD, une entreprise privilégiera le recueil du consentement explicite préalablement à tout recueil de données. Pour garantir le caractère libre du consentement, le recueil et l’analyse des données devraient de préférence être externalisé à un prestataire. Si l’analyse est menée sur la base de données RH existantes, l’entreprise devrait se faire accompagner pour que les personnes maniant les données le fassent dans un cadre protecteur du droit des personnes.
Néanmoins, le fondement juridique n’est pas complètement solide faute d’interprétation récente du RGPD dans le contexte français. Ainsi le fait de demander la couleur de peau des personnes peut être une prise de risques juridiques en France. Néanmoins, des données indirectes comme le pays de naissance des parents ou des grands-parents sont utilisées par les études statistiques publiques depuis plus de trente ans pour déduire l’origine ethno-raciale des personnes vivant en France. L’analyse patronymique peut aussi être utilisée, comme le proposait déjà la CNIL et le Défenseur des droits il y a dix ans, tant qu’elle ne donne pas lieu à la constitution de référentiel ethno-racial.
Ainsi, comme dans toute zone grise du droit où le risque juridique mais aussi réputationnel est fort, rien ne vaut un accompagnement par un expert de la matière !
