En matière RH, les employés sont généralement plus préoccupés de la finalité du transfert de données à l’étranger que du transfert lui-même. Ils souhaitent savoir, par exemple, si le transfert vers une société mère étrangère ou un prestataire du groupe pourrait permettre à ladite société mère de préparer des actions, prendre des décisions ou mettre en place des processus qui seraient contraires à la lettre et à l’esprit du droit du travail français. La question peut se poser en matière de surveillance des salariés, de l’analyse à distance de leur performance ou activité, de la préparation de plans sociaux, etc. Les salariés ou leurs représentants examineront également les finalités du transfert à l’aune du pays destinataire, de sa culture et de sa pratique, mais en se concentrant davantage sur les aspects RH que sur les possibilités d’actions des services secrets. À titre d’exemple, il y a eu par le passé, avant la Loi Sapin II, des contentieux initiés par les représentants du personnel sur les systèmes d’alertes professionnelles mis en place au sein d’un groupe pour répondre aux exigences de la loi américaine « SOX » sur la transparence financière, dont l’un est allé jusqu’en Cour de cassation. Le RGPD oblige l’employeur à informer les employés de telles failles de sécurité lorsqu’il y a un risque élevé d’atteinte à leurs droits et libertés.
Au niveau individuel, un salarié pourrait déposer une plainte auprès de la CNIL, qui pourrait, à l’issue d’une procédure contentieuse, infliger un certain nombre de sanctions, parmi lesquelles une sanction financière ou la suspension ou interdiction du transfert, y compris sous astreinte. Il reste à voir dans quel cas la CNIL donnera suite à ce genre de plainte en attendant une position du Comité européen de protection des données. Un salarié pourrait aussi demander réparation d’un préjudice qu’il aurait subi en raison du transfert, s’il peut prouver le préjudice, une faute et un lien de causalité entre les deux. Au niveau collectif, si l’employeur n’a pas respecté, lorsqu’elle s’applique, l’obligation de consultation ou information du CSE sur un transfert de données et ses finalités, ce dernier peut engager une action pour entrave. Par ailleurs, depuis le RGPD et la modification de la loi Informatique et Libertés, il y a aussi la possibilité d’une action de groupe. Celle-ci peut être menée par des associations existantes depuis au moins cinq ans ou des syndicats représentatifs, avec deux finalités : mettre un terme au procédé qui pose problème et/ou réparer le préjudice subi.
Certaines autorités de contrôle préconisent d’éviter les transferts de données en dehors de l’UE (ou de l’Espace économique européen « EEE », dans lequel s’applique le RGPD). Elles suggèrent de choisir des prestataires européens. Pour autant, il faudra aussi s’assurer que le prestataire en question n’héberge pas les données en dehors de l’EEE et ne fait appel à aucun sous-traitant en dehors de l’UE.