swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Une annonce de départ d’un employé se transforme en communication à des tiers

David Dias Matos, le 24 août 2022
L’Autorité de protec­tion des données belge a estimé que le fait de discu­ter de données rela­tives à la santé d’une personne concer­née lors d’une réunion du person­nel où elle était absente et, par consé­quent, d’in­clure les données dans le procès-verbal de la réunion était incom­pa­tible avec la fina­lité du trai­te­ment initial (gestion du person­nel) et qu’il n’exis­tait aucune autre base juri­dique sur laquelle s’appuyer.

Décision 115/​2022 de l’Autorité de protec­tion des données belge, 19 juillet 2022

En février 2020, une ancienne employée est contac­tée par certains de ses collègues de travail qui souhaitent prendre de ses nouvelles. Elle se rend compte que lors de l’une des réunions de son service à laquelle elle n’a pas assisté, l’un de ses direc­teurs a annoncé son départ. Un rapport émis par Cohezio (un service externe de préven­tion et de protec­tion au travail belge) y a été lu en faisant état de son inap­ti­tude à travailler au sein de l’entreprise.

Lors de cette réunion, un procès-verbal a été tenu, consi­gnant les diffé­rentes infor­ma­tions. Par la suite, il a été commu­ni­qué par cour­rier élec­tro­nique à l’ensemble des membres du service et conservé en libre accès pour l’ensemble du person­nel sur le serveur de l’entreprise. Le procès-verbal mentionne notam­ment l’absence de l’ancienne employée depuis plusieurs semaines, le fait qu’elle a fait l’objet d’un rapport de Cohezio, qu’elle a été décla­rée inapte au travail au sein de l’entreprise et qu’elle ne travaille désor­mais plus au sein de celle-ci.

L’employée concer­née a intro­duit une plainte auprès de l’Autorité de protec­tion des données belge (APD) contre son supé­rieur hiérarchique.

Dans un premier temps, l’APD constate que les propos tenus orale­ment par le direc­teur de l’entreprise consti­tuent des données person­nelles rela­tives à la plai­gnante, confor­mé­ment à l’art. 4 par. 1 RGPD. Par ailleurs, l’APD relève que les termes utili­sés d’« inapte au travail » ne dévoilent pas la patho­lo­gie physique ou mentale dont la plai­gnante souf­fri­rait. Néanmoins, ils consti­tuent une donnée rela­tive à la santé de la plai­gnante au sens de l’art. 4 par. 15 RGPD. L’APD rappelle que le RGPD a opté pour une inter­pré­ta­tion large de « la donnée rela­tive à la santé » (voir https://​swiss​pri​vacy​.law/​1​64/ sur le sujet). Elle ajoute à cet égard que :

« les autres infor­ma­tions consi­gnées dans le procès-verbal (…) rela­tives à la longue absence de la plai­gnante et au fait qu’elle a fait l’objet d’un rapport de Cohezio consti­tuent égale­ment, et pour les mêmes motifs des données rela­tives à la santé. » 

Concernant la condi­tion de trai­te­ment de données person­nelles néces­saire pour l’application du RGPD, l’APD rappelle que l’art. 2 par. 1 RGPD :

« s’applique au trai­te­ment de données à caractère person­nel, auto­ma­tisé en tout ou en partie, ainsi qu’au trai­te­ment non auto­ma­tisé de données à caractère person­nel conte­nues ou appelées à figu­rer dans un fichier. »

Par consé­quent, si la plainte avait été unique­ment basée sur une trans­mis­sion orale de données person­nelles ne prove­nant pas d’une banque de données ou d’un fichier et qui ne sont pas desti­nées à y être enre­gis­trées, l’APD aurait dû se décla­rer incom­pé­tente. Or dans le cas d’espèce, l’Autorité belge conclut que la consi­gna­tion par écrit des infor­ma­tions sur la plai­gnante dans un procès-verbal remplit la condi­tion de trai­te­ment, tout comme la mise à dispo­si­tion de ce procès-verbal et des données person­nelles qu’il contient.

Bien que la plainte ait été diri­gée contre le supé­rieur hiérar­chique de la plai­gnante, l’APD souligne qu’une telle plainte doit être diri­gée contre un respon­sable du trai­te­ment selon l’art. 4 par. 7 RGPD. L’APD relève aussi que c’est géné­ra­le­ment l’organisation en tant que telle qui agit en tant que respon­sable du trai­te­ment au sens du RGPD, et non une personne physique au sein de celle-ci. En l’espèce, c’est bien l’entreprise qui est respon­sable du trai­te­ment en cause. L’APD consi­dé­rant cette notion « diffi­cile à comprendre par une personne non versée dans la matière », elle a direc­te­ment invité l’entreprise employeuse à répondre sur la plainte.

Concernant la confor­mité du trai­te­ment, l’APD rappelle que tout trai­te­ment doit repo­ser sur l’un des motifs de trai­te­ment de l’art. 6 par. 1 RGPD. Pour les caté­go­ries parti­cu­lières de données telles que les données rela­tives à la santé, la condi­tion de licéité n’est remplie que si l’art. 9 par. 2 RGPD prévoit une déro­ga­tion spéci­fique à l’interdiction géné­rale de trai­ter ces données parti­cu­lières. En l’espèce, la licéité du trai­te­ment de l’information rela­tive à la plai­gnante concer­nant la décla­ra­tion de son inap­ti­tude au travail par le respon­sable du trai­te­ment n’est pas contes­tée. En revanche, c’est bien la commu­ni­ca­tion ulté­rieure de ces infor­ma­tions aux collègues de la plai­gnante ainsi que leur mise à dispo­si­tion à l’ensemble du person­nel qui l’est.

Dans son analyse de la licéité d’un tel trai­te­ment, l’APD juge que cette commu­ni­ca­tion ulté­rieure pour­suit une fina­lité distincte de la première. Cette dernière consis­tait à rece­voir l’information et à la trai­ter au niveau des services des ressources humaines à des fins de gestion du person­nel. Elle conclut alors que la commu­ni­ca­tion ulté­rieure n’est pas compa­tible avec la fina­lité initiale (cf. www​.swiss​pri​vacy​.law/​144 sur la notion de fina­lité compa­tible). De plus, l’APD estime que la personne concer­née ne pouvait raison­na­ble­ment s’at­tendre à ce que les mêmes données soient large­ment commu­ni­quées au-delà des personnes auto­ri­sées pour la gestion du person­nel. Il s’agit donc d’un nouveau trai­te­ment de données qui aurait dû s’appuyer sur une base de licéité propre.

Pour l’APD, cette diffu­sion de données rela­tives à l’employé n’est basée sur aucune hypo­thèse de l’art. 9 par. 2 RGPD. En effet, l’employé n’a pas donné son consen­te­ment (art. 9 par. 2 let. a RGPD). La commu­ni­ca­tion ulté­rieure et la consi­gna­tion du procès-verbal ne peuvent pas non plus être quali­fiées d’obligations néces­saires pour l’employeur (art. 9 par. 2 let. b RGPD). Elles ne portent, en outre, pas  sur des données qui auraient mani­fes­te­ment été rendues publiques par la plai­gnante (art. 9 par. 2 let. e RGPD). Finalement, l’APD souligne que le prin­cipe de mini­mi­sa­tion des données n’a pas été respecté. En effet, l’employeur aurait dû se limi­ter à annon­cer le départ de l’employée sans en donner les raisons.

L’APD conclut donc que le respon­sable du trai­te­ment n’avait pas de motifs justi­fiant le trai­te­ment, violant ainsi les art. 5 par. 1 let. b juncto 6 par. 4 et 9 par. 2 RGPD. Conformément à son droit, l’Autorité belge a émis une répri­mande à son encontre. Elle a souli­gné ne pas être compé­tente pour infli­ger une amende, car le respon­sable du trai­te­ment est une auto­rité publique.

Cette déci­sion illustre une nouvelle fois l’interprétation large de la notion de donnée rela­tive à la santé sous l’angle du RGPD. Les condi­tions pour trai­ter de telles données étant plus restric­tives, une atten­tion parti­cu­lière est donc de mise.

Finalement, il est inté­res­sant de rele­ver qu’une commu­ni­ca­tion à des tiers ne se produit pas unique­ment dans des rapports d’une entité à une autre. En effet, ce cas met en lumière une telle commu­ni­ca­tion intra-muros à une entre­prise ayant comme tiers ses propres employés. La commu­ni­ca­tion doit cepen­dant (être desti­née à) figu­rer dans un fichier pour permettre l’application du RGPD. De surcroit, il est possible que d’autres dispo­si­tions entrent en jeu, notam­ment en droit du travail.  La prudence reste donc de mise et les infor­ma­tions trans­mises devraient être les plus limi­tées possible.



Proposition de citation : David Dias Matos, Une annonce de départ d’un employé se transforme en communication à des tiers, 24 août 2022 in www.swissprivacy.law/167


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Droit d'accès : quelles limites pour l'ancien employé ?
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law