Décision 159/​2022 du 7 novembre 2022 de la Chambre Contentieuse de l’Autorité belge de protec­tion des données

Le site Internet d’une entre­prise fait souvent figure de carte de visite. En fonc­tion de son domaine d’activités, ce sont surtout ses colla­bo­ra­teurs qui en font sa force.

Dans l’affaire soumise à l’Autorité belge de protec­tion des données, la plai­gnante a travaillé pour la défen­de­resse jusqu’en février 2022, date à laquelle elle a été licen­ciée. Le 1^er septembre 2022, elle indique par cour­riel à son ancien employeur qu’elle ne souhaite plus appa­raître comme un membre du person­nel sur son site Internet. L’ancienne employée dépose une plainte à ce sujet auprès de l’Autorité.

Sous la rubrique « équipe » du site, sa photo person­nelle ainsi que son nom, l’intitulé de la fonc­tion qu’elle exer­çait et une photo de groupe des membres y figurent toujours au moment de la plainte, soit le 28 septembre 2022. Toujours à la date du dépôt de la plainte, la plai­gnante indique qu’aucune suite favo­rable à sa demande n’a été donnée.

Principe de fina­lité et conséquence

Tout d’abord, l’Autorité belge rappelle que les coor­don­nées d’une personne physique telles que son nom, sa fonc­tion et sa photo­gra­phie consti­tuent des données person­nelles au sens de l’art. 4 par. 1 RGPD. De plus, la publi­ca­tion de ces données sur un site Internet est consti­tu­tive d’un trai­te­ment selon l’art. 4 par. 2 RGPD.

L’Autorité rappelle qu’en appli­ca­tion de l’art. 5 par. 1 let. b RGPD :

« tout trai­te­ment doit pour­suivre une fina­lité déter­mi­née, expli­cite et légi­time (prin­cipe de finalité) ».

Selon le prin­cipe d’accountability (art. 5 par. 2 et art. 24 RGPD), c’est au respon­sable du trai­te­ment qu’incombe la mise en œuvre des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour s’assurer et démon­trer que le trai­te­ment est effec­tué confor­mé­ment au RGPD.

En l’espèce, la plai­gnante ne travaillait plus pour la défen­de­resse. Dès lors, la fina­lité du trai­te­ment de données visant à infor­mer les inter­nautes de l’identité et de la fonc­tion des personnes travaillant au sein de l’entreprise s’est éteinte avec son départ. L’Autorité belge estime que l’extinction de la fina­lité a pour consé­quence auto­ma­tique un effa­ce­ment de ces données du fait qu’elles ne sont plus néces­saires, comme le prévoit l’art. 5 par. 1 let b et e RGPD. Il n’est pas requis que la personne concer­née en fasse la demande.

Délai pour l’effacement

En combi­nai­son des prin­cipes de fina­lité et de limi­ta­tion de la conser­va­tion des données, respec­ti­ve­ment les art. 5 par. 1 let. b et 5 par. 1 let. e RGPD, le respon­sable de trai­te­ment n’est en droit de conser­ver les données que pour autant que cette conser­va­tion se justi­fie au regard de la fina­lité du trai­te­ment. Le respon­sable du trai­te­ment doit effa­cer les données ou, à tout le moins, les anony­mi­ser, dès l’instant où elles ne sont plus néces­saires à la pour­suite de la fina­lité, à défaut d’en avoir d’autres légitimes.

L’Autorité belge rappelle qu’aux termes de l’art. 17 par. 1 let. a RGPD, la personne concer­née a le droit de véri­fier que le respon­sable du trai­te­ment a bien respecté cette obli­ga­tion ainsi que d’en obte­nir l’effacement « dans les meilleurs délais ». De surcroît, l’art. 12 par. 3 RGPD exige du respon­sable du trai­te­ment qu’il four­nisse des infor­ma­tions sur les mesures prises à la suite d’une demande formu­lée en appli­ca­tion des art. 15 à 22 RGPD. Ces infor­ma­tions doivent être four­nies « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à comp­ter de la récep­tion de la demande ». Selon la complexité du cas et du nombre de demandes, ce délai peut être prolongé de deux mois.

L’Autorité belge fait ici une distinc­tion entre le délai de réponse à la demande d’effacement et l’effacement per se des données person­nelles. D’une part, le délai de réac­tion de l’art. 12 par. 3 RGPD est d’un mois durant lequel le respon­sable du trai­te­ment doit infor­mer la personne concer­née de la suite qu’il entend donner (ou non) à sa demande. D’autre part, l’effacement en tant que tel des données pour­rait néces­si­ter un délai plus long en fonc­tion des impli­ca­tions tech­niques et opéra­tion­nelles complexes liées à cette tâche.

En cas de départ d’un employé, le respon­sable du trai­te­ment doit tout mettre en œuvre pour suppri­mer le plus rapi­de­ment possible et de sa propre initia­tive l’identité, la fonc­tion et les photo­gra­phies de celui-ci de son site Internet ou de tout autre page Internet le présen­tant comme un employé. Pour l’Autorité belge, « quelques semaines, un mois tout au plus semble adéquat ». S’il n’intervient pas de son propre chef, le respon­sable du trai­te­ment saisi d’une demande doit agir dans les meilleurs délais.

L’Autorité explique que le délai dans lequel l’effacement doit inter­ve­nir peut varier en fonc­tion du respon­sable du trai­te­ment concerné. Qu’il s’agisse d’une PME ou d’une entre­prise de plus grande taille qui dispose de son propre gestion­naire de site Internet, les exigences ne seront pas les mêmes. De plus, la nature de la fonc­tion et le contexte du départ de l’employé sont aussi à prendre en compte.

Le délai d’un mois visé à l’art. 12 par. 3 RGPD doit dans tous les cas être respecté. Pour cela, il suffit que le respon­sable du trai­te­ment explique avoir donné les instruc­tions visant à l’effacement ou indique que l’opération aura lieu à une date rapprochée.

En l’espèce, l’Autorité belge constate que l’employeur, à la date de la déci­sion, n’a ni réagi à la demande formu­lée près de 7 mois après le licen­cie­ment ni effacé les données de son site Internet. Elle juge ce retard excessif.

Par consé­quent, elle adresse un ordre de se confor­mer à la demande d’effacement de la plai­gnante en appli­ca­tion du droit belge. En outre, elle donne un aver­tis­se­ment au respon­sable du trai­te­ment concer­nant l’absence de procé­dure pour l’effacement de données et en exige sa mise en place.

Il ressort de cette déci­sion que le départ d’un employé doit s’accompagner de l’effacement de son profil sur le site de l’entreprise si tel est le cas. Cette opéra­tion doit en prin­cipe être réali­sée dans les meilleurs délais par une procé­dure d’effacement préa­la­ble­ment mise en place à cet effet. En fonc­tion du cas et du nombre de demandes à trai­ter, l’effacement devrait se produire quelques semaines, voire un mois, après la fin des rapports de travail.