swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Effacement du profil d’un employé après son départ

David Dias Matos, le 8 décembre 2022
Suivant la fin des rapports de travail, l’employeur doit effa­cer les coor­don­nées comme le nom, la fonc­tion et la photo­gra­phie de son ex-employé figu­rant sur son site Internet dans les meilleurs délais.

Décision 159/​2022 du 7 novembre 2022 de la Chambre Contentieuse de l’Autorité belge de protec­tion des données

Le site Internet d’une entre­prise fait souvent figure de carte de visite. En fonc­tion de son domaine d’activités, ce sont surtout ses colla­bo­ra­teurs qui en font sa force.

Dans l’affaire soumise à l’Autorité belge de protec­tion des données, la plai­gnante a travaillé pour la défen­de­resse jusqu’en février 2022, date à laquelle elle a été licen­ciée. Le 1er septembre 2022, elle indique par cour­riel à son ancien employeur qu’elle ne souhaite plus appa­raître comme un membre du person­nel sur son site Internet. L’ancienne employée dépose une plainte à ce sujet auprès de l’Autorité.

Sous la rubrique « équipe » du site, sa photo person­nelle ainsi que son nom, l’intitulé de la fonc­tion qu’elle exer­çait et une photo de groupe des membres y figurent toujours au moment de la plainte, soit le 28 septembre 2022. Toujours à la date du dépôt de la plainte, la plai­gnante indique qu’aucune suite favo­rable à sa demande n’a été donnée.

Principe de fina­lité et conséquence

Tout d’abord, l’Autorité belge rappelle que les coor­don­nées d’une personne physique telles que son nom, sa fonc­tion et sa photo­gra­phie consti­tuent des données person­nelles au sens de l’art. 4 par. 1 RGPD. De plus, la publi­ca­tion de ces données sur un site Internet est consti­tu­tive d’un trai­te­ment selon l’art. 4 par. 2 RGPD.

L’Autorité rappelle qu’en appli­ca­tion de l’art. 5 par. 1 let. b RGPD :

« tout trai­te­ment doit pour­suivre une fina­lité déter­mi­née, expli­cite et légi­time (prin­cipe de finalité) ».

Selon le prin­cipe d’accountability (art. 5 par. 2 et art. 24 RGPD), c’est au respon­sable du trai­te­ment qu’incombe la mise en œuvre des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour s’assurer et démon­trer que le trai­te­ment est effec­tué confor­mé­ment au RGPD.

En l’espèce, la plai­gnante ne travaillait plus pour la défen­de­resse. Dès lors, la fina­lité du trai­te­ment de données visant à infor­mer les inter­nautes de l’identité et de la fonc­tion des personnes travaillant au sein de l’entreprise s’est éteinte avec son départ. L’Autorité belge estime que l’extinction de la fina­lité a pour consé­quence auto­ma­tique un effa­ce­ment de ces données du fait qu’elles ne sont plus néces­saires, comme le prévoit l’art. 5 par. 1 let b et e RGPD. Il n’est pas requis que la personne concer­née en fasse la demande.

Délai pour l’effacement

En combi­nai­son des prin­cipes de fina­lité et de limi­ta­tion de la conser­va­tion des données, respec­ti­ve­ment les art. 5 par. 1 let. b et 5 par. 1 let. e RGPD, le respon­sable de trai­te­ment n’est en droit de conser­ver les données que pour autant que cette conser­va­tion se justi­fie au regard de la fina­lité du trai­te­ment. Le respon­sable du trai­te­ment doit effa­cer les données ou, à tout le moins, les anony­mi­ser, dès l’instant où elles ne sont plus néces­saires à la pour­suite de la fina­lité, à défaut d’en avoir d’autres légitimes.

L’Autorité belge rappelle qu’aux termes de l’art. 17 par. 1 let. a RGPD, la personne concer­née a le droit de véri­fier que le respon­sable du trai­te­ment a bien respecté cette obli­ga­tion ainsi que d’en obte­nir l’effacement « dans les meilleurs délais ». De surcroît, l’art. 12 par. 3 RGPD exige du respon­sable du trai­te­ment qu’il four­nisse des infor­ma­tions sur les mesures prises à la suite d’une demande formu­lée en appli­ca­tion des art. 15 à 22 RGPD. Ces infor­ma­tions doivent être four­nies « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à comp­ter de la récep­tion de la demande ». Selon la complexité du cas et du nombre de demandes, ce délai peut être prolongé de deux mois.

L’Autorité belge fait ici une distinc­tion entre le délai de réponse à la demande d’effacement et l’effacement per se des données person­nelles. D’une part, le délai de réac­tion de l’art. 12 par. 3 RGPD est d’un mois durant lequel le respon­sable du trai­te­ment doit infor­mer la personne concer­née de la suite qu’il entend donner (ou non) à sa demande. D’autre part, l’effacement en tant que tel des données pour­rait néces­si­ter un délai plus long en fonc­tion des impli­ca­tions tech­niques et opéra­tion­nelles complexes liées à cette tâche.

En cas de départ d’un employé, le respon­sable du trai­te­ment doit tout mettre en œuvre pour suppri­mer le plus rapi­de­ment possible et de sa propre initia­tive l’identité, la fonc­tion et les photo­gra­phies de celui-ci de son site Internet ou de tout autre page Internet le présen­tant comme un employé. Pour l’Autorité belge, « quelques semaines, un mois tout au plus semble adéquat ». S’il n’intervient pas de son propre chef, le respon­sable du trai­te­ment saisi d’une demande doit agir dans les meilleurs délais.

L’Autorité explique que le délai dans lequel l’effacement doit inter­ve­nir peut varier en fonc­tion du respon­sable du trai­te­ment concerné. Qu’il s’agisse d’une PME ou d’une entre­prise de plus grande taille qui dispose de son propre gestion­naire de site Internet, les exigences ne seront pas les mêmes. De plus, la nature de la fonc­tion et le contexte du départ de l’employé sont aussi à prendre en compte.

Le délai d’un mois visé à l’art. 12 par. 3 RGPD doit dans tous les cas être respecté. Pour cela, il suffit que le respon­sable du trai­te­ment explique avoir donné les instruc­tions visant à l’effacement ou indique que l’opération aura lieu à une date rapprochée.

En l’espèce, l’Autorité belge constate que l’employeur, à la date de la déci­sion, n’a ni réagi à la demande formu­lée près de 7 mois après le licen­cie­ment ni effacé les données de son site Internet. Elle juge ce retard excessif.

Par consé­quent, elle adresse un ordre de se confor­mer à la demande d’effacement de la plai­gnante en appli­ca­tion du droit belge. En outre, elle donne un aver­tis­se­ment au respon­sable du trai­te­ment concer­nant l’absence de procé­dure pour l’effacement de données et en exige sa mise en place.

Il ressort de cette déci­sion que le départ d’un employé doit s’accompagner de l’effacement de son profil sur le site de l’entreprise si tel est le cas. Cette opéra­tion doit en prin­cipe être réali­sée dans les meilleurs délais par une procé­dure d’effacement préa­la­ble­ment mise en place à cet effet. En fonc­tion du cas et du nombre de demandes à trai­ter, l’effacement devrait se produire quelques semaines, voire un mois, après la fin des rapports de travail.



Proposition de citation : David Dias Matos, Effacement du profil d’un employé après son départ, 8 décembre 2022 in www.swissprivacy.law/188


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Une annonce de départ d'un employé se transforme en communication à des tiers
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • Géolocalisation permanente de véhicules de location : la CNIL sanctionne
  • Le droit d’accès à l’origine de ses données personnelles
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law