Décision 115/​2022 de l’Autorité de protec­tion des données belge, 19 juillet 2022

En février 2020, une ancienne employée est contac­tée par certains de ses collègues de travail qui souhaitent prendre de ses nouvelles. Elle se rend compte que lors de l’une des réunions de son service à laquelle elle n’a pas assisté, l’un de ses direc­teurs a annoncé son départ. Un rapport émis par Cohezio (un service externe de préven­tion et de protec­tion au travail belge) y a été lu en faisant état de son inap­ti­tude à travailler au sein de l’entreprise.

Lors de cette réunion, un procès-verbal a été tenu, consi­gnant les diffé­rentes infor­ma­tions. Par la suite, il a été commu­ni­qué par cour­rier élec­tro­nique à l’ensemble des membres du service et conservé en libre accès pour l’ensemble du person­nel sur le serveur de l’entreprise. Le procès-verbal mentionne notam­ment l’absence de l’ancienne employée depuis plusieurs semaines, le fait qu’elle a fait l’objet d’un rapport de Cohezio, qu’elle a été décla­rée inapte au travail au sein de l’entreprise et qu’elle ne travaille désor­mais plus au sein de celle-ci.

L’employée concer­née a intro­duit une plainte auprès de l’Autorité de protec­tion des données belge (APD) contre son supé­rieur hiérarchique.

Dans un premier temps, l’APD constate que les propos tenus orale­ment par le direc­teur de l’entreprise consti­tuent des données person­nelles rela­tives à la plai­gnante, confor­mé­ment à l’art. 4 par. 1 RGPD. Par ailleurs, l’APD relève que les termes utili­sés d’« inapte au travail » ne dévoilent pas la patho­lo­gie physique ou mentale dont la plai­gnante souf­fri­rait. Néanmoins, ils consti­tuent une donnée rela­tive à la santé de la plai­gnante au sens de l’art. 4 par. 15 RGPD. L’APD rappelle que le RGPD a opté pour une inter­pré­ta­tion large de « la donnée rela­tive à la santé » (voir https://​swiss​pri​vacy​.law/​1​64/ sur le sujet). Elle ajoute à cet égard que :

« les autres infor­ma­tions consi­gnées dans le procès-verbal (…) rela­tives à la longue absence de la plai­gnante et au fait qu’elle a fait l’objet d’un rapport de Cohezio consti­tuent égale­ment, et pour les mêmes motifs des données rela­tives à la santé. » 

Concernant la condi­tion de trai­te­ment de données person­nelles néces­saire pour l’application du RGPD, l’APD rappelle que l’art. 2 par. 1 RGPD :

« s’applique au trai­te­ment de données à caractère person­nel, auto­ma­tisé en tout ou en partie, ainsi qu’au trai­te­ment non auto­ma­tisé de données à caractère person­nel conte­nues ou appelées à figu­rer dans un fichier. »

Par consé­quent, si la plainte avait été unique­ment basée sur une trans­mis­sion orale de données person­nelles ne prove­nant pas d’une banque de données ou d’un fichier et qui ne sont pas desti­nées à y être enre­gis­trées, l’APD aurait dû se décla­rer incom­pé­tente. Or dans le cas d’espèce, l’Autorité belge conclut que la consi­gna­tion par écrit des infor­ma­tions sur la plai­gnante dans un procès-verbal remplit la condi­tion de trai­te­ment, tout comme la mise à dispo­si­tion de ce procès-verbal et des données person­nelles qu’il contient.

Bien que la plainte ait été diri­gée contre le supé­rieur hiérar­chique de la plai­gnante, l’APD souligne qu’une telle plainte doit être diri­gée contre un respon­sable du trai­te­ment selon l’art. 4 par. 7 RGPD. L’APD relève aussi que c’est géné­ra­le­ment l’organisation en tant que telle qui agit en tant que respon­sable du trai­te­ment au sens du RGPD, et non une personne physique au sein de celle-ci. En l’espèce, c’est bien l’entreprise qui est respon­sable du trai­te­ment en cause. L’APD consi­dé­rant cette notion « diffi­cile à comprendre par une personne non versée dans la matière », elle a direc­te­ment invité l’entreprise employeuse à répondre sur la plainte.

Concernant la confor­mité du trai­te­ment, l’APD rappelle que tout trai­te­ment doit repo­ser sur l’un des motifs de trai­te­ment de l’art. 6 par. 1 RGPD. Pour les caté­go­ries parti­cu­lières de données telles que les données rela­tives à la santé, la condi­tion de licéité n’est remplie que si l’art. 9 par. 2 RGPD prévoit une déro­ga­tion spéci­fique à l’interdiction géné­rale de trai­ter ces données parti­cu­lières. En l’espèce, la licéité du trai­te­ment de l’information rela­tive à la plai­gnante concer­nant la décla­ra­tion de son inap­ti­tude au travail par le respon­sable du trai­te­ment n’est pas contes­tée. En revanche, c’est bien la commu­ni­ca­tion ulté­rieure de ces infor­ma­tions aux collègues de la plai­gnante ainsi que leur mise à dispo­si­tion à l’ensemble du person­nel qui l’est.

Dans son analyse de la licéité d’un tel trai­te­ment, l’APD juge que cette commu­ni­ca­tion ulté­rieure pour­suit une fina­lité distincte de la première. Cette dernière consis­tait à rece­voir l’information et à la trai­ter au niveau des services des ressources humaines à des fins de gestion du person­nel. Elle conclut alors que la commu­ni­ca­tion ulté­rieure n’est pas compa­tible avec la fina­lité initiale (cf. www​.swiss​pri​vacy​.law/​144 sur la notion de fina­lité compa­tible). De plus, l’APD estime que la personne concer­née ne pouvait raison­na­ble­ment s’at­tendre à ce que les mêmes données soient large­ment commu­ni­quées au-delà des personnes auto­ri­sées pour la gestion du person­nel. Il s’agit donc d’un nouveau trai­te­ment de données qui aurait dû s’appuyer sur une base de licéité propre.

Pour l’APD, cette diffu­sion de données rela­tives à l’employé n’est basée sur aucune hypo­thèse de l’art. 9 par. 2 RGPD. En effet, l’employé n’a pas donné son consen­te­ment (art. 9 par. 2 let. a RGPD). La commu­ni­ca­tion ulté­rieure et la consi­gna­tion du procès-verbal ne peuvent pas non plus être quali­fiées d’obligations néces­saires pour l’employeur (art. 9 par. 2 let. b RGPD). Elles ne portent, en outre, pas  sur des données qui auraient mani­fes­te­ment été rendues publiques par la plai­gnante (art. 9 par. 2 let. e RGPD). Finalement, l’APD souligne que le prin­cipe de mini­mi­sa­tion des données n’a pas été respecté. En effet, l’employeur aurait dû se limi­ter à annon­cer le départ de l’employée sans en donner les raisons.

L’APD conclut donc que le respon­sable du trai­te­ment n’avait pas de motifs justi­fiant le trai­te­ment, violant ainsi les art. 5 par. 1 let. b juncto 6 par. 4 et 9 par. 2 RGPD. Conformément à son droit, l’Autorité belge a émis une répri­mande à son encontre. Elle a souli­gné ne pas être compé­tente pour infli­ger une amende, car le respon­sable du trai­te­ment est une auto­rité publique.

Cette déci­sion illustre une nouvelle fois l’interprétation large de la notion de donnée rela­tive à la santé sous l’angle du RGPD. Les condi­tions pour trai­ter de telles données étant plus restric­tives, une atten­tion parti­cu­lière est donc de mise.

Finalement, il est inté­res­sant de rele­ver qu’une commu­ni­ca­tion à des tiers ne se produit pas unique­ment dans des rapports d’une entité à une autre. En effet, ce cas met en lumière une telle commu­ni­ca­tion intra-muros à une entre­prise ayant comme tiers ses propres employés. La commu­ni­ca­tion doit cepen­dant (être desti­née à) figu­rer dans un fichier pour permettre l’application du RGPD. De surcroit, il est possible que d’autres dispo­si­tions entrent en jeu, notam­ment en droit du travail.  La prudence reste donc de mise et les infor­ma­tions trans­mises devraient être les plus limi­tées possible.