Décision n. 10134221 de la Garante per la prote­zione dei dati perso­nali du 29 avril 2025

Enquête du Garante

En avril 2025, l’Autorité italienne de protec­tion des données (Garante per la prote­zione dei dati perso­nali) prononce une mesure contre l’autorité régio­nale lombarde (Région Lombardie) à la suite d’une enquête. Cette dernière visait l’utilisation d’outils infor­ma­tiques et la gestion des données person­nelles des employés, y compris dans le cadre du télé­tra­vail. L’affaire concerne prin­ci­pa­le­ment la conser­va­tion des méta­don­nées liées à la messa­ge­rie élec­tro­nique et des jour­naux de navi­ga­tion (prosaï­que­ment : l’historique) internet.

L’enquête révèle que la Région conser­vait les méta­don­nées de la messa­ge­rie élec­tro­nique (date et heure, expé­di­teur, desti­na­taire, objet, statut de l’envoi, taille et iden­ti­fiant) pendant 90 jours. De même, tous les logs de navi­ga­tion inter­net, y compris les tenta­tives d’accès à des sites inter­dits listés dans une « black­list », étaient enre­gis­trés et conser­vés durant douze mois.

Enfin, ces trai­te­ments avaient été mis en œuvre sans la réali­sa­tion préa­lable d’une analyse d’impact rela­tive à la protec­tion des données (AIPD), pour­tant exigée par l’art. 35 RGPD.

Réponse lombarde

Suite à l’enquête, la Région Lombardie rétorque en expli­quant que ces trai­te­ments avaient exclu­si­ve­ment des fina­li­tés tech­niques et de cyber­sé­cu­rité, notam­ment la détec­tion d’attaques infor­ma­tiques, la préven­tion d’intrusions et le main­tien du fonc­tion­ne­ment des systèmes de messagerie.

Selon elle, les données n’ont jamais été utili­sées pour surveiller ou sanc­tion­ner direc­te­ment les employés. La Région soutient égale­ment que la durée de conser­va­tion de nonante jours des méta­don­nées de messa­ge­rie découlent des réglages par défaut de la messa­ge­rie et que ces infor­ma­tions sont néces­saires pour garan­tir une assis­tance effi­cace en cas de problème d’envoi des messages.

Pour répondre au reproche que les unions syndi­cales n’ont pas été consul­tées, la Région invoque le droit du travail italien qui permet l’utilisation des outils néces­saires à l’exécution du travail sans accord syndi­cal préa­lable. Elle consi­dère que la messa­ge­rie élec­tro­nique et l’ordinateur consti­tuent de tels outils.

Quant aux logs de navi­ga­tion, elle fait valoir que l’identification d’un fonc­tion­naire ne pouvait inter­ve­nir qu’à travers la coopé­ra­tion de trois pres­ta­taires distincts, chacun déte­nant une partie de l’information (adresse IP, adresse MAC, iden­tité de l’utilisateur). Cela empê­chait tout contrôle direct et continu. Elle justi­fie enfin la longue durée de conser­va­tion par la néces­sité d’analyser des attaques persis­tantes (APT, ransom­ware).

Au cours de l’enquête, la Région Lombardie adapte toute­fois ses pratiques. Elle signe des accords syndi­caux distincts pour le person­nel diri­geant et non diri­geant. Elle met à jour sa régle­men­ta­tion interne sur l’utilisation des outils infor­ma­tiques. Elle amorce des proces­sus d’anonymisation à l’interne. Elle forma­lise, par un avenant au contrat, la rela­tion avec les pres­ta­taires tech­niques. Enfin, elle procède à la réali­sa­tion d’une analyse d’impact, confor­mé­ment à l’art. 35 RGPD.

Conclusions de l’enquête

Dans son analyse, le Garante recon­nait les efforts de régu­la­ri­sa­tion mais souligne, à juste titre que, pendant une période prolon­gée, la Région avait traité les données de ses employés en viola­tion du RGPD et du droit italien de la protec­tion des données. La conser­va­tion géné­ra­li­sée des méta­don­nées de messa­ge­rie pendant nonante jours ne peut être justi­fiée par l’exception conte­nue dans le droit du travail italien.

Selon le Garante, seule une conser­va­tion très limi­tée dans le temps, soit moins de vingt et un jours, peut être consi­dé­rée comme admis­sible et néces­saire au fonc­tion­ne­ment des outils de travail au sens strict. Au-delà, il s’agit d’une surveillance à distance (« controlli in distenza »), néces­si­tant un accord syndi­cal ou une auto­ri­sa­tion admi­nis­tra­tive préa­lable prévue par l’ordre interne italien en lien avec les articles 5, 6 et 88 RGPD.

S’agissant des logs inter­net, l’Autorité rappelle que leur collecte systé­ma­tique, y compris celle des tenta­tives d’accès à des sites inter­dits, peut révé­ler des éléments de la vie privée des employés et donc consti­tuer un trai­te­ment de données disproportionné.

La conser­va­tion de l’historique pendant douze mois est jugée dispro­por­tion­née au regard des prin­cipes de mini­mi­sa­tion et de limi­ta­tion de la conser­va­tion (art. 5 par. 1 let. c et e RGPD). Même si les données sont sépa­rées entre plusieurs pres­ta­taires, la possi­bi­lité de recou­pe­ment permet in fine de ratta­cher les logs à un indi­vidu iden­ti­fiable, ce qui engage la respon­sa­bi­lité de la Région en tant que respon­sable du traitement.

Enfin, le Garante relève que l’analyse d’impact faisait défaut, alors que la nature des trai­te­ments (surveillance poten­tielle des employés, conser­va­tion éten­due, données touchant à la vie privée) remplis­sait les critères d’un risque élevé au sens de l’art. 35 RGPD condui­sant à la néces­sité pour le respon­sable du trai­te­ment de procé­der à une telle analyse.

En consé­quence, le Garante conclut que la Région a violé plusieurs dispo­si­tions du droit de la protec­tion des données. En font partie, les prin­cipes de licéité, loyauté, mini­mi­sa­tion et limi­ta­tion de la conser­va­tion (art. 5 RGPD), le prin­cipe de licéité pour le trai­te­ment des données des travailleurs (art. 6 et 88 RGPD), le prin­cipe de protec­tion des données dès la concep­tion et par défaut (art. 25 RGPD) et l’obligation de réali­ser une AIPD (art. 35 RGPD).

L’autorité lombarde est mise en demeure, en parti­cu­lier, de réduire signi­fi­ca­ti­ve­ment les durées de conser­va­tion pour les méta­don­nées et les logs, ainsi que de garan­tir une infor­ma­tion claire des employés confor­mé­ment à l’art. 13 RGPD.

Leçons à tirer

Cette déci­sion rappelle que la messa­ge­rie élec­tro­nique et la navi­ga­tion Internet ne peuvent pas être consi­dé­rées comme de simples outils de travail, car leur utili­sa­tion entraîne inévi­ta­ble­ment la créa­tion de données person­nelles. Conservées et analy­sées, elles permettent un contrôle indi­rect de l’activité des employés.

Elle met égale­ment en évidence que les impé­ra­tifs de cyber­sé­cu­rité, aussi légi­times soient-ils, ne sauraient justi­fier une conser­va­tion exces­sive ou indé­fi­nie de ces infor­ma­tions. La durée de conser­va­tion doit toujours rester limi­tée au strict néces­saire et être enca­drée par des garan­ties appro­priées afin d’éviter tout risque de surveillance disproportionnée.

Et en Suisse ? 

Le travailleur en Suisse est égale­ment protégé contre la surveillance de son compor­te­ment. Cette protec­tion découle à la fois de l’art. 328 CO, qui garan­tit le respect de sa person­na­lité, et de l’art. 26 OLT 3, qui inter­dit les systèmes de contrôle portant sur le compor­te­ment des employés.

L’installation d’un système tech­nique de surveillance ou de contrôle est admis­sible unique­ment s’il est néces­saire pour d’autres raisons (telles que la sécu­rité, la qualité ou le contrôle du rende­ment). Lors de sa mise en place, il est cepen­dant néces­saire de prendre en compte l’employé, afin de s’assurer de la protec­tion de sa person­na­lité et de sa santé.

En défi­ni­tive, l’implémentation d’un système de surveillance doit se faire avec la parti­ci­pa­tion de l’employé, aussi bien pour satis­faire les obli­ga­tions légales que morales.