Le RGPD sapplique également aux questions RH
Le règlement général sur la protection des données (RGPD) sapplique également
aux relations entre lemployeur et ses travailleurs. Cela signifie, par exemple,
que les informations relatives à létat de santé dun travailleur doivent être
examinées lors de réunions restreintes et non divulguées à tout vent.
Réunion
Madame A travaille pour la société X et est mise en incapacité de travail pour
cause de maladie.
Durant une réunion du département auquel elle est affectée,
le chef dudit département informe les collaborateurs que madame A est absente
depuis un certain temps et annonce son départ. Il donne lecture dun document
rédigé par le service de prévention qui indique que madame A nest plus apte à
travailler pour la société X.
Contactée par des collègues souhaitant avoir de
ses nouvelles, madame A est mise au courant des informations divulguées.
Madame A apprend, un peu plus tard, que tout ce qui a été dit lors de cette
réunion a été consigné dans le procès-verbal de cette dernière. Le procès-verbal
mentionne quelle est absente depuis plusieurs semaines, que dans son rapport,
le conseiller en prévention la déclare inapte au travail et quil est mis fin à
la collaboration. Le procès-verbal a été envoyé par e-mail à plusieurs
collaborateurs dautres départements et finit par être publié sur un serveur
auquel ont accès tous les collaborateurs de lentreprise.
Ce dossier est porté devant lAutorité de protection des données (APD) qui est
en quelque sorte le tribunal de première instance en matière de RGPD. Devant
lAPD, le responsable du département déclare pour sa défense quau cours de la
réunion en question, vu le caractère délicat du rapport du service de
prévention, il a préféré lire le texte mot pour mot plutôt que de le
paraphraser. Cette réunion avait précisément pour objectif dinformer son
équipe.
Données
LAPD se réfère à la directive RGPD de 2016 sur laquelle sont basées les
législations RGPD nationales. Cette directive européenne contient deux
dispositions essentielles. Le RGPD sapplique entre autres :
dès lors quil est question de données à caractère personnel, cest-à-dire toute
information concernant une personne physique identifiée ou identifiable ;
dès lors quil est question de données concernant la santé : cest-à-dire les
données à caractère personnel relatives à la santé physique ou mentale dune
personne physique, y compris la prestation de services de soins de santé, qui
révèlent des informations sur létat de santé de cette personne.
Il ne fait en lespèce aucun doute que les données divulguées répondent à ces
deux définitions. Le bien-être (physique ou mental) dun membre particulier du
personnel a été abordé lors dune réunion déquipe au cours de laquelle son nom
a été mentionné. Son absence durant plusieurs semaines y a également été
évoquée. La personne était donc incontestablement identifiable.
Tel quil
ressort du procès-verbal, une partie de la réunion a dailleurs été consacrée à
la question de savoir qui occuperait son bureau et ce quil fallait faire de ses
effets personnels.
Il ne fait aucun doute non plus que des données relatives à la santé de madame A
ont été partagées puisquil a été donné lecture du rapport du service de
prévention. Ce document contient des informations concernant le fait que madame
A a été déclarée inapte au travail. Aucune explication na été donnée concernant
la pathologie physique ou psychique proprement dite de madame A. Le service de
prévention nest dailleurs pas autorisé à divulguer ce type de données. Il
nempêche que des informations concernant la santé de madame A ont été
partagées, et cest là un élément suffisant. Les informations concernant
labsence de madame A depuis quelque temps pour cause de maladie et le contrôle
médical dont elle a fait lobjet auprès du service de prévention constituent des
données relevant de la catégorie des « données concernant la santé ».
Traitement des données
La directive décrit le traitement des données comme toute opération ou tout
ensemble dopérations effectuées ou non à l'aide de procédés automatisés et
appliquées à des données à caractère personnel, telles que la collecte,
lenregistrement, lorganisation, la conservation, ladaptation ou la
modification, l'extraction, la consultation, lutilisation, la communication par
transmission, diffusion ou toute autre forme de mise à disposition, le
rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la
destruction.
Le procès-verbal dune réunion répond à cette définition.
LAPD reconnaît
quelle na pu obtenir aucune confirmation concernant la diffusion du
procès-verbal par e-mail et la publication de ce document sur un serveur auquel
ont accès tous les collaborateurs de lentreprise (même si ces opérations nont
pas été contestées par le responsable du département). Si ces opérations ont été
effectuées, elles ne constituent quun traitement de données supplémentaire.
À qui incombe la responsabilité ?
Madame A avait introduit une plainte contre Z, le responsable du département.
Dans sa plainte, elle navait nullement mentionné le fait que Z travaillait au
sein de la société X.
La société peut-elle dès lors être mise en cause ?
LAPD souligne quil est parfois difficile pour un plaignant didentifier le
responsable du traitement. En principe, une infraction est toujours commise par
une personne physique. Il nempêche que cest généralement lorganisation et non
la personne qui doit être considérée comme le responsable du traitement. À moins
quil nait réellement outrepassé ses pouvoirs ce qui nest nullement prouvé
en lespèce , le responsable nest pas le chef de service. Cest donc la
société et non lun de ses chefs de service qui est le responsable du traitement
et qui, par conséquent, est sanctionnée en cas de violation du RGPD.
Exceptions
Tous les traitements de données à caractère personnel ne sont toutefois pas
interdits. Le traitement des données à caractère personnel nest autorisé que
pour des finalités déterminées. Cette règle vise également les données relatives
à la santé, pour autant toutefois que des mesures supplémentaires soient prises
concernant leur accessibilité.
Ce qui na pas été fait en lespèce. Le
traitement des données par le service du personnel était correct jusquau moment
où le responsable du département a donné lecture du rapport du service de
prévention, et où les informations divulguées ont été consignées dans le
procès-verbal. Une limite a alors été franchie.
Au final, la société ne sest vu adresser quune admonestation.
Cette affaire
montre néanmoins que ce type de données doit être traité avec la plus grande
discrétion. Il existe dautres moyens dinformer les collaborateurs que lun de
leurs collègues ne fait plus partie du personnel en raison de certaines
circonstances. Il nest pas nécessaire de divulguer son historique médical.