L’APD sanctionne un employeur pour l’envoi de données personnelles à l’administration

Contexte

Les faits concernent une employée disposant d’un véhicule de société. Lors d’une utilisation privée de celui-ci, elle commet une infraction environnementale (dépôt illicite de déchets). Le véhicule étant immatriculé au nom de l’employeur, ce dernier reçoit un courrier de l’administration infligeant à l’employée une amende administrative. L’employeur transmet alors cette amende à l’employée qui la règle directement.

Environ un an plus tard, l’employeur reçoit une nouvelle amende (nettement plus élevée) pour les mêmes faits. Ignorant si l’employée (ayant entretemps quitté l’entreprise) avait réglé l’amende, l’employeur répond à l’administration et indique que l’ex-employée est l’auteure de l’infraction. L’e-mail de l’employeur contient plusieurs données à caractère personnel de l’ex-employée : son adresse de domicile, ses adresses e-mail privée et professionnelle, sa profession de juriste et un projet de lettre contenant des aveux de l’ex-employée.

L’employeur envoie l’e-mail à trois adresses de la commune et met également en copie de cet e-mail le Directeur financier, le Directeur des ressources humaines et l’ancien supérieur hiérarchique de l’employée.

L’ex-employée introduit une plainte auprès de l’APD pour violation du RGPD.

Décision de l’APD

L’APD analyse le traitement de données effectué par l’employeur et constate qu’une partie du traitement est licite, tandis qu’une autre est illicite.

Le traitement de l’adresse e-mail privée et du domicile de l’ex-employée est considéré comme licite (l’employeur pouvant se fonder sur son intérêt légitime à identifier le véritable auteur de l’infraction et assurer le suivi du contentieux), nécessaire, adéquat et pertinent pour atteindre la finalité de l’employeur.

En revanche, l’APD considère comme illicite le traitement des données de l’adresse e-mail professionnelle, de la qualité de juriste et du projet de courrier contenant un aveu des faits de l’ex-employée.

En effet, le traitement de ces données n’était pas nécessaire pour assurer le suivi du contentieux : la qualité de juriste était sans importance, l’amende n’était pas en lien avec la nouvelle fonction de l’employée et le projet de courrier d’aveux avait été transmis à une ancienne collègue uniquement pour la traduction de celui-ci.

Enfin, concernant les destinataires des données, l’APD relève qu’il n’était pas nécessaire pour l’employeur d’envoyer l’e-mail litigieux à l’adresse générale de la commune (l’envoi à la personne signataire et la boite fonctionnelle suffisent), ni à l’ancien supérieur hiérarchique de l’employée (le traitement n’étant pas en lien avec l’ancienne fonction exercée par l’employée).

L’APD conclut donc à la violation du RGPD. L’Autorité estime toutefois que l’imposition d’une amende n’est pas nécessaire, compte tenu notamment de l’absence de caractère intentionnel et de violation structurelle. L’employeur se voit infliger uniquement une réprimande.

Que retenir ?

L’employeur doit toujours veiller au respect du RGPD, y compris dans le cadre d’une procédure administrative concernant ses travailleurs. L’employeur doit, à cet égard, veiller à disposer d’une base de licéité et à fournir uniquement les informations qui sont strictement nécessaires (en termes de contenu et de destinataires) pour atteindre la finalité identifiée.

Source : Autorité de protection des données, décision n°34/2022 du 10 mars 2022, disponible sur www.autoriteprotectiondonnees.be.