|||
FR NL EN
-
Réglementation
29 juin 2022

RGPD : évitez l’envoi d’e-mails collectifs où les adresses des destinataires sont visibles !

Dans une décision récente, l’Autorité de protection des données (APD) a sanctionné l’envoi par un délégué syndical d’un e-mail à des destinataires externes, où les coordonnées de l’ensemble des membres du personnel étaient visibles. Selon l’APD, cette pratique viole deux principes du RGPD : les principes de licéité et de sécurité.

Les faits

Un délégué syndical d’une entreprise envoie un e-mail à l’ensemble des membres du personnel. En copie visible de cet e-mail (« CC »), il insère trois adresses électroniques appartenant à des organisations syndicales, soit des personnes externes à l’entreprise.

De ce fait, les destinataires externes (les organisations syndicales) ont accès à l’identité et aux adresses électroniques de tous les membres du personnel de l’entreprise.

Un travailleur dépose plainte auprès de l’Autorité de protection des données (« APD »).

La décision

La Chambre contentieuse de l’APD précise d’abord que le responsable du traitement n’est pas l’entreprise mais le délégué syndical. L’intéressé a, selon l’Autorité, déterminé seul les moyens et les finalités du traitement dans le cadre de l’envoi de l’e-mail litigieux.

Au terme de son analyse, la Chambre contentieuse conclut à la violation de deux principes du RGPD :

  • Le principe de légalité : le délégué syndical ne pouvait se fonder sur aucune base de licéité prévue par le RGPD pour légitimer le traitement de données effectué. En effet, les travailleurs n’avaient pas donné leur consentement pour le transfert de leurs données aux organisations syndicales. Le délégué syndical ne pouvait pas non plus faire valoir son intérêt légitime, dans la mesure où (i) le principe de minimisation des données n’était pas respecté et (ii) les personnes concernées pouvaient raisonnablement s’attendre à ce que leur adresse électronique ne soit pas divulguée à des destinataires externes.
  • Le principe de sécurité : la violation constatée était susceptible d’engendrer un risque (bien que limité) pour les droits et libertés des personnes physiques. En manquant de signaler cette violation à l’APD, le délégué syndical a violé le principe de sécurité.

L’APD se contente toutefois d’adresser un avertissement au délégué syndical, vu (i) le caractère non intentionnel et ponctuel de l’erreur, (ii) le faible risque pour les droits et libertés des personnes concernées et (iii) la qualité de personne physique du contrevenant.

Que retenir ?

Lors de l’envoi d’un e-mail à des destinataires externes à l’entreprise dont il fait partie, le responsable du traitement doit veiller à indiquer uniquement (en destinataires visibles ou en copie visible) les coordonnées strictement nécessaires pour le traitement en question. Pour les autres coordonnées, le champ « BCC » (copie cachée) doit être utilisé pour éviter un traitement de données illicite.

Source :Autorité de protection des données, décision n° 86/2022, du 1er juin 2022, disponible sur https://www.autoriteprotectiondonnees.be.


We use cookies to track usage and preferences Legal terms I Understand