RGPD : l'adresse e-mail fonctionnelle n’est pas une "donnée à caractère personnel"

Contexte

Une entreprise de travail adapté occupe un travailleur en qualité de (co-)responsable d’atelier. Durant les dernières années de son occupation, il utilise l’adresse e-mail « fonctionnelle » de l’atelier (du type : info@xxx.be). Dans un premier temps, il l’utilise seul, mais la partage ensuite avec d’autres collaborateurs.

Après son licenciement, le travailleur sollicite l'accès à ses données à caractère personnel, traitées durant la relation de travail. Il demande, notamment, ce qu’il est advenu de ce qu’il considère comme "son" adresse e-mail.

En réponse, l'entreprise fait valoir qu’il s’agissait d’une adresse e-mail « fonctionnelle », exclue du champ d’application du RGPD.

Le travailleur introduit, suite à la réponse reçue, une plainte auprès de l’Autorité de protection des données (APD).

Décision

L’APD rappelle qu’une donnée à caractère personnel se rapporte à une personne physique identifiée ou identifiable. Ici, l’adresse e-mail était associée à l’atelier de l’entreprise de travail adapté, et non pas à une personne physique.

L’APD relève que, dans un premier temps, le travailleur était l'unique utilisateur. Il pouvait donc être identifié comme le gestionnaire de cette adresse e-mail. Dans un second temps, l’adresse e-mail fut utilisée par plusieurs personnes. Le travailleur n’étant plus identifiable par la seule adresse e-mail, elle ne peut plus être considérée comme une donnée à caractère personnel. Point important : l'autorité ajoute que cette circonstance n’empêche pas, pour autant, que la boîte e-mail puisse contenir des données à caractère personnel, notamment traitées dans le contexte professionnel.

En conséquence, le travailleur était fondé à introduire une demande d’accès. Ce droit d’accès n’est pas absolu. Un refus motivé est possible, lorsque la demande est "manifestement infondée ou excessive".

En l'espèce, la recherche de tous les e-mails concernant le plaignant, après la fin de la relation de travail, représentait une charge de travail disproportionnée. L’employeur pouvait donc, a priori, refuser d'y donner suite. Néanmoins, il ne démontre pas le caractère manifestement excessif ou infondé de la demande d’accès. L’employeur n’a donc pas respecté ses obligations.

Compte tenu de cette violation du RGPD, l’APD notifie à l'employeur une réprimande.

Que retenir ?

La notion de "donnée à caractère personnel" s’interprète de manière très large.

L’adresse e-mail fonctionnelle, utilisée par plusieurs personnes, ne doit pas recevoir cette qualification. Pour autant, cette circonstance n’empêche pas que la boîte mail contienne, elle-même, des données à caractère personnel.

Le travailleur peut donc exercer, dans ce cadre, le droit d'accès consacré par le RGPD. Si la demande est manifestement excessive ou infondée, l'employeur peut refuser cet accès. A charge pour lui de motiver son refus.

Source : APD, décision 40/2023 du 3 avril 2023, www.autoritéprotectiondonnees.be.