Le règlement général sur la protection des données (RGPD) sapplique également aux relations entre lemployeur et ses travailleurs. Cela signifie, par exemple, que les informations relatives à létat de santé dun travailleur doivent être examinées lors de réunions restreintes et non divulguées à tout vent.
Madame A travaille pour la société X et est mise en incapacité de travail pour cause de maladie.Durant une réunion du département auquel elle est affectée, le chef dudit département informe les collaborateurs que madame A est absente depuis un certain temps et annonce son départ. Il donne lecture dun document rédigé par le service de prévention qui indique que madame A nest plus apte à travailler pour la société X.Contactée par des collègues souhaitant avoir de ses nouvelles, madame A est mise au courant des informations divulguées.
Madame A apprend, un peu plus tard, que tout ce qui a été dit lors de cette réunion a été consigné dans le procès-verbal de cette dernière. Le procès-verbal mentionne quelle est absente depuis plusieurs semaines, que dans son rapport, le conseiller en prévention la déclare inapte au travail et quil est mis fin à la collaboration. Le procès-verbal a été envoyé par e-mail à plusieurs collaborateurs dautres départements et finit par être publié sur un serveur auquel ont accès tous les collaborateurs de lentreprise.
Ce dossier est porté devant lAutorité de protection des données (APD) qui est en quelque sorte le tribunal de première instance en matière de RGPD. Devant lAPD, le responsable du département déclare pour sa défense quau cours de la réunion en question, vu le caractère délicat du rapport du service de prévention, il a préféré lire le texte mot pour mot plutôt que de le paraphraser. Cette réunion avait précisément pour objectif dinformer son équipe.
LAPD se réfère à la directive RGPD de 2016 sur laquelle sont basées les législations RGPD nationales. Cette directive européenne contient deux dispositions essentielles. Le RGPD sapplique entre autres :
dès lors quil est question de données à caractère personnel, cest-à-dire toute information concernant une personne physique identifiée ou identifiable ;
dès lors quil est question de données concernant la santé : cest-à-dire les données à caractère personnel relatives à la santé physique ou mentale dune personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur létat de santé de cette personne.
Il ne fait en lespèce aucun doute que les données divulguées répondent à ces deux définitions. Le bien-être (physique ou mental) dun membre particulier du personnel a été abordé lors dune réunion déquipe au cours de laquelle son nom a été mentionné. Son absence durant plusieurs semaines y a également été évoquée. La personne était donc incontestablement identifiable.Tel quil ressort du procès-verbal, une partie de la réunion a dailleurs été consacrée à la question de savoir qui occuperait son bureau et ce quil fallait faire de ses effets personnels.
Il ne fait aucun doute non plus que des données relatives à la santé de madame A ont été partagées puisquil a été donné lecture du rapport du service de prévention. Ce document contient des informations concernant le fait que madame A a été déclarée inapte au travail. Aucune explication na été donnée concernant la pathologie physique ou psychique proprement dite de madame A. Le service de prévention nest dailleurs pas autorisé à divulguer ce type de données. Il nempêche que des informations concernant la santé de madame A ont été partagées, et cest là un élément suffisant. Les informations concernant labsence de madame A depuis quelque temps pour cause de maladie et le contrôle médical dont elle a fait lobjet auprès du service de prévention constituent des données relevant de la catégorie des « données concernant la santé ».
La directive décrit le traitement des données comme toute opération ou tout ensemble dopérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, l'extraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction.
Le procès-verbal dune réunion répond à cette définition.LAPD reconnaît quelle na pu obtenir aucune confirmation concernant la diffusion du procès-verbal par e-mail et la publication de ce document sur un serveur auquel ont accès tous les collaborateurs de lentreprise (même si ces opérations nont pas été contestées par le responsable du département). Si ces opérations ont été effectuées, elles ne constituent quun traitement de données supplémentaire.
Madame A avait introduit une plainte contre Z, le responsable du département. Dans sa plainte, elle navait nullement mentionné le fait que Z travaillait au sein de la société X.La société peut-elle dès lors être mise en cause ?
LAPD souligne quil est parfois difficile pour un plaignant didentifier le responsable du traitement. En principe, une infraction est toujours commise par une personne physique. Il nempêche que cest généralement lorganisation et non la personne qui doit être considérée comme le responsable du traitement. À moins quil nait réellement outrepassé ses pouvoirs ce qui nest nullement prouvé en lespèce , le responsable nest pas le chef de service. Cest donc la société et non lun de ses chefs de service qui est le responsable du traitement et qui, par conséquent, est sanctionnée en cas de violation du RGPD.
Tous les traitements de données à caractère personnel ne sont toutefois pas interdits. Le traitement des données à caractère personnel nest autorisé que pour des finalités déterminées. Cette règle vise également les données relatives à la santé, pour autant toutefois que des mesures supplémentaires soient prises concernant leur accessibilité.Ce qui na pas été fait en lespèce. Le traitement des données par le service du personnel était correct jusquau moment où le responsable du département a donné lecture du rapport du service de prévention, et où les informations divulguées ont été consignées dans le procès-verbal. Une limite a alors été franchie.
Au final, la société ne sest vu adresser quune admonestation.Cette affaire montre néanmoins que ce type de données doit être traité avec la plus grande discrétion. Il existe dautres moyens dinformer les collaborateurs que lun de leurs collègues ne fait plus partie du personnel en raison de certaines circonstances. Il nest pas nécessaire de divulguer son historique médical.