Attention lors de l’envoi d’e-mails contenant des données personnelles d’un ex-travailleur

Dans une décision du 10 mars 2022, la chambre contentieuse de l'Autorité de protection des données (APD) a confirmé que l'envoi d'un e-mail contenant les données personnelles d'un ex- travailleur à une autorité officielle peut constituer une violation des principes de finalité, de minimisation des données, d'intégrité et de confidentialité. Cette décision fait suite à une plainte déposée par une ex-travailleuse contre son ex-employeur après que ce dernier ait mentionné et divulgué certaines de ses données personnelles dans un e-mail adressé à la commune et à certains anciens collègues. L'employeur a reçu une réprimande de l'APD.

Faits

La décision s'inscrit dans le cadre d'un litige entre un employeur et son ex-travailleuse. Lorsque l'ex- travailleuse était encore au service de l'employeur, elle a commis une infraction environnementale avec son véhicule de fonction. Le constat d'infraction a d'abord été envoyé à l'employeur, qui a demandé à sa travailleuse d'y donner suite. La travailleuse a ensuite signalé son identité à la commune et a payé l'amende administrative.

Un an plus tard, l'employeur a, à nouveau, reçu une demande de paiement de la commune pour la même infraction, mais pour un montant considérablement plus élevé. Entre-temps, la travailleuse concernée avait trouvé un autre emploi, si bien que l'employeur s'est vu contraint d'informer la commune que c'était une ex-travailleuse qui avait commis l'infraction. Dans un e-mail adressé à la commune, l'employeur a non seulement mentionné le nom et l'adresse de l'ex-travailleuse concernée, mais aussi sa nouvelle adresse e-mail professionnelle et sa profession. L’e-mail était également accompagné d'un projet de courrier que l'intéressée avait pour intention d'envoyer à la commune (et qui comprenait notamment un aveu des faits). L'employeur avait obtenu ce projet de courrier par l'intermédiaire d'un ancien collègue de l'ex-travailleuse qui l'avait aidée à l'époque à le traduire. L’e-mail en question a ensuite été adressé à trois adresses e-mails différentes de la commune, avec trois collaborateurs de l'employeur et l'ex-travailleuse elle-même (tant avec son adresse e-mail privée qu'avec sa nouvelle adresse e-mail professionnelle) en copie.

L'ex-travailleuse s’est posée de sérieuses questions sur les méthodes de l'employeur : son ex-employeur avait-il agi correctement lors du traitement de ses données personnelles ? Elle a donc déposé une plainte auprès de l'APD.

Défense de l’employeur

L'employeur a fait valoir pour sa défense qu'il avait un intérêt légitime à divulguer les différentes données personnelles de l'ex-travailleuse. Il a notamment fait valoir que l'objectif de l’e-mail était d'éviter que l'infraction soit attribuée à la mauvaise personne. Dans cette optique, l'employeur a jugé nécessaire de divulguer les différentes données personnelles. De plus, selon l'employeur, l'envoi de l’e-mail aux différentes adresses e-mail (tant à l'égard de la commune qu'à l'égard de trois de ses collaborateurs) était nécessaire pour garantir le suivi de son dossier.

Appréciation de l’APD

Lors de l’appréciation de la plainte, l'APD a vérifié si les différents principes prévus par le Règlement Général sur la Protection des Données (RGPD) avaient été correctement respectés par l'employeur. Les principes de légalité, de finalité, de traitement minimal des données, ainsi que d'intégrité et de confidentialité ont été examinés.

Bien que l’APD ait admis que le suivi des  « procédures, infractions et amendes administratives » constituait bien un intérêt légitime pour l'employeur, l’APD a estimé que ce dernier avait outrepassé ses pouvoirs.

Concrètement, l'APD a conclu que la communication du domicile de la personne concernée et de son adresse e-mail personnelle était nécessaire au traitement administratif du dossier. Toutefois, l'utilisation de la nouvelle adresse e-mail professionnelle et la mention de la profession de l'ex-travailleuse étaient excessives. L'employeur aurait également dû être plus sélectif dans le choix des destinataires : le fait que l’e-mail en question ait également été envoyé à une adresse e-mail générale de la commune, ainsi qu'à l'ancien responsable de la travailleuse, n'a pas été accepté par l'APD. Enfin, l’APD a décidé que l'employeur était également allé trop loin en envoyant le courrier en question que l'ex-travailleuse avait préparé dans le passé : en effet, l'ex-travailleuse avait partagé cet « aveu » avec sa collègue sur une base confidentielle à l'époque.

Réprimande pour l’employeur

L’APD a donc considéré que l'employeur s'était rendu coupable d'une violation du Règlement Général sur la Protection des Données. Toutefois, une amende n'était pas une sanction appropriée, selon l’APD, car l'erreur n'était manifestement pas intentionnelle, mais simplement le résultat d'une mauvaise appréciation de l'employeur. L'APD s'est donc limitée à réprimander l'employeur.

Point d'action

Respecter les principes généraux du RGPD reste important, même lorsqu'il s'agit de suivre une procédure administrative. Lorsque l'on mentionne des données personnelles dans des communications à des tiers, il faut donc toujours s'assurer que seules les données strictement nécessaires sont mentionnées. Bien que cette décision de l’APD concerne la divulgation par l'employeur de données relatives à un ex-travailleur, ceci peut également s'appliquer à la divulgation de données personnelles de travailleurs toujours en service : la prudence est donc de mise.