Requête du travailleur d’accéder à ses données, réponse tardive et incomplète: dommages-intérêts?

Photo de Pixabay sur Pexels.com

A teneur de l’art. 8 al. 1 LPD, toute personne peut demander au maître d’un fichier si des données la concernant sont traitées. Le maître du fichier doit alors lui communiquer:  a. toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l’origine des données; b. le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données (art. 8 al. 2 LPD). Les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme d’imprimé ou de photocopie (art. 8 al. 5 LPD).

Selon l’art. 1 al. 1 et 4 OLPD, toute personne qui demande au maître du fichier si des données la concernant sont traitées (art. 8 LPD) doit en règle générale le faire par écrit et justifier de son identité. Les renseignements sont fournis dans les 30 jours suivant réception de la demande (art. 1 al. 4 OLPD).

Une réponse tardive de l’employeur peut-elle entraîner un dommage sur la base duquel le travailleur peut demander l’octroi de dommages-intérêts ?

 L’Arbeitsgericht Düsseldorf, dans une décision 9 Ca 6557/18 du 5 mars 2020,  a répondu par l’affirmative sur la base des art. 12 (1), 15 et 82 (1) et (3) RGPD en retenant l’existence d’un « dommage moral » dans une situation où les données demandées ont été transmises tardivement, et de manière incomplète. La décision est présentée et commentée avec de nombreux liens par Célian Hirsch, Des dommages-intérêts en raison d’une réponse tardive à une requête d’accès aux données ?, 29 novembre 2020 in www.swissprivacy.law/35.

Comme le relève Hirsch, le droit allemand connaît une notion de dommage civil très proche de celle du droit suisse (diminution ou non-augmentation du patrimoine). Il est donc intéressant de voir que l’art. 82 RGPD introduit une nouvelle catégorie de dommage réparable qui s’appréciera notamment en prenant en compte les critères suivants : nature, la gravité et durée de la violation ; degré de la faute ; mesures visant à atténuer le préjudice subi par les personnes concernées ; etc.

La LPD ne permet par contre pas d’engager la responsabilité civile du maître de fichier négligent ou paresseux face à une demande de droit d’accès. Sa responsabilité pénale pourrait par contre être engagée sur la base de l’art. 34 al. 1 let. a LPD si les données transmises sont inexactes ou incomplètes (voir aussi l’art. 60 al. 1 nLPD).

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s