Incapacité de travail d’un collaborateur: que peut-on dire aux autres ?

Photo de Sora Shimazaki sur Pexels.com

La situation se présente fréquemment : un employé est absent, pour cause de maladie ou autre (incarcération par exemple), comment alors informer les autres membres du personnel et que dire ?

Il m’a paru utile de restituer ci-après les consid. 28-41 d’une Décision 115/2022 de l’Autorité de protection des données belge du 19 juillet 2022 (par ailleurs présenté et commentée plus exhaustivement par David Dias Matos, Une annonce de départ d’un employé se transforme en communication à des tiers, 24 août 2022 in www.swissprivacy.law/167), quand bien même la règlementation, par le RGPD, des données sensibles est différente de celle du droit suisse. Les principes posés quant à l’utilisation ultérieure de donnée, d’une part, et à la minimisation de données d’autres part, m’apparaissent pourtant aisément transposables dans le cadre de l’art. 328b CO. Les voilà :

Tout traitement de données à caractère personnel doit s’appuyer sur une des bases de licéité prévues à l’article 6.1 du RGPD. Pour ce qui est du traitement des catégories particulières de données telles des données relatives à la santé comme en l’espèce ([données « sensibles »]), la condition de licéité visée à l’article 6.1 du RGPD ne s’applique que si l’article 9.2 du RGPD prévoit une dérogation spécifique à l’interdiction générale de traiter les catégories particulières de l’article 9.1. En d’autres termes, lorsque des données au sens de l’article 9 sont traitées, leur traitement doit trouver un fondement à l’article 9.2, du RGPD lu conjointement avec l’article 6.1. du RGPD.

Dès lors que la défenderesse (= l’employeuse) a traité des données relatives à la santé de la plaignante (= l’employée), le traitement de telles données devait, comme il vient d’être mentionné, trouver un fondement à l’article 9.2 du RGPD, lu conjointement avec l’article 6.1. du RGPD.

En l’espèce, la plaignante ne conteste pas la licéité du traitement par la défenderesse de l’information selon laquelle, au terme du rapport de X., elle a été déclarée inapte au travail. (…) Ce qui est contesté par la plaignante, c’est la communication ultérieure d’informations relatives à sa santé aux collègues de son service ainsi qu’à l’ensemble du personnel de la défenderesse via la mise à disposition d’un procès-verbal de réunion sur le serveur.

 Comme elle a déjà eu l’occasion de le préciser dans d’autres décisions, la Chambre Contentieuse rappelle ici que le traitement de données à caractère personnel opéré pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne peut être autorisé conformément à l’article 5.1. b) du RGPD que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Compte tenu des critères repris à l’article 6.4. du RGPD et au considérant 50, il convient de vérifier si le traitement ultérieur – soit en l’espèce la communication des dites informations à d’autres membres du personnel destinée à les informer sur les mouvements du personnel – est ou non compatible avec la finalité du traitement initial.

En l’espèce, la Chambre Contentieuse relève que cette communication ultérieure poursuit un objectif distinct de la finalité première laquelle consistait à recevoir l’information et à la traiter au niveau des services de ressources humaines à des fins de gestion du personnel (fin de la relation de travail, octroi de droits, reclassement /mobilité éventuel(le) etc.) A cet égard, seules certaines personnes sont, dans l’exercice de leur fonction spécifique, habilitées à recevoir cette information compte tenu notamment de la sensibilité de celle-ci et de son impact pour la personne concernée et du principe de minimisation des données (proportionnalité – article 5.1.c) du RGPD).

La Chambre Contentieuse conclut en l’espèce que cette communication ultérieure n’est pas compatible avec la finalité initiale. Cette communication n’entre pas dans les attentes raisonnables de la personne concernée. Vu l’encadrement légal spécifique dont le traitement des informations traitées par [le Rapport] (données à caractère personnel relatives à la santé)fait l’objet (limitation des destinataires, absence de diagnostic précis), la personne concernée – ici la plaignante – ne peut raisonnablement pas s’attendre à ce que ces mêmes données soient, au contraire, communiquées largement au-delà des seules personnes ayant un besoin fonctionnel de les connaître. La sensibilité des données se heurte également à une compatibilité conçue de manière large.

Il en résulte qu’il n’est pas question d’un traitement ultérieur compatible de sorte qu’une base juridique distincte était requise pour que ladite communication puisse être qualifiée de licite.

Un traitement de données à caractère personnel, en ce compris un traitement ultérieur incompatible comme en l’espèce, n’est en effet licite que s’il s’appuie sur une base de licéité propre. Le considérant 50 du RGPD est explicite à cet égard : […] Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres : de tout lien entre ces finalités et les finalités du traitement ultérieur prévu ; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données ; la nature des données à caractère personnel ; les conséquences pour les personnes concernées du traitement ultérieur prévu ; et l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

La défenderesse ne fait elle-même état d’aucune base de licéité et la Chambre Contentieuse pourrait se limiter à ce constat. La Chambre Contentieuse est toutefois d’avis que la communication de données (de santé) de la plaignante ne peut en l’espèce se fonder sur aucune base de licéité propre. La Chambre Contentieuse ne remet assurément pas en cause la volonté ni la légitimité de la défenderesse à informer ses collaborateurs quant aux mouvements de personnel. En ce sens, la Chambre Contentieuse a déjà énoncé dans sa décision 63/2021, qu’il est approprié, dans le cadre de la politique du personnel, d’informer les collaborateurs de tels mouvements. Toutefois, pour respecter le principe de minimisation des données (proportionnalité) des données, il est suffisant que cette communication reste limitée à la communication factuelle du fait que la personne concernée, telle ici la plaignante, n’est plus en service.

S’agissant des hypothèses de l’article 9.2. lues conjointement avec l’article 6.1. du RGPD, la Chambre Contentieuse constate en effet que – ladite communication aux autres membres du personnel et sa consignation dans un procès-verbal de réunion ne s’appuient pas sur le consentement de la plaignante, bien au contraire (article 9.2. a) du RGPD). [Les autres hypothèses de l’art. 9.2 ne sont pas non plus remplies].

En l’absence de base de licéité légitimant le traitement dénoncé (ultérieur incompatible) des données de la plaignante, la Chambre contentieuse conclut que la défenderesse a enfreint les articles 5.1.b) juncto 6.4 et 9.2. lus en combinaison avec l’article 6.1.12 du RGPD. Les données de la plaignante ont en effet fait l’objet d’un traitement ultérieur incompatible avec les finalités déterminées, licites et légitimes pour lesquelles elles ont initialement été collectées, sans pouvoir s’appuyer sur une base de licéité propre.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s