La décision no 159/2022 du 7 novembre 2022 de la Chambre Contentieuse de l’Autorité de protection des données belge (N° de dossier : DOS-2022-03933 ; lien : https://www.gegevensbeschermingsautoriteit.be/publications/bevel-nr.-159-2022.pdf) traite d’une plainte relative au maintien de la mention de l’identité d’une ex-employée, de sa fonction et de photographies sur des pages Internet d’une entreprise.

La plaignante (=l’employée) indique avoir travaillé auprès de la défenderesse (l’employée) jusqu’en février 2022, date à laquelle elle a été licenciée.

Le 1er septembre 2022, soit plus de 6 mois après son licenciement, la plaignante a indiqué par courriel à la défenderesse qu’elle ne souhaitait plus apparaître comme un membre de son personnel sur son site Internet. La rubrique « Notre équipe » de ce site reprenait en effet une photo individuelle de la plaignante avec l’intitulé de la fonction «….» qu’elle exerçait auprès d’elle ainsi qu’une photo de groupe de l’équipe de la défenderesse (4 personnes), dont la plaignante. La plaignante indique qu’à la date du dépôt de sa plainte le 28 septembre 2022, aucune suite favorable n’avait été donnée à sa demande de faire le nécessaire pour qu’elle n’apparaisse plus comme membre du personnel sur le site de la défenderesse.

Extraits des considérants :

6. La Chambre Contentieuse rappelle que les coordonnées d’une personne physique telles ses noms, prénoms, sa fonction de même que sa photographie constituent des données à caractère personnel au sens de l’article 4.1 du RGPD. Il s’agit en effet d’informations se rapportant à une personne physique identifiée ou identifiable (la «personne concernée»), ici la plaignante qui peut être directement identifiée au départ de ces informations.

7. La publication de telles données sur le site Internet de la défenderesse est constitutive d’un traitement au sens de l’article 4.2. du RGPD.

8. En application de l’article 5.1.b) du RGPD tout traitement doit poursuivre une finalité déterminée, explicite et légitime (principe de finalité).

9. En sa qualité de responsable de traitement, il incombe à la défenderesse, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD (articles 5.2. et 24 du RGPD).

10. La Chambre Contentieuse est d’avis que dès lors que la plaignante ne travaillait plus pour la défenderesse, la finalité de traitement des données susmentionnées la concernant par cette dernière visant à informer les internautes de qui travaille auprès d’elle et avec quelle fonction, s’est éteinte avec le départ de la plaignante. Cette extinction de la finalité a pour conséquence automatique – soit sans qu’il ne soit requis que la personne concernée (ici la plaignante) en fasse la demande – un effacement de ces données dès lors qu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles étaient traitées (article 5.1.b) et e) du RGPD).

11. En effet, en vertu de la combinaison des principes de finalité (article 5.1.b) du RGPD) et de limitation de la conservation des données (article 5.1. e) du RGPD), le responsable de traitement n’est en droit de conserver les données que pour autant que cette conservation se justifie au regard de la finalité du traitement. Partant, dès l’instant où les données personnelles ne sont plus nécessaires à la poursuite de cette finalité, le responsable de traitement doit effacer les données en cause, ou, à tout le moins, les anonymiser sauf s’il traite ces mêmes données pour une finalité distincte qu’il peut légitimement poursuivre en conformité avec le RGPD. Le droit à l’effacement tel que prévu à l’article 17.1.a) du RGPD reconnait explicitement aux personnes concernées le droit de vérifier que le responsable de traitement a bien respecté cette obligation.

12. Aux termes de l’article 17.1. a) du RGPD, la personne concernée a en effet le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant. A défaut de l’avoir fait spontanément (voy. points 10 et 11 ci-dessus), le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées [i.e. après une requête basée sur l’art. 17.1 a) RGPD].

13. Aux termes de l’article 12.3. du RGPD par ailleurs, le responsable du traitement est tenu de fournir à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22 du RGPD (en ce compris donc une demande d’effacement sur la base de l’article 17.1.a) du RGPD), dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes adressées par la personne concernée au responsable de traitement.

14. La Chambre Contentieuse est d’avis qu’il résulte de la combinaison des articles 12.3. et 17.1.a) du RGPD qu’idéalement, la demande d’effacement introduite par la personne concernée sur la base de l’article 17.1.a) du RGPD devrait être suive d’un effacement des données dans un délai d’un mois. Toutefois, la Chambre Contentieuse estime qu’en fonction du contexte concret dans lequel la demande d’effacement est formulée, une distinction peut être faite entre : a. le délai de réaction d’un mois (article 12.3. du RGPD) en application duquel le responsable de traitement informe la personne concernée de la suite qu’il entend donner (ou non) à sa demande d’une part et b. l’effacement concret des données lequel pourrait nécessiter un délai plus long au vu des implications techniques et opérationnelles complexes liées à cet effacement d’autre part.

15. En cas de départ d’un membre du personnel comme en l’espèce, la Chambre Contentieuse est d’avis que le responsable de traitement doit mettre tout en œuvre pour supprimer, le plus rapidement possible et de sa propre initiative, l’identité, la fonction et la/les photographies de celui-ci de son site Internet/page de réseau social le présentant comme faisant partie de son personnel alors que ce n’est plus le cas. Une procédure devrait être mise en place en cas de départ de membres du personnel à cet effet au même titre que d’autres questions de protection des données qui doivent être réglées à cette occasion2 . Quelques semaines, un mois tout au plus semble adéquat. Si cette suppression n’intervient pas d’initiative, le responsable de traitement saisi d’une demande d’effacement doit, a fortiori, réagir dans les meilleurs délais.

16. Ce délai dans lequel l’effacement doit intervenir de manière spontanée de même que ce « meilleur délai » visé à l’article 17.1.a) du RGPD, peut varier en fonction du responsable de traitement concerné qu’il s’agisse d’une PME comme en l’espèce ou d’une entreprise de plus grande taille qui dispose de son propre gestionnaire de site Internet. La nature de la fonction et le contexte du départ du membre du personnel concerné peuvent également justifier un effacement plus ou moins rapide. En cas de photographie ciblée comme celle de la plaignante au regard de laquelle sa fonction était mentionnée ainsi que celle présentant l’équipe de la défenderesse, le responsable de traitement veillera à être particulièrement diligent. Le délai d’un mois visé par l’article 12.3. du RGPD doit quant à lui être respecté, le responsable de traitement pouvant, le cas échéant, et comme indiqué ci-dessus, exposer qu’il a donné instruction pour que cet effacement s’opère ou indiquer que cet effacement aura lieu à une date rapprochée.

17. En l’espèce, à l’appui des pièces produites par la plaignante, la Chambre Contentieuse relève que le responsable de traitement semble ne pas avoir effacé les données de la plaignante dès après son licenciement en février 2022. Il ne semble pas non plus avoir réagi à la demande formulée près de 7 mois après celui-ci le 1 er septembre 2022 par la plaignante, ni sous la forme d’une réponse quant aux mesures prises ou envisagées au regard de sa demande ni sous la forme d’un effacement effectif des données sur son site. La Chambre Contentieuse estime dès lors qu’il semble y avoir une absence de procédure mise en place pour gérer ce type de situation et de demande ou à tout le moins une absence de suivi en l’espèce.

18. En d’autres termes, il semble bien qu’au minimum, les données de la plaignante soient restées visibles sur son site Internet pendant 7 mois (entre le licenciement de février 2022 et le dépôt de la plainte le 28 septembre 2022), délai que la Chambre Contentieuse juge à priori excessif.

19. A la lumière de ce qui précède et à l’appui de l’ensemble des éléments du dossier dont elle a connaissance et des compétences qui lui ont été attribuées par le législateur en vertu de l’article 95.1. LCA, la Chambre Contentieuse décide dès lors d’adresser à la défenderesse un ordre de se conformer à la demande d’effacement de la plaignante sur la base de l’article 95.1.5° de la LCA ainsi qu’un avertissement sur la base de l’article 95.1.4° de la LCA.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)