La relation de travail entre Retent AS (responsable du traitement) et l’employé (personne concernée) a pris fin en juin 2022. Depuis lors, la personne concernée a contacté à plusieurs reprises le responsable du traitement pour demander la suppression de ses anciennes adresses électroniques professionnelles, sans succès.

L’ancien employé porte plainte auprès de l’autorité estonienne de protection des données (Andmekaitse Inspektsioon ; ADP).

Le nom d’une personne contenu dans une adresse électronique constitue une donnée à caractère personnel conformément à l’article 4, ch. 1 RGPD Les données à caractère personnel ne peuvent être traitées que s’il existe une base juridique valable visée à l’article 6, paragraphe 1 RGPD. En règle générale, un employé se voit attribuer une adresse e-mail nominative pour effectuer les tâches définies dans le contrat de travail. Une fois la relation de travail terminée, il n’y a plus de base juridique pour le traitement des données personnelles de l’employé.

Les anciennes adresses électroniques professionnelles de la personne concernée étaient toujours ouvertes malgré la fin du contrat de travail et malgré une demande de suppression du compte. L’APD a noté que l’article 17, paragraphe 1, point a) RGPD exige que le responsable du traitement efface les données à caractère personnel sans retard injustifié lorsque les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées d’une autre manière. Étant donné que le responsable du traitement n’avait aucune base juridique pour utiliser les adresses électroniques professionnelles, la divulgation continue des données à caractère personnel de la personne concernée était illégale.

(Décision AKI – 2.1.-1/22/2643 ; résumée, traduite et présentée ici : https://gdprhub.eu/index.php?title=AKI_(Estonia)_-_2.1.-1/22/2643&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)