Certificat de travail perdu par l’employeur : informer l’autorité de protection des données ?

Photo de Sharad Kachhi sur Pexels.com

X SA, un fabricant polonais de remorques pour voitures (le responsable du traitement), a perdu le certificat de travail d’un employé qui comprenait des données telles que le nom, le prénom, le lieu de résidence et la date de naissance. Le certificat contenait également des informations sur la procédure et la base juridique de la cessation de la relation de travail ainsi que sur la saisie des revenus. Le responsable du traitement n’a pas informé l’autorité de protection des données de la violation des données.

Lorsque la violation des données a été découverte par l’autorité de protection des données au cours d’une enquête, le responsable du traitement a expliqué qu’il n’avait pas notifié l’autorité de protection des données parce que la violation des données n’entraînait pas de risque pour les droits et libertés de la personne concernée. Le responsable du traitement a également déclaré qu’il avait informé la personne concernée de la perte de son certificat et qu’elle n’avait fait aucune réclamation contre la société à cet égard. Le responsable du traitement a donc fait valoir qu’il n’avait pas violé l’article 33 par.1 RGPD.

L’autorité de protection des données (APD) a estimé au contraire que la violation des données comportait un risque de violation des droits et libertés de la personne concernée et qu’elle aurait dû être notifiée à l’autorité de protection des données en vertu de l’article 33 par. 1 RGPD [à teneur duquel « [e]n cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente (…) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.]

C’est notamment, pour l’autorité, parce que les informations figurant sur le certificat pouvaient directement ou indirectement divulguer des informations sur la vie personnelle de la personne concernée, ses problèmes juridiques et son statut financier.

L’APD a également estimé qu’il n’était pas pertinent de savoir si une personne non autorisée avait effectivement pris connaissance des données personnelles de la personne concernée. Ce qui est important, c’est qu’il y ait un simple risque que les données soient consultées par une personne non autorisée.

L’autorité a en conséquence a infligé une amende d’environ 3 492 € (16 000 PLN) au responsable du traitement.

(Décision : Prezes Urzędu Ochrony Danych Osobowych (Pol.), UODO – DKN.5110.12.2021 ; présenté et traduit ici : https://gdprhub.eu/index.php?title=UODO_(Poland)__DKN.5110.12.2021&mtc=today)

[En droit suisse, selon l’art. 24 al. 1 nLPD (la nouvelle loi sur la protection des données entrera en vigueur le 01.09.2023 : https://droitdutravailensuisse.com/2022/09/02/protection-des-donnees-enfin-du-nouveau/), le responsable du traitement doit annoncer dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il est à noter que la solution est différente du droit européen. L’art. 33 par. 1 RGPD prévoyant ainsi la notification à l’autorité de contrôle dans tous les cas, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés de la personne concernée.

Il faut souligner ici que le certificat de travail « polonais » comprend bien plus d’indications que le certificat suisse (art. 330a CO), en particulier (apparemment) des données sur des saisies de salaire ou des procédures qui sont des données sensibles en droit suisse (art. 5 let. 4 nLPD). Sa divulgation  pourrait ainsi constituer un « risque élevé » pour la personne concernée, ce qui ne serait pas le cas de la divulgation d’un certificat de travail « suisse » qui comprend bien moins de données.]

Concernant l’obligation d’information en droit suisse de manière générale: https://droitdutravailensuisse.com/2021/06/27/obligation-dannoncer-les-violations-de-la-securite-des-donnees-data-breach/)

Pour ce qui est certificat de travail en droit suisse : https://droitdutravailensuisse.com/category/certificat-de-travail/page/2/

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Certificat de travail, nouvelle LPD, Protection de la personnalité, Protection des données, RGPD, est tagué , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s