Une société (responsable du traitement) informe un certain nombre de ses clients par courrier électronique qu’un ancien employé (personne concernée) a commis des infractions pénales au cours de sa période d’emploi et avait été licencié.

L’autorité danoise de protection des données (Datatilsynet ; DPA), dans une décision du 02.12.2022, établi d’abord qu’en vertu du droit danois sur la protection des données, la description détaillée de l’infraction pénale par le responsable du traitement dans le courriel envoyé signifiait que le destinataire de l’information pouvait la considérer comme vraie. De telles informations ne peuvent être partagées que si le responsable du traitement avait l’autorité pour ce faire, ce qui peut être le cas si la divulgation est faite pour servir des intérêts propres qui dépassent clairement les raisons de maintenir la confidentialité.

La DPA a  estimé que le responsable du traitement avait un intérêt légitime à transmettre des informations sur le licenciement de la personne concernée à ses clients et à les informer qu’elle ne pourrait donc plus conclure de contrats au nom de la société.

Cela étant dit, la description de l’infraction pénale, qui était le motif du licenciement, n’était pas nécessaire à l’entreprise pour sauvegarder ses intérêts légitimes (l’annonce du licenciement suffisait). En outre, le responsable du traitement n’a pas prouvé qu’il n’avait informé que les clients avec lesquels la personne concernée avait été en contact.

(Décision originale : https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/dec/privat-virksomhed-indstillet-til-boede; présentation et traduction en anglais : https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_Decision_of_2_December_2022&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)