Traitement de données et devoir d’information aux parents d’une école maternelle

Publié le 26 février 2023 par Me Philippe Ehrenström
Photo de JESHOOTS.com sur Pexels.com

En avril 2020, une école maternelle finlandaise (responsable du traitement) a envoyé une demande accompagnée d’une lettre d’information concernant les activités visant à prévenir la propagation du COVID-19. Les familles étaient invitées à renvoyer le formulaire en fournissant des données personnelles (notamment le numéro de sécurité sociale de l’enfant) et en indiquant si elles pouvaient organiser la garde des enfants à domicile pendant la pandémie.

Une lettre accompagnant le formulaire de demande précisait que le traitement des données personnelles était fondé sur le consentement et que la personne concernée donnait son accord en renvoyant le formulaire. En réalité, de nombreux parents ont été informés que le renvoi du questionnaire était obligatoire.

Le responsable du traitement a répondu à la demande d’information de l’autorité de protection des données (APD) finlandaise (Tietosuojavaltuutetun toimisto – finnois ou Dataombudsmannens byrå – suédois) en indiquant que le retour du formulaire de demande était volontaire mais fortement souhaitable. Les informations étaient nécessaires pour organiser des activités dans des circonstances exceptionnelles dues à la pandémie de COVID. Le responsable du traitement a reconnu que le caractère volontaire de la demande aurait pu être communiqué plus clairement. Il a également expliqué que les employés avaient reçu des directives générales pour le traitement des données à caractère personnel, mais pas de directives spécifiques pour cette situation particulière.

Le responsable du traitement a indiqué que l’art. 6 par. 1 let. c RGPD constituait la base juridique au traitement de données (traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis). Dans sa déclaration, il a affirmé avoir besoin de ces informations pour organiser la garde des enfants, comptabiliser le nombre d’élèves apprenant à domicile et organiser des cours en petits groupes là où c’était possible. Il a également affirmé avoir besoin de ces informations pour rembourser les familles si un enfant ne participait pas aux activités en raison de la pandémie. Toutefois, le responsable du traitement a reconnu que le numéro de sécurité sociale d’un enfant n’était pas une information nécessaire et que son âge aurait suffi à vérifier l’identité de l’enfant.

L’APD a examiné si les personnes concernées étaient informées de la finalité et de la base juridique du traitement des données à caractère personnel, et du caractère volontaire de la réponse à l’enquête, et ce sur la base de l’art. 5 par. 1 let. a (licéité, loyauté et transparence du traitement), 12 par. 1 (le responsable du traitement prend les mesures appropriées pour informer de manière concise, transparente, compréhensible, en des termes clairs et simples) et 13 (informations à fournir) RGPD.

L’APD a donc évalué le formulaire de demande de renseignements utilisé par le responsable du traitement et a constaté qu’il n’était pas clair si le fait de répondre était volontaire ou obligatoire. En outre, ni le formulaire ni la fiche d’information qui l’accompagnait ne précisaient suffisamment la manière dont les données seraient utilisées. Aucune information n’était fournie pour expliquer que la collecte des données à caractère personnel était nécessaire pour déterminer combien d’enfants avaient besoin d’une garde de jour, et les informations ne précisaient pas si la garde de jour pouvait être refusée sur la base des réponses fournies. Dans sa réponse à l’APD, le responsable du traitement avait déclaré que les informations étaient nécessaires pour traiter les remboursements si les enfants ne fréquentaient pas la crèche. Toutefois, il n’était pas clair si les données à caractère personnel seraient traitées pour déterminer l’organisation de la garde d’enfants à domicile, le traitement des remboursements de paiement, ou les deux.

Compte tenu des points susmentionnés, l’APD a estimé que la finalité du traitement des données à caractère personnel n’avait pas été suffisamment communiquée et que le responsable du traitement avait donc enfreint ses obligations de transparence en vertu des art. 5 par. 1 let. a, 12 et 13 RGPD.

(Tietosuojavaltuutetun toimisto, décision 3116/163/20 du 18.01.2023 ; présentée et traduite en anglais ici : https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_3116/163/20; décision originale : https://finlex.fi/fi/viranomaiset/tsv/2023/20231703)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s