Au cours des mois de mai et juin 2022, les plaignants [des enseignants] ont chacun introduit une plainte auprès de l’Autorité de protection des données (APD) contre la défenderesse [un établissement d’enseignement supérieur].

L’objet de leur plainte concerne la communication par la défenderesse de leur qualité d’enseignant gréviste lors de l’envoi par e-mail à tous les parents d’élèves de la liste des enseignants pouvant être rencontrés au cours de la réunion de parents d’élèves de l’établissement du 29 mars 2022.

Les plaignants sont tous membres du personnel enseignant de la défenderesse et employés de celle-ci au sein de l’établissement d’enseignement secondaire Y.

Le 29 mars 2022, une grève est organisée à l’initiative des organisations syndicales représentatives du personnel dans le secteur de l’enseignement.

Ce même 29 mars 2022, une réunion de parents est organisée au sein de la défenderesse afin de permettre aux parents des élèves de l’école de rencontrer individuellement les professeurs.

Par un courriel du 25 mars 2022, la direction de la défenderesse a interpellé l’ensemble de ses enseignants en ces termes : « Comme vous le savez, la réunion des parents aura lieu ce 28 mars 2022 (lire 29 mars 2022). Or, la grève aura lieu ce mardi également. Je demande à ceux qui comptent faire grève de me le signaler pour ce lundi à 9h au plus tard afin que je signale votre absence aux éducateurs et aux parents. En revanche, si vous vous absentez, vous devrez assurer la permanence parents ce jeudi à partir de 15h30 en lieu et place de ce mardi, à moins que vous ne participiez quand même à la réunion des parents ».

Le 29 mars 2022, la direction de la défenderesse informe les parents des élèves des modalités d’organisation de la réunion de parents du même jour. Un courrier est communiqué aux parents d’élèves par courriel avec une liste des professeurs.  Au regard des noms des professeurs ayant annoncé à la direction leur participation à la grève, la mention « gréviste » est apposée. Pour les autres professeurs absents lors de la réunion de parents, il est indiqué « abs », sans précision du motif de leur absence.

Quant aux principes de licéité et de minimisation (article 5.1.a) et 5.1.c) du RGPD ainsi que les articles 6 et 9 du RGPD)

Tout traitement de donnée à caractère personnel doit, en exécution du principe de licéité consacré à l’article 5.1. a) du RGPD, s’appuyer sur une des bases de licéité de l’article 6.1. du RGPD. Lorsque le responsable de traitement traite une donnée qui ressort des « catégories particulières de données », il doit en sus respecter les conditions de l’article 9 du RGPD lu en combinaison avec l’article 6 du RGPD.

L’article 6 du RGPD prévoit ainsi que les données à caractère personnel peuvent être traitées si leur traitement peut valablement s’appuyer sur un des 6 fondements qu’il liste soit : le consentement de la personne concernée (article 6.1.a)), l’exécution du contrat ou de mesures précontractuelles prises à la demande de la personne concernée (article 6.1.b)), l’exécution d’une obligation légale (article 6.1.c)), l’intérêt vital de la personne concernée (article 6.1.d)), l’exécution de l’autorité publique ou de la mission d’intérêt public dont est investie le responsable de traitement (article 6.1. e)) ou encore l’intérêt légitime (article 6.1.f)). Dans tous les cas, le traitement des données doit être nécessaire.

L’article 9 du RGPD (catégories particulières de données) prévoit pour sa part n son § 1er , une interdiction de traitement des données dites « sensibles » en ces termes : « le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, ls convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétique, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ». Le considérant 51 qui explicite l’article 9 du RGPD précise notamment que « outre les exigences spécifiques applicables à ce traitement [lisez le traitement de ces catégories particulières de données], les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement ». En d’autres termes l’application de l’article 9.2. du RGPD qui autorise le traitement des dites données dans certains cas doit être lu en combinaison avec l’article 6.1. du RGPD qui requiert que tout traitement s’appuie sur l’une des 6 bases de licéité qu’il énonce.

En conséquence, il est essentiel avant de pouvoir considérer qu’une base de licéité fait ou non défaut comme le dénonce les plaignants de qualifier les données traitées pour déterminer si le respect seul de l’article 6 RGPD doit être vérifié ou si, en présence de données relevant de l’article 9.1. du RGPD (soit de données qualifiées de « sensibles »), c’est le respect de l’article 9.2 lu en combinaison avec l’article 6 du RGPD qu’il convient de contrôler.

En l’espèce, il n’est pas contesté que la mention « gréviste » accolée à l’identité des plaignants et d’autres membres du personnel consiste en une donnée à caractère personnel concernant ces derniers au sens de l’article 4.1. du RGPD. En effet, il s’agit d’une information se rapportant à des personnes physiques directement identifiées puisque la mention est apposée en regard de leurs nom et prénom. Il n’est pas non plus contesté que la communication opérée par la défenderesse via son courriel du 29 mars 2022 adressé aux parents d’élèves est un traitement au sens de l’article 4.2. du RGD. Il s’agit en effet d’une communication effectuée en l’espèce à l’aide de procédés automatisés.

Les points de vue des parties divergent en revanche sur la question de savoir si le qualificatif « gréviste » relève ou non de l’article 9.1. du RGPD, plus particulièrement s’il révèle, au sens de cette disposition, l’appartenance syndicale des plaignants.

La Chambre Contentieuse relève que pour être couverte par l’article 9 du RGPD, l’information de la qualité de gréviste doit révéler l’appartenance syndicale. La Chambre Contentieuse est d’avis que le fait d’être gréviste ne révèle pas cette appartenance. L’appartenance syndicale consiste en effet en une affiliation syndicale, ce que la version anglaise du RGPD traduit mieux encore que le terme français d’ « appartenance ». La version anglaise retient les termes de « trade-union membership » qui traduit l’idée que la personne concernée est membre « member ») d’un syndicat. La version néerlandaise aussi mentionne clairement le fait d’être affilié à un syndicat en recourant au terme « lidmaatschap » soit qui est « lid », soit qui est « membre ». Or, le droit de grève est ouvert à tous les travailleurs qu’ils soient ou non affiliés à un syndicat. Une grève ne doit par ailleurs pas nécessairement être organisée à l’initiative d’un syndicat. En d’autres termes, un participant à une grève n’est pas nécessairement membre d’un syndicat. Il peut l’être mais le cas échéant, sa participation à la grève ne le révèle pas. En d’autres termes, être gréviste ne révèle pas une appartenance syndicale. La Chambre Contentieuse considère par ailleurs que le fait de déduire qu’une personne, du fait de sa participation à une grève, appartiendrait nécessairement à un syndicat constituerait une déduction contraire au principe d’exactitude des données consacré à l’article 5.1.c) du RGPD.

La Chambre Contentieuse en conclut que la mention de la qualité de gréviste des plaignants ne consiste pas en un traitement de donnée révélant l’appartenance syndicale au sens de l’article 9.1 du RGPD. La Chambre Contentieuse est en revanche d’avis que la qualification de « gréviste » peut être considérée comme une donnée « à caractère hautement personnel » au sens que le Comité européen de la protection des données (CEPD) a donné à ce concept dans ses Lignes directrices relatives à l’analyse d’impact relative à la protection des données (AIPD)

Le CEPD y souligne qu’ au-delà des dispositions du RGPD, certaines catégories de données peuvent être considérées comme augmentant le risque possible pour les droits et libertés des personnes. Elles sont « sensibles » au sens commun du terme et nécessitent une attention particulière lorsqu’elles sont traitées, la philosophie du RGPD étant caractérisée par une approche sur le risque et sur la prise de mesures destinées à les prendre en compte et les minimiser.

La Chambre Contentieuse ajoute surabondamment qu’elle ne partage en revanche pas le point de vue de la défenderesse selon lequel l’article 9.1. du RGPD devrait, par principe, être interprété restrictivement, Dans un arrêt du 1er août 2022, la Cour de Justice de l’Union européenne ( CJUE) a en effet clairement précisé qu’ « (…) une interprétation large des notions de « catégories particulières de données à caractère personnel » et de « données sensibles » est confortée par l’objectif de la directive 95/46 et du RGPD, rappelé au point 61 du présent arrêt, qui est de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel les concernant (voir, en ce sens, arrêt du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, point 50) ». La Cour ajoute que « l’interprétation contraire irait, qui plus est, à l’encontre de la finalité de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, consistant à assurer une protection accrue à l’encontre de traitements qui, en raison de la sensibilité particulière des données qui en sont l’objet, sont susceptibles de constituer, ainsi qu’il ressort du considérant 33 de la directive 95/46 et du considérant 51 du RGPD, une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte [voir, en ce sens, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C-136/17, EU:C:2019:773, point 44] ».

 En l’espèce, la Chambre Contentieuse considère que cette interprétation même large (et non pas restrictive comme le postule la défenderesse) ne permet pas de considérer que la qualité de gréviste révèle, même indirectement, l’appartenance syndicale et devrait dès lors être considérée comme une donnée sensible au sens de l’article 9.1. du RGPD. Ainsi que la Chambre Contentieuse elle l’a exposé, cette qualification s’appuierait sur la prémisse erronée que tout gréviste est syndiqué et serait par ailleurs contraire au principe d’exactitude des données comme également déjà mentionné.

Dès lors que la défenderesse ne traitait pas de donnée sensible, l’article 9 du RGP n’est pas d’application. L’appréciation de la Chambre Contentieuse quant à la licéité du traitement de la donnée « gréviste » se fera donc au départ du seul l’article 6.1. du RGPD et des principes généraux énoncés à l’article 5 du RGPD et non au départ de l’article 9.2. lu en combination avec l’article 6 du RGPD.

Au titre de base de licéité, la défenderesse indique que la communication litigieuse s’inscrivait dans le cadre de l’exécution de sa mission d’intérêt public d’enseignement et qu’elle était dès lors fondée à s’appuyer sur l’article 6.1.e) du RGPD qui autorise le traitement de données lorsque « le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

La mobilisation de l’article 6.1.e) du RGPD présuppose la réunion des conditions ci-dessous que la Chambre Contentieuse s’emploiera à vérifier : – Le responsable de traitement doit, conformément à l’article 6.3.b) du RGPD lu à la lumière des considérants 41 et 45, être investi de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique en vertu d’une base légale, que ce soit en droit de l’Union européenne ou en droit de l’Etat membre ; – Les finalités du traitement doivent être nécessaires à l’exécution de la mission d’intérêt public ou de l’exercice de l’autorité publique.

Le considérant 41 apporte des éclaircissements sur la qualité de cette base légale. : :« Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciable.

Cette exigence de prévisibilité implique que certains éléments constitutifs du traitement soient inscrits dans la base légale, dont notamment la finalité du traitement.

Quant à l’exigence de nécessité (le traitement n’est licite que si et dans la mesure où il est nécessaire à l‘exécution de la mission d’intérêt public pour ne prendre qu’une des hypothèses visées par l’article 6.1.du RGPD), la Chambre Contentieuse a déjà souligné que la législation ne contient souvent pas de disposition spécifique aux traitements de données nécessaires. Les responsables de traitement qui souhaitent invoquer l’article 6.1.e) du RGPD en vertu d’une telle base légale doivent alors effectuer eux-mêmes une pondération entre la nécessité du traitement pour la mission d’intérêt public et les intérêts des personnes concernées.

La Chambre Contentieuse considère qu’un établissement scolaire tel celui de la défenderesse est assurément investi d’une mission d’intérêt public au sens de l’article 6.1. e) du RGPD. La mission publique d’enseignement d’un établissement scolaire telle la défenderesse inclut la communication avec les parents au sujet du vécu de leur enfant dans l’établissement.

La Chambre Contentieuse considère que l’organisation de réunion de parents dans une école secondaire nécessite que les parents soient informés de là où ils pourront rencontrer le ou les professeurs présents de leurs enfants, ces professeurs étant différents selon les matières dispensées.

La Chambre Contentieuse est d’avis que l’organisation de la réunion de parents d’élèves du 29 mars et la communication de la présence ou de l’absence de l’un ou l’autre professeur que les parents souhaiteraient rencontrer participe de l’exécution de la mission publique d’enseignement de la défenderesse. Cette communication poursuit une finalité légitime et nécessaire à l’exécution de cette mission qui trouve son fondement dans différents textes de loi encadrant l’exercice par un établissement scolaire de sa mission d’enseignement, en ce compris la communication avec les parents d’élèves quant à la scolarité de leur enfant.

Quant à la nécessité du traitement de la donnée « gréviste » :

S’agissant en revanche de la communication de la qualité de gréviste des plaignants, la Chambre Contentieuse considère qu’elle n’était pas nécessaire à la réalisation de la finalité du traitement qui consistait à indiquer aux parents quels seraient les professeurs présents qu’ils pourraient rencontrer lors de la réunion de parents du 29 mars 2022. A cet égard, seule la mention de l’absence de certaines enseignants, pour quelque motif que ce soit, eu été suffisante.

La Chambre Contentieuse est à cet égard d’avis qu’il suffisait pour la défenderesse de mettre en place une information générale selon laquelle, pour ce qui concernait les professeurs absents, un autre moment à convenir pourrait être fixé.

En conclusion, il ressort de ce qui précède que la défenderesse a communiqué aux parents d’élèves une donnée personnelle relative aux plaignants qui n’était pas nécessaire à la finalité qu’elle poursuivait. Sur cette base, la Chambre Contentieuse conclut que la défenderesse s’est rendue coupable d’un manquement à l’article 6.1.e) du RGPD et plus généralement à l’article 6 du RGPD – aucune autre base de licéité ne pouvant être mobilisée par la défenderesse par ailleurs – combiné à l’article 5.1.c) du RGPD.

(Autorité de protection des données (Belgique), Chambre Contentieuse, Décision quant au fond 49/2023 du 28 avril 2023 – Numéros de dossiers : DOS-2022-02905 – DOS-2022-02908 – DOS-2022-02910 –DOS-2022-02912 – DOS-2022-02915; texte original: https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-49-2023.pdf)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)