L’employeur doit expliquer pourquoi il ne peut pas répondre à une demande de droit d’accès aux données

Publié le 20 juin 2024 par Me Philippe Ehrenström

Le 7 juillet 2022, la personne concernée a déposé une plainte auprès de l’autorité de protection des données italienne (APD ; Garante per la protezione dei dati personali) contre son ancien employeur (responsable de traitement).  Au cours de son travail, la personne concernée a suivi des cours de sécurité. A la fin de ceux-ci, un certificat a été délivré. Après avoir mis fin à ses fonctions, la personne concernée a déposé une demande d’accès auprès du responsable du traitement. Il avait l’intention d’avoir une copie de ses données personnelles, y compris ses certificats.

Le responsable du traitement n’a que partiellement répondu à sa demande. Elle a transmis à la personne concernée une copie du certificat médical délivré par le médecin du travail, mais pas les autres certificats qui lui avaient été délivrés. Le 7 juin 2022, le responsable du traitement a fait valoir qu’après la rupture du contrat de travail, il les avait supprimés, car il n’était plus obligé de les conserver et qu’ils contenaient des données sensibles.

Cependant, le 28 juin 2022, le responsable du traitement a indiqué également et de manière contradictoire à la personne concernée qu’elle disposait toujours des certificats, mais qu’elle les supprimerait puisqu’elle n’était plus un employé de cette entreprise.

Dans une décision 10021452 du 24.04.2024 (présentée et commentée sur gdprhub : https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10021452&mtc=today), l’APD considère notamment ce qui suit :

Les informations contenues dans les certificats de sécurité de la personne concernée entrent dans la définition des données personnelles au sens de l’article 4, paragraphe 1, du RGPD .

Le responsable du traitement n’avait pas répondu rapidement et complètement à la demande d’accès de la personne concernée. Le responsable du traitement n’avait pas réussi à envoyer à la personne concernée une copie de ses certificats.

Même si le responsable du traitement ne conservait plus les certificats, il aurait dû fournir à la personne concernée les raisons précises de son inaction et l’informer de la possibilité de déposer une plainte auprès de l’autorité de contrôle ou de demander un recours judiciaire, comme le prévoit l’article 12, paragraphe 4, du RGPD .

Par conséquent, l’APD a constaté une violation de l’article 12 du RGPD en combinaison avec l’article 15 du RGPD et a infligé une amende de 10 000 €.

Me Philippe Ehrenström, avocat, LLM

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire