L’autorité de protection des données finlandaise (APD ; Tietosuojavaltuutetun toimisto ou Dataombudsmannens byrå) a été informée qu’un exploitant de bus (responsable de traitement) avait publié les numéros de téléphone privés de ses chauffeurs de bus sur l’intranet de l’entreprise, bien que ces derniers disposaient également d’un téléphone professionnel personnel. L’APD a alors demandé au responsable du traitement d’expliquer la finalité pour laquelle il traitait les numéros de téléphone personnels de ses chauffeurs.

En réponse à cette demande, le responsable du traitement a précisé qu’il publiait les numéros de téléphone personnels de ses chauffeurs dans l’annuaire téléphonique intranet de l’entreprise parce qu’il était nécessaire que les chauffeurs puissent communiquer entre eux par téléphone pendant leur service. Le responsable du traitement a souligné que chaque employé disposait d’un mot de passe personnel pour l’intranet afin de garantir la protection technique des données à caractère personnel. Selon le responsable du traitement, le traitement était fondé sur l’article 6, paragraphe 1, point b), du RGPD , car il était nécessaire à l’exécution du contrat de travail.

En ce qui concerne les téléphones professionnels distincts, le responsable du traitement a déclaré qu’ils étaient principalement destinés à l’utilisation de données mobiles uniquement, car l’utilisation du téléphone était limitée de sorte qu’il ne pouvait être utilisé que pour passer des appels vers des numéros spécifiquement autorisés, tels que les superviseurs et les numéros d’urgence. Il était donc impossible de communiquer avec d’autres conducteurs pendant la journée de travail en utilisant uniquement le téléphone professionnel.

Dans une décision TSV/206/2022 du 20.06.2024, présentée et résumée sur gdprhub (https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_TSV/206/2022&mtc=today), l’APD a considéré notamment ce qui suit :

L’APD a d’abord noté que lors du traitement des données personnelles de ses employés, l’employeur doit tenir compte de l’exigence de nécessité de l’article 3 de la loi finlandaise sur la protection de la vie privée dans la vie professionnelle (https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L2P3), selon laquelle l’employeur ne peut traiter que les données personnelles directement nécessaires à la relation de travail de l’employé, qui sont liées à l’exercice des droits et obligations des parties à la relation de travail ou aux avantages fournis par l’employeur à l’employé, ou qui découlent de la nature spécifique du travail concerné.

Sur la base des informations fournies par le responsable du traitement, l’APD a par ailleurs estimé qu’il n’était pas nécessaire de divulguer les numéros de téléphone privés des chauffeurs de bus à d’autres chauffeurs de bus. Il aurait été possible pour le responsable du traitement d’organiser la communication entre les chauffeurs de manière moins intrusive, par exemple en utilisant le téléphone professionnel fourni par le responsable du traitement.

L’APD a également constaté que certains employés avaient peut-être vu leur numéro de téléphone privé supprimé d’annuaires librement accessibles par leur fournisseur de prestations. Ainsi, en divulguant le numéro de téléphone d’un employé qui n’était pas dans l’annuaire à d’autres conducteurs, le traitement a pu avoir un impact sur la vie privée de l’employé et donc lui causer un préjudice.

En ce qui concerne la base juridique établie par le responsable du traitement, l’APD a constaté que les parties au contrat de travail sont l’employeur et le salarié. Par conséquent, la divulgation des données personnelles d’un salarié, comme un numéro de téléphone, à d’autres salariés de l’organisation ne peut pas être fondée sur l’article 6(1)(b) du RGPD .

L’APD a conclu que le responsable du traitement avait violé l’article 6(1) du RGPD et l’article 3 de la loi finlandaise sur la protection de la vie privée dans la vie professionnelle . En conséquence, l’APD a adressé un avertissement au responsable du traitement conformément à l’ article 58(2)(b) du RGPD . Sur la base de l’article 58(2)(d) du RGPD, l’APD a également ordonné au responsable du traitement de veiller à ne plus traiter les numéros de téléphone privés de ses employés dans l’annuaire téléphonique intranet de l’entreprise de manière à ce qu’ils soient visibles par les autres chauffeurs de bus.

Me Philippe Ehrenström, avocat, LLM