La personne concernée est un employé de la municipalité de Vérone (responsable de traitement). Par courrier électronique, la personne concernée a demandé au responsable du traitement de lui fournir un nouveau masque FFP2 et a mentionné son état de santé.

Lorsqu’un fonctionnaire municipal a répondu au courriel, il a mis en copie le compte de messagerie du service où travaillait la personne concernée, compte partagé par six autres personnes. Dans sa réponse, le fonctionnaire a mentionné le fait que la personne concernée souffrait de certaines maladies et a aussi fait référence à la loi italienne régissant les prestations d’invalidité ( loi 104/1992 – Legge 104/1992 ), ce qui implique que la personne concernée y avait droit.

La personne concernée a déposé une plainte auprès de l’autorité de protection des données italienne (APD ; Garante per la protezione dei dati personali).

Le responsable de traitement a fait valoir qu’il n’avait fait référence à la loi 104 que de manière toute générique, sans préciser spécifiquement qu’elle s’appliquait à la personne concernée. De plus, il a souligné qu’après avoir constaté l’erreur, son responsable n’avait envoyé des communications ultérieures qu’à la personne concernée.

L’APD, dans une décision 10068155 publiée le 26.09.2024 présentée, traduite et commentée sur gdprhub (https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10068155&mtc=today) considère notamment ce qui suit :

La référence faite à la loi italienne 104/1992, notoirement connue en Italie pour donner droit à des prestations d’invalidité, combinée à la référence faite au fait que la personne concernée souffrait de « maladies », suffit à considérer que le courrier électronique contenait des données de santé telles que définies par l’article 4(15) du RGPD .

Par ailleurs, conformément au principe de minimisation des données, le responsable de traitement ne doit partager des données personnelles avec ses employés que lorsque tel employé spécifique a besoin de connaître les informations.

L’APD a estimé que dans le cas présent, cela n’avait pas été le cas, puisque les données avaient été communiquées à tous les employés du service, qui n’avaient pas besoin de connaître l’état de santé et le handicap de la personne concernée. L’APD a souligné que la connaissance préalable par les collègues de l’état de santé de la personne concernée n’était pas pertinente.

Par conséquent, l’APD a constaté une violation des articles 5 , 6 et 9(2)(b) du RGPD et de l’article 2-ter du Code italien de protection des données et infligé une amende de Euros 10’000.— Elle a aussi ordonné au responsable de traitement de mettre en œuvre des mesures appropriées pour empêcher la circulation interne non autorisée de données de santé des employés, même lorsque ces informations peuvent déjà être connues des collègues par le biais d’interactions sur le lieu de travail.

Me Philippe Ehrenström, avocat, LLM