La décision 10112709 prise le 30 janvier 2025 par le Garante per la protezione dei dati personali concerne un incident de communication de données sensibles au sein d’un hôpital public, plus précisément le partage involontaire d’informations sur le statut vaccinal de deux employés sur une adresse email partagée (décision : https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10112709).

Les faits à l’origine de cette affaire sont les suivants :

Une salariée d’un établissement hospitalier public situé à Turin a saisi le Garante d’une plainte après avoir reçu, sur la boîte mail partagée de son service, un courriel émis par le service du personnel. Ce message contenait des informations sur sa propre situation vaccinale (COVID) et sur celle d’un collègue non vacciné, suspendu pour cette raison. Cette boîte mail, utilisée par plusieurs membres du service du délégué à la protection des données (DPO), permettait donc à chacun d’eux de consulter le contenu du message et ainsi de connaître les données sensibles de leurs collègues. L’employée a considéré que cela constituait une communication illicite de données personnelles.

Le Garante a étudié attentivement le déroulement des faits, les textes applicables, et les arguments de défense présentés par l’établissement concerné. Son raisonnement s’appuie en premier lieu sur les règles générales de protection des données prévues par le Règlement général européen sur la protection des données (RGPD), ainsi que par le Code italien de la protection des données. Ces textes imposent que les données à caractère personnel soient traitées uniquement lorsque cela est nécessaire et fondé sur une base légale claire. Le traitement des données sensibles, telles que les données de santé, doit faire l’objet de précautions supplémentaires, tant sur le fond (motif légitime et prévu par la loi) que sur la forme (modalités de traitement, personnes autorisées, sécurité).

Dans le cas présent, le Garante a considéré que le choix d’utiliser une adresse e-mail partagée, même pour des raisons pratiques ou d’urgence, ne répondait pas aux exigences de la réglementation. Le fait que les collègues aient pu prendre connaissance de leurs situations vaccinales respectives a été jugé inapproprié, car ces informations ne devaient être accessibles que par les personnes strictement habilitées à en connaître dans le cadre de leurs fonctions. La règle est claire : même au sein d’une organisation, des informations sensibles sur un salarié ne peuvent être partagées qu’avec les agents expressément autorisés, en lien direct avec le traitement concerné. La communication en cause, bien qu’interne, a été considérée comme une atteinte à la vie privée des deux intéressés.

Pour sa défense, l’hôpital a fait valoir plusieurs éléments. Il a notamment expliqué qu’il s’agissait d’un cas isolé, survenu en période de forte pression due à la pandémie de Covid-19, et que l’envoi de la communication visait à éviter une confusion liée à une homonymie entre les adresses e-mail des salariés. Il a également souligné que le contenu du message était bref, qu’il ne mentionnait pas expressément le Covid ni ne détaillait les raisons médicales de la suspension, et que l’erreur avait été commise de bonne foi, dans un contexte d’urgence, en soirée, à la veille des congés de Noël. Par ailleurs, des mesures correctrices ont été prises après coup, comme la création de nouvelles adresses électroniques « alias » plus sécurisées, et l’introduction de procédures internes renforcées.

Le Garante a pris en compte ces éléments d’atténuation. Il a reconnu que l’établissement avait collaboré loyalement durant l’instruction, et que l’incident était ponctuel. Néanmoins, il a estimé que ces arguments ne suffisaient pas à écarter la qualification de violation des règles de protection des données. En effet, selon lui, l’information aurait pu – et dû – être transmise par un autre canal, confidentiel, sans exposer deux salariés à une divulgation mutuelle de leurs informations médicales. Le Garante a rappelé à cette occasion que, depuis 2007, les lignes directrices en matière de protection des données des salariés précisent que les employeurs doivent empêcher que des informations sensibles circulent de manière non contrôlée, même à l’intérieur de l’administration.

Le Garante a ainsi conclu à l’existence d’un traitement illicite des données, en violation notamment des articles 5, 6 et 9 du RGPD. L’établissement, bien que dans son rôle de vérification des obligations vaccinales imposées par la loi en période de pandémie, aurait dû mettre en place des mesures techniques et organisationnelles appropriées pour éviter cette communication indue. À cet égard, la responsabilité du choix du canal de communication incombe clairement au responsable du traitement, c’est-à-dire ici à l’administration hospitalière.

La sanction prononcée est une amende administrative de 6.000 euros. Ce montant tient compte de plusieurs facteurs, notamment la portée limitée de la violation (deux personnes concernées), l’absence d’intention malveillante, le contexte exceptionnel lié à la gestion de l’urgence sanitaire, la coopération de l’établissement pendant l’instruction, mais aussi l’existence d’antécédents en matière de non-conformité aux règles de protection des données, même s’ils concernaient d’autres domaines. La décision prévoit également que l’ordonnance soit publiée sur le site du Garante, en raison de la sensibilité des données en cause et de l’intérêt à sensibiliser les organismes publics sur ces pratiques.

En résumé, cette affaire met en lumière la vigilance que doivent observer les employeurs – publics comme privés – dans le traitement des données personnelles de leurs salariés, surtout lorsqu’il s’agit d’informations de santé. Elle rappelle que la bonne foi ne suffit pas à exclure la responsabilité juridique d’un traitement mal encadré. L’utilisation d’outils numériques courants, comme les boîtes mail partagées, doit faire l’objet d’une attention rigoureuse, et être accompagnée de procédures strictes pour garantir la confidentialité des données.

Me Philippe Ehrenström, avocat, LLM