L’auteur de ces lignes considère les groupes WhatsApp comme une vraie malédiction.

Tout le monde, et chacun, en constitue pour les raisons les plus diverses, au travail, dans les groupes de parents d’élèves, au club de sport, parmi les propriétaires de teckels, que sais-je encore.

Les réticents, les luddites, les technophobes se transforment en pestiférés s’ils ne veulent pas être dérangés toutes les deux minutes par des notifications sans importance à propos de questions sans urgence. Et quand l’employeur s’y met, c’est évidemment encore pire, sans compter les utilisations parasites ou inappropriées de ces canaux (ce qui se produit dans à peu près 100% des cas…)

C’est dire la satisfaction, et le contentement, que l’on peut ressentir à la lecture de la décision de l’autorité espagnole de protection des données (APD), EXP202310848 du 1^er mai 2025, présentée, traduite et commentée sur gdprhub (https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202310848&mtc=today):

La personne concernée, une ancienne employée du responsable du traitement [l’employeur], devait effectuer des communications professionnelles avec son téléphone portable personnel. Elle a demandé un appareil professionnel pour effectuer ces communications, mais le responsable du traitement ne le lui a jamais fourni.

Le 11 mai 2023, la personne concernée a envoyé un courriel à la direction indiquant explicitement qu’elle cesserait d’utiliser son téléphone personnel pour des raisons professionnelles dès le début de ses congés. Elle a également annoncé son intention de quitter tous les groupes WhatsApp de l’entreprise avant le 12 mai 2023, soit la fin de son dernier jour de travail avant le début de son congé. Malgré ce refus clair, le 5 juin 2023 (alors qu’elle était en congé et utilisait son téléphone personnel), le responsable du traitement a ajouté le numéro personnel de la personne concernée à un groupe WhatsApp de l’entreprise sans préavis ni consentement, par l’intermédiaire d’un responsable de magasin qui connaissait son numéro personnel. La personne concernée a été retirée du groupe le 28 juin 2023, le jour même de son licenciement.

Le responsable du traitement a fait valoir que le groupe WhatsApp était composé uniquement d’employés internes et que les données traitées (noms et numéros) étaient minimes.

Le 10 juillet 2023, la personne concernée a déposé une plainte auprès de la DPA, alléguant un traitement illicite de ses données personnelles pour l’utilisation de son numéro de téléphone portable privé pour des communications professionnelles sans consentement.

Le contrôleur a par la suite reconnu la nécessité de réviser ses pratiques internes et, à compter du 1er septembre 2023, a interdit l’utilisation de téléphones personnels pour les groupes WhatsApp d’entreprise, à moins qu’un appareil de l’entreprise ne soit actif.

La plainte a été initialement rejetée (le 29 septembre 2023), mais rouverte ultérieurement le 16 avril 2024.

L’autorité espagnole de protection des données (APD) a constaté une violation de l’article 6(1) du RGPD. L’APD a estimé que le responsable du traitement avait traité illégalement le numéro de téléphone portable personnel de la personne concernée en l’ajoutant à un groupe de travail WhatsApp sans base légale valable. Aucun consentement n’avait été obtenu au titre de l’article (6)(1) du RGPD , et le responsable du traitement n’a pas démontré que le traitement était nécessaire à l’exécution d’un contrat ou justifié par un autre fondement juridique. La personne concernée avait clairement refusé de continuer à utiliser son numéro privé pour ses communications professionnelles dans un courriel daté du 11 mai 2023, et pourtant le responsable du traitement l’a ajoutée au groupe WhatsApp le 5 juin 2023. L’APD a conclu que cet acte constituait un traitement illicite de données à caractère personnel.

L’APD a rejeté les arguments du responsable du traitement relatifs au consentement implicite et à la nécessité opérationnelle. L’APD a souligné que la « commodité opérationnelle » ne prévalait pas sur l’exigence de licéité du traitement. L’APD a souligné que le responsable du traitement avait admis que certains employés utilisaient des appareils personnels en raison de l’indisponibilité des appareils de l’entreprise, et que cette pratique n’avait été interdite qu’à partir du 1er septembre 2023, soit bien après l’incident.

L’APD a également rappelé au responsable du traitement son obligation, en vertu de l’article 5(2) du RGPD (responsabilité) et de l’article 24 du RGPD, de mettre en œuvre des mesures appropriées et de conserver des enregistrements démontrant la licéité du traitement. En l’espèce, le responsable du traitement n’a pas pu prouver le consentement de la personne concernée ni l’existence d’une autre base légale. L’absence de garanties et de politiques appropriées pour l’utilisation des appareils personnels dans les groupes de messagerie a encore aggravé la situation.

Me Philippe Ehrenström, avocat, LLM