La décision 10143261 prise le 21 mai 2025 par le Garante per la protezione dei dati personali (autorité italienne de protection des données) porte sur l’utilisation, par Autostrade per l’Italia S.p.A. (ASPI), responsable de traitement et employeur, de captures d’écran issues des Facebook, Messenger et WhatsApp d’une employée, et ce à des fins disciplinaires.

L’affaire trouve son origine dans une plainte déposé par une salariée contestant deux procédures disciplinaires engagées contre elle par son employeur, ASPI, en février et mars 2024. Les griefs portaient notamment sur des contenus publiés sur son compte Facebook privé, des échanges via Messenger avec un tiers, ainsi que des messages envoyés à des collègues via WhatsApp, tous utilisés par ASPI pour motiver les mesures disciplinaires. La salariée arguait d’un traitement illicite de ses données à caractère personnel.

Le Garante a ouvert une enquête, sollicitant des précisions à l’entreprise. ASPI a répondu que ces contenus avaient été transmis spontanément par des tiers : un collègue « ami Facebook » de la plaignante pour les publications Facebook, un tiers extérieur pour les messages Messenger, et un autre collègue pour les échanges WhatsApp. L’entreprise affirmait ne pas avoir activement recherché ces données, les ayant seulement reçues, et invoquait l’article 6.1.f du RGPD (intérêt légitime) pour justifier leur traitement, dans le cadre de sa gestion contractuelle et de l’exercice de ses droits en cas de contentieux lié au licenciement.

Le Garante a vérifié qu’aucune litispendance ne s’opposait à l’examen de la plainte, bien qu’un recours parallèle ait été engagé par l’intéressée devant le tribunal du travail de Trani. Constatant l’absence d’identité d’objet et de cause, il a jugé la plainte recevable.

Le Gante a notamment établi que l’utilisation des contenus litigieux, bien que reçus passivement, constituait un traitement de données personnelles au sens du RGPD. Le fait que les contenus aient été obtenus sans recherche active de l’employeur n’exclut pas leur qualification de traitement, ni la nécessité d’une base légale au traitement.

Par ailleurs les commentaires Facebook étaient publiés sur un profil fermé, accessible uniquement à des « amis », ce qui créait une attente raisonnable de confidentialité. De même, les messages Messenger et WhatsApp, échanges privés entre personnes déterminées, relèvent de la correspondance protégée par l’article 15 de la Constitution italienne et l’article 8 CEDH. L’entreprise aurait donc dû effectuer un test de proportionnalité rigoureux, démontrant que le traitement était nécessaire et qu’il ne portait pas atteinte de manière excessive aux droits fondamentaux de la salariée. Aucun élément probant de ce test n’a été produit.

Le Garante a aussi rappelé que même des données accessibles sur Internet ou sur des réseaux sociaux ne sont pas utilisables à toutes fins, en dehors de leur finalité initiale, sans respecter les principes de licéité, proportionnalité et finalité. Il a rappelé la jurisprudence de la Cour de justice de l’UE  selon laquelle les droits fondamentaux prévalent sur les intérêts du responsable du traitement, notamment si l’intéressé ne peut raisonnablement s’attendre à un tel traitement.

Le Garante aussi examiné si les informations traitées étaient pertinentes pour l’évaluation de l’attitude professionnelle. Il en est résulté que les propos de la salariée, exprimés dans un cadre personnel ou associatif, sur des sujets environnementaux ou institutionnels, n’étaient pas liés à sa fonction d’agent de péage. Par conséquent, leur utilisation à des fins disciplinaires violait les principes d’adéquation et de pertinence du traitement dans le contexte professionnel. De plus, le Garante a estimé que l’argument de l’intérêt légitime ne pouvait justifier une collecte de données concernant des opinions ou des faits extérieurs à l’activité professionnelle, ni justifier l’utilisation de données obtenues de manière indirecte pour constituer un faisceau de preuves disciplinaire.

En conséquence, le Garante a déclaré illicite le traitement réalisé par ASPI, en ce qu’il portait sur des données personnelles issues de communications privées ou de publications restreintes, non pertinentes à l’exécution du contrat de travail, sans base juridique valable et en violation manifeste des articles 5.1.a), b), c), 6 et 88 du RGPD, ainsi que de l’article 113 du Code italien.

Il a aussi précisé que l’existence d’une “Social media policy” adoptée par l’entreprise ne saurait légitimer un tel traitement, dès lors que la salariée n’avait pas enfreint ladite politique, n’ayant pas divulgué de contenus internes ni mentionné le nom de l’employeur.

Sur la base de l’article 58.2 du RGPD, l’Autorité a adopté une mesure corrective, à savoir une ordonnance d’injonction assortie d’une amende administrative, dont le montant a été établi selon les critères de l’article 83 du RGPD. En particulier, la violation a été jugée grave, touchant des principes fondamentaux du traitement. L’Autorité a pris en compte la coopération de la société comme circonstance atténuante, mais aussi l’existence d’un précédent sanctionné en 2023 (violation des articles 12 et 15 du RGPD). L’évaluation de la sanction a aussi pris en considération la situation économique d’ASPI et l’exigence de dissuasion.

La décision conclut à la condamnation d’ASPI pour traitement illicite des données personnelles d’une salariée, en raison de l’usage de contenus privés sans base légale valable et sans démonstration d’un intérêt légitime prépondérant. Elle rappelle aux employeurs l’exigence stricte de proportionnalité, de finalité précise et de protection de la vie privée dans la gestion des données personnelles en contexte disciplinaire.

La décision originale (en italien) est accessible ici : https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10143261

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et intelligence artificielle