Le RGPD s’applique également aux questions RH

Le règlement général sur la protection des données (RGPD) s’applique également aux relations entre l’employeur et ses travailleurs. Cela signifie, par exemple, que les informations relatives à l’état de santé d’un travailleur doivent être examinées lors de réunions restreintes et non divulguées à tout vent.

Réunion

Madame A travaille pour la société X et est mise en incapacité de travail pour cause de maladie.
Durant une réunion du département auquel elle est affectée, le chef dudit département informe les collaborateurs que madame A est absente depuis un certain temps et annonce son départ. Il donne lecture d’un document rédigé par le service de prévention qui indique que madame A n’est plus apte à travailler pour la société X.
Contactée par des collègues souhaitant avoir de ses nouvelles, madame A est mise au courant des informations divulguées.

Madame A apprend, un peu plus tard, que tout ce qui a été dit lors de cette réunion a été consigné dans le procès-verbal de cette dernière. Le procès-verbal mentionne qu’elle est absente depuis plusieurs semaines, que dans son rapport, le conseiller en prévention la déclare inapte au travail et qu’il est mis fin à la collaboration. Le procès-verbal a été envoyé par e-mail à plusieurs collaborateurs d’autres départements et finit par être publié sur un serveur auquel ont accès tous les collaborateurs de l’entreprise.

Ce dossier est porté devant l’Autorité de protection des données (APD) qui est en quelque sorte le tribunal de première instance en matière de RGPD. Devant l’APD, le responsable du département déclare pour sa défense qu’au cours de la réunion en question, vu le caractère délicat du rapport du service de prévention, il a préféré lire le texte mot pour mot plutôt que de le paraphraser. Cette réunion avait précisément pour objectif d’informer son équipe.

Données

L’APD se réfère à la directive RGPD de 2016 sur laquelle sont basées les législations RGPD nationales. Cette directive européenne contient deux dispositions essentielles. Le RGPD s’applique entre autres :

dès lors qu’il est question de données à caractère personnel, c’est-à-dire toute information concernant une personne physique identifiée ou identifiable ;

dès lors qu’il est question de données concernant la santé : c’est-à-dire les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Il ne fait en l’espèce aucun doute que les données divulguées répondent à ces deux définitions. Le bien-être (physique ou mental) d’un membre particulier du personnel a été abordé lors d’une réunion d’équipe au cours de laquelle son nom a été mentionné. Son absence durant plusieurs semaines y a également été évoquée. La personne était donc incontestablement identifiable.
Tel qu’il ressort du procès-verbal, une partie de la réunion a d’ailleurs été consacrée à la question de savoir qui occuperait son bureau et ce qu’il fallait faire de ses effets personnels.

Il ne fait aucun doute non plus que des données relatives à la santé de madame A ont été partagées puisqu’il a été donné lecture du rapport du service de prévention. Ce document contient des informations concernant le fait que madame A a été déclarée inapte au travail. Aucune explication n’a été donnée concernant la pathologie physique ou psychique proprement dite de madame A. Le service de prévention n’est d’ailleurs pas autorisé à divulguer ce type de données. Il n’empêche que des informations concernant la santé de madame A ont été partagées, et c’est là un élément suffisant. Les informations concernant l’absence de madame A depuis quelque temps pour cause de maladie et le contrôle médical dont elle a fait l’objet auprès du service de prévention constituent des données relevant de la catégorie des « données concernant la santé ».

Traitement des données

La directive décrit le traitement des données comme toute opération ou tout ensemble d’opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Le procès-verbal d’une réunion répond à cette définition.
L’APD reconnaît qu’elle n’a pu obtenir aucune confirmation concernant la diffusion du procès-verbal par e-mail et la publication de ce document sur un serveur auquel ont accès tous les collaborateurs de l’entreprise (même si ces opérations n’ont pas été contestées par le responsable du département). Si ces opérations ont été effectuées, elles ne constituent qu’un traitement de données supplémentaire.

À qui incombe la responsabilité ?

Madame A avait introduit une plainte contre Z, le responsable du département. Dans sa plainte, elle n’avait nullement mentionné le fait que Z travaillait au sein de la société X.
La société peut-elle dès lors être mise en cause ?

L’APD souligne qu’il est parfois difficile pour un plaignant d’identifier le responsable du traitement. En principe, une infraction est toujours commise par une personne physique. Il n’empêche que c’est généralement l’organisation et non la personne qui doit être considérée comme le responsable du traitement. À moins qu’il n’ait réellement outrepassé ses pouvoirs – ce qui n’est nullement prouvé en l’espèce –, le responsable n’est pas le chef de service. C’est donc la société et non l’un de ses chefs de service qui est le responsable du traitement et qui, par conséquent, est sanctionnée en cas de violation du RGPD.

Exceptions

Tous les traitements de données à caractère personnel ne sont toutefois pas interdits. Le traitement des données à caractère personnel n’est autorisé que pour des finalités déterminées. Cette règle vise également les données relatives à la santé, pour autant toutefois que des mesures supplémentaires soient prises concernant leur accessibilité.
Ce qui n’a pas été fait en l’espèce. Le traitement des données par le service du personnel était correct jusqu’au moment où le responsable du département a donné lecture du rapport du service de prévention, et où les informations divulguées ont été consignées dans le procès-verbal. Une limite a alors été franchie. 

Au final, la société ne s’est vu adresser qu’une admonestation.
Cette affaire montre néanmoins que ce type de données doit être traité avec la plus grande discrétion. Il existe d’autres moyens d’informer les collaborateurs que l’un de leurs collègues ne fait plus partie du personnel en raison de certaines circonstances. Il n’est pas nécessaire de divulguer son historique médical.