Par son ordonnance d’injonction du 15 avril 2021, l’Autorité Garante pour la protection des données personnelles (le « Garant ») a sanctionné une société travaillant dans le secteur manufacturier car elle n’avait pas informé correctement et de façon précise les travailleurs concernés sur les caractéristiques d’un système informatique utilisé dans cette entreprise. Ce faisant, la société a traité de façon illégale les données des travailleurs, allant au-delà des limites fixées par l’autorisation de l’Inspection du travail territorialement compétente et des finalités indiquées dans les notes d’information communiquées.
La réclamation et l’instruction
Le Garant est intervenu suite à la réclamation présentée par le syndicat FIOM CGIL, sur mandat de certains travailleurs, par laquelle il demandait de prendre une mesure de contrôle et prescriptive à l’encontre de la société employeur. En particulier, on signalait que le système utilisé dans l’entreprise prévoyait l’insertion d’un mot de passe individuel sur l’ordinateur avant de commencer à travailler, ce qui permettait d’archiver les données de chaque travailleur relatives aux arrêts et à la production pendant toute la journée de travail. Par conséquent, selon le syndicat, les données collectées se référant à l’activité de chaque salarié suite à son authentification au moyen du mot de passe, la société, par ce système, collectait également des données désagrégées et pour d’autres finalités, en plus de celles indiquées aux notes d’information communiquées.
À l’issue de l’instruction menée par le Garant, il est apparu, notamment, que le système informatique coexistait avec la précédente modalité d’organisation du travail, consistant à remplir des formulaires papier sur lesquels le nom des salariés était clairement indiqué. Ces formulaires étaient conservés et enregistrés sur un logiciel, mais sans aucune forme de séparation, en violation de ce qui était indiqué dans les notes d’information sur le fonctionnement du système et dans l’autorisation délivrée par l’Inspection du travail, qui avaient expressément interdit l’utilisation des données collectées à des fins disciplinaires. Il était en effet apparu que les données collectées au travers de cet instrument avaient été utilisées pour vérifier la véracité des affirmations d’un salarié au cours d’une procédure disciplinaire ouverte à son encontre.
De plus, des irrégularités sont apparues dans les délais de conservation des données ainsi collectées et traitées, lesquels, selon ce que la société avait déclaré, auraient dû être proportionnés avec ce qui était nécessaire pour « le contrôle/l’évaluation des cycles de production ».
La décision du Garant
À la lumière des informations obtenues, le Garant a ordonné la limitation définitive des traitements effectués au moyen des données collectées au travers du système utilisé, en sommant la société (i) d’aligner son organisation et ses traitements sur le Règlement (UE) 2016/679, également en mettant à jour la note d’information communiquée aux salariés concernés, (ii) de prendre des mesures appropriées de ségrégation des données collectées, aussi bien au travers des formulaires papier qu’au moyen du logiciel, et (iii) de payer la somme de 40 000,00 euros à titre de sanction pécuniaire pour les violations constatées.
Autres insights connexes :
