Le Garant pour la protection des données personnelles (« le Garant »), par une ordonnance d’injonction
du 28 avril 2022 a infligé à une société chargée de gérer le service de collecte des déchets
urbains pour la Commune de Taranto (« la Commune ») une sanction de 200 000 euros, pour avoir confié à un de ses
sous-traitants certains traitements de données personnelles sans avoir demandé ni obtenu
préalablement une autorisation écrite, spécifique ou générale, de la part de la Commune, responsable du
traitement.
En l’espèce, la Commune, suite à l’abandon diffus des déchets sur le territoire
relevant de sa compétence, avait conféré à une société – entièrement détenue par la Commune – des fonctions
de contrôle et de contestation immédiate d’éventuelles infractions dérivant de la violation des
règles municipales en matière d’élimination des déchets. La Commune et la société avaient décidé d’un commun accord
d’installer des systèmes de vidéosurveillance sur les sites considérés
comme particulièrement sensibles, s’agissant de lieux où l’abandon illégal des déchets survenait
le plus fréquemment.
D’après un signalement parvenu au Garant, il ressortait que la société avait diffusé, par
publication sur sa page Facebook, certaines vidéos et images, obtenues au moyen des
systèmes de vidéosurveillance, sur lesquelles étaient identifiés, ou pour le moins identifiables, les citoyens
transgresseurs.

Suite au signalement reçu, le Garant avait ouvert une instruction, de laquelle il ressortait que la société
chargée avait commencé ses activités de traitement en mars 2012, conformément à une ordonnance
municipale sans que, à la lumière de la législation en vigueur, le rapport avec la Commune soit
réglementé. À partir du mois de novembre 2020, elle avait utilisé, pour la collecte des images de vidéosurveillance, les services d’un fournisseur (régulièrement désigné comme sous-traitant pour le traitement des données) sans « l’autorisation écrite, spécifique ou générale, du responsable du traitement (ndr : la Commune) », telle qu’elle est
prévue par l’article 28 du RGPD. C’est seulement en janvier 2022 qu’elle avait signé avec la Commune, conformément à l’art. 28 du RGPD, un « accord pour la protection des données personnelles et la désignation d’un sous-traitant externe pour le traitement ». Et c’est seulement dans cet accord que la Commune avait précisé que « la société, sur autorisation écrite de la Commune, pourrait devoir communiquer ou rendre disponibles les données personnelles dont cette dernière est responsable du traitement à une ou plusieurs tierces parties (sous-traitants) afin de leur confier une partie des activités de traitement ».

Continuez à lire la version intégrale publiée sur Norme & Tributi Plus Diritto de Il Sole 24 Ore.

Sur indication d’un groupe d’associés travailleurs d’une société coopérative, l’Autorité Garante pour la protection des données personnelles le « Garant «) a constaté l’illégalité de certains traitements effectués au moyen de la publication, sur le tableau d’affichage de l’entreprise, d’informations relatives aux évaluations sur leur travail.

En particulier, dans le cadre d’un « jeu-concours pour les associés travailleurs, intitulé « Associés… Regardons-nous les yeux dans les yeux ! » dans le but d’encourager les associés les plus méritants et […] d’éviter les dysfonctionnements », la société coopérative avait l’habitude de publier chaque semaine les évaluations des destinataires, au moyen d’émojis (appelés « émoticônes ») accompagnés de jugements synthétiques (comme, à titre d’exemple, « absentéisme », « simulation de maladie ») placés à côté de l’image et du nom de chacun. Ces informations était visibles non seulement par le travailleur concerné mais aussi par toute personne entrant dans la pièce où se trouvait le tableau d’affichage, y compris les personnes extérieures présentes de façon occasionnelle dans les locaux. Elles avaient pour but de récompenser, en argent, les trois premiers classés.

Les contrôles effectués par le Garant ont fait apparaître le caractère illégal des traitements pour violation des principes fondamentaux de licéité, loyauté et transparence, ainsi que de minimisation des données. Le Garant, en effet, a certes d’une part confirmé que l’employeur peut traiter légalement les informations nécessaires et pertinentes pour la gestion du contrat de travail – y compris les données nécessaires pour évaluer l’exécution correcte de la prestation de travail et/ou exercer son pouvoir disciplinaire (selon les modalités et dans les limites prévues par la réglementation du secteur). Mais il a d’autre part souligné que la mise à disposition systématique de ces informations par affichage au tableau permettait à des personnes (comme des collègues ou des tiers) non habilitées à connaître des informations sur les évaluations et les avis disciplinaires de traiter les données.

De plus, le Garant a confirmé que l’obtention du consentement, dans des circonstances comme celles objet du contrôle, ne peut être considérée comme une base juridique apte à justifier le traitement de données à caractère personnel. Ce car l’asymétrie entre les parties respectives du contrat de travail ne peut présupposer un consentement donné de façon expresse, libre et spécifique et relatif à un traitement spécifiquement déterminé. Le consentement donné au moment de l’approbation de la délibération de l’assemblée, comme le soutient en revanche la société, est « fonctionnellement différent » du consentement aux traitements effectués par la société afférents aux évaluations sur le travail des associés.

Pour tous ces motifs, le Garant a confirmé que « […] soumettre constamment à l’observation des collègues les évaluations sur la qualité du travail effectué ou sur la justesse de la prestation, même dans le cadre d’un jeu-concours public » lèse des aspects comme ceux de la dignité personnelle, de la liberté et de la confidentialité des travailleurs.

◊◊◊◊

La société a déposé un recours contre la décision du Garant, tout d’abord par-devant le Tribunal compétent puis par-devant la Cour de Cassation. Cette dernière, par son arrêt n° 17911/2022, publié le 1^er juin dernier, a rejeté le pourvoi – en confirmant la décision du Garant – et réaffirmé le principe selon lequel « la légalité du traitement présuppose un consentement donné valablement, de façon expresse, libre et spécifique, pour un traitement clairement indiqué ;  ce principe de portée générale s’applique et prévaut dans tout rapport  ».

Contenus corrélés :

• Protection des données et évaluation des résultats : le revers du numérique
• Le droit du travail se connecte aux ESG

Le Tribunal de Venise, par son jugement n° 494/2021, a déclaré que l’entreprise, ayant subi une attaque informatique et contrainte de payer une rançon pour récupérer les données soustraites, peut licencier le salarié qui a navigué de façon répétée sur des sites non sûrs à des fins privées, compromettant ainsi la sécurité interne.

Les faits

Un travailleur, embauché par une société exerçant l’activité d’agence maritime, a été licencié pour juste motif, suite à la procédure disciplinaire légitimement engagée, pour avoir utilisé de façon impropre l’ordinateur de l’entreprise.

Notamment, les griefs formulés par la société à l’encontre du salarié étaient de deux ordres :

1. avoir exercé une activité extra-professionnelle pendant les heures de travail, en consultant son courrier électronique personnel, en visualisant des photos et en navigant de façon répétée et prolongée sur internet, sur des sites d’information, de réservation de voyages et même sur des sites pornographiques. Ce en violation des prescriptions du Règlement adopté dans l’entreprise, compromettant ainsi la sécurité du système informatique et soustrayant du temps à sa prestation de travail (même pendant des journées pour lesquelles il avait demandé l’autorisation d’effectuer des heures supplémentaires) ;
2. avoir, toujours pendant ses heures de travail, rédigé et transmis à des tiers des déclarations au nom de l’entreprise, en abusant du papier à en-tête et du timbre de cette dernière.

Le salarié a contesté le licenciement en invoquant sa nature discriminatoire et de rétorsion, car ayant pour seul objectif de l’exclure car il était représentant syndical dans l’entreprise (« RSA ») et considéré de ce fait comme un « salarié gênant ». Le salarié, de plus, soutenait que les comportements contestés ne pouvaient pas lui être attribués, car l’ordinateur qui lui avait été fourni n’était doté d’aucun mot de passe et, par conséquent, n’importe qui aurait pu y accéder.

La société employeur s’est constituée en justice, en rejetant les revendications du salarié et en soulignant le caractère tout à fait fortuit de la découverte des faits, découverts dans le cadre des contrôles rendus nécessaires par le piratage subi par ses systèmes informatiques et la diffusion d’un virus ransomware.

La décision du Tribunal

Le Tribunal de Venise – confirmant la décision du Juge des référés – a déclaré l’existence d’un juste motif de résiliation et, par conséquent, que le licenciement était légal.

Le Juge saisi a, tout d’abord, souligné que les griefs à l’encontre du salarié avaient été formulés par la société conformément aux dispositions de l’art. 4, du Statut des Travailleurs. Selon cet article, en effet, l’employeur peut légalement obtenir des informations sur les instruments de l’entreprise assignés aux salariés et les utiliser à toutes les fins relatives à la relation de travail (y compris à des fins disciplinaires). Ce à la condition que ces derniers aient reçu une information appropriée quant aux modalités d’utilisation de ces instruments et de déroulement des contrôles, dans le respect des dispositions du Code de la protection des données personnelles. Et la société avait adopté un Règlement sur l’utilisation des instruments fournis aux salariés, ayant dès son adoption été exposé sur le tableau d’affichage et publié dans un dossier spécifique dans le serveur accessible à tous les salariés.

Le Juge a ensuite précisé que, même abstraction faite de l’adoption effective du règlement (objet de contestation de la part du travailleur), ce qui importe en l’espèce est l’utilisation répétée et continue de l’ordinateur, à des fins personnelles évidentes (et non contestées), justifiant la sanction disciplinaire pour les faits reprochés.

Enfin, le Juge a rejeté la contestation du salarié concernant l’inexistence d’un mot de passe personnel sur l’ordinateur. Selon le Juge saisi, en effet, son utilisation impropre était sans aucun doute imputable au salarié en question, étant donné que ce dernier avait : consulté son courrier personnel, réservé des voyages à son nom, utilisé des clés USB personnelles, visité des réseaux sociaux lui étant rattachés, etc.

À la lumière de ce qui est indiqué ci-dessus, selon le Tribunal saisi, les griefs formulés à l’encontre du salarié et légitimement invoqués par l’entreprise, ont été démontrés par les faits et ont été d’une gravité de nature à en justifier le licenciement sur-le-champ.

À la lumière des principes contenus dans la sentence Schrems II de la Cour de Justice du 16 juillet 2020, la Commission européenne, par la Décision n° 2021/914 du 4 juin 2021, a approuvé deux nouvelles séries de Clauses contractuelles standard (« SCC » – Standard Contractual Clauses) qui à compter du 27 septembre prochain devront être insérées dans les contrats pour réglementer un transfert de données personnelles vers des pays en dehors de l’UE ou des organisations internationales. Pour tous les contrats conclus avant cette date, au contraire, une période de transition sera prévue, qui se terminera le 27 décembre 2022, pourvu que les traitements objet des contrats restent inchangés et les « vieilles » clauses garantissent que le transfert de données personnelles soit soumis à des garanties appropriées. Après cette échéance, ces contrats devront également être actualisés sur la base des nouvelles SCC. Pour entrer dans le détail, les nouvelles SCC couvriront les hypothèses de transfert de données personnelles vers des pays en dehors de l’UE ou des organisations internationales qui n’offrent pas un système de protection équivalent à celui assuré par le Règlement (UE) 2016/679 en matière de protection des données personnelles (le « RGPD »). Les nouvelles SCC devront être adoptées en cas de transfert de données personnelles : (i) entre les titulaires du traitement ; (ii) entre un titulaire du traitement et son responsable du traitement ; (iii) entre un responsable du traitement et son (sous-)responsable et (iv) entre un responsable du traitement et son titulaire si ce dernier n’est pas soumis au cadre d’application du RGPD.

Contenus corrélés :

• Privacy Shield : le Comité européen de la protection des données (EDPB) a publié des FAQ sur l’arrêt Schrems de la CJUE
• Privacy Shield (ndt : Bouclier de Protection des Données) : la Cour de Justice Européenne annule l’Accord UE – USA

Par son ordonnance d’injonction du 15 avril 2021, l’Autorité Garante pour la protection des données personnelles (le « Garant ») a sanctionné une société travaillant dans le secteur manufacturier car elle n’avait pas informé correctement et de façon précise les travailleurs concernés sur les caractéristiques d’un système informatique utilisé dans cette entreprise. Ce faisant, la société a traité de façon illégale les données des travailleurs, allant au-delà des limites fixées par l’autorisation de l’Inspection du travail territorialement compétente et des finalités indiquées dans les notes d’information communiquées. 

La réclamation et l’instruction

Le Garant est intervenu suite à la réclamation présentée par le syndicat FIOM CGIL, sur mandat de certains travailleurs, par laquelle il demandait de prendre une mesure de contrôle et prescriptive à l’encontre de la société employeur. En particulier, on signalait que le système utilisé dans l’entreprise prévoyait l’insertion d’un mot de passe individuel sur  l’ordinateur avant de commencer à travailler, ce qui permettait d’archiver les données de chaque travailleur relatives aux arrêts et à la production pendant toute la journée de travail. Par conséquent, selon le syndicat, les données collectées se référant à l’activité de chaque salarié suite à son authentification au moyen du mot de passe, la société, par ce système, collectait également des données désagrégées et pour d’autres finalités, en plus de celles indiquées aux notes d’information communiquées.

À l’issue de l’instruction menée par le Garant, il est apparu, notamment, que le système informatique coexistait avec la précédente modalité d’organisation du travail, consistant à remplir des formulaires papier sur lesquels le nom des salariés était clairement indiqué. Ces formulaires étaient conservés et enregistrés sur un logiciel, mais sans aucune forme de séparation, en violation de ce qui était indiqué dans les notes d’information sur le fonctionnement du système et dans l’autorisation délivrée par l’Inspection du travail, qui avaient expressément interdit l’utilisation des données collectées à des fins disciplinaires. Il était en effet apparu que les données collectées au travers de cet instrument avaient été utilisées pour vérifier la véracité des affirmations d’un salarié au cours d’une procédure disciplinaire ouverte à son encontre.

De plus, des irrégularités sont apparues dans les délais de conservation des données ainsi collectées et traitées, lesquels, selon ce que la société avait déclaré, auraient dû être proportionnés avec ce qui était nécessaire pour  « le contrôle/l’évaluation des cycles de production ».

La décision du Garant

À la lumière des informations obtenues, le Garant a ordonné la limitation définitive des traitements effectués au moyen des données collectées au travers du système utilisé, en sommant la société (i) d’aligner son organisation et ses traitements sur le Règlement (UE) 2016/679, également en mettant à jour la note d’information communiquée aux salariés concernés, (ii) de prendre des mesures appropriées de ségrégation des données collectées, aussi bien au travers des formulaires papier qu’au moyen du logiciel, et (iii) de payer la somme de 40 000,00 euros à titre de sanction pécuniaire pour les violations constatées.

Autres insights connexes :

• Vie privée et procédure disciplinaire : le salarié a le droit d’accès à ses données personnelles