Auteur : Joost Peeters (Studio Legale)
Décision sur le bien-fondé n°15/2021 du 9 février 2021
Concerne
Un consultant porte plainte contre le cabinet de conseil en informatique pour lequel il travaillait car il s’est vu refuser l’accès complet à ses données personnelles.
Base légale
Article 15 RGPD
Faits
Le plaignant a rejoint le défendeur en juin 2008 en tant qu’employé actif dans le secteur du conseil en informatique. Il a ensuite occupé le poste de consultant senior. À partir de 2015, le consultant était régulièrement absent. En 2016, il est élu représentant des salariés. Un an plus tard, son employeur, le cabinet de conseil en informatique, a engagé une procédure devant le conseil des prud’hommes parce que le consultant aurait divulgué sur un blog privé des informations qui n’avaient pas encore été officialisées par le cabinet de conseil en informatique. Il a refusé de s’arrêter, malgré la demande de le faire.
Le Conseil des prud’hommes a jugé dans son jugement du 21 juin 2018 que le cabinet de conseil en informatique ne peut licencier le consultant pour motif grave. Le consultant a repris son poste le 27 juin 2018. Il a ensuite déposé une demande le 12 juillet 2018 pour exercer son droit de consulter et/ou de copier toutes les données personnelles enregistrées le concernant.
Le consultant estime que la réponse à cette demande est insuffisante et dépose une plainte le 2 octobre 2018. Il a également souligné que la société de conseil en informatique prenait des photos de ses employés lors d’événements d’entreprise et les publiait sur l’intranet de l’entreprise sans demander leur autorisation.
Le 18 janvier 2019, la relation de travail entre les parties aurait pris fin via un accord transactionnel.
Jugement
La Chambre Contentieuse souligne qu’elle n’a pas pour rôle de se substituer aux autres juridictions dans l’exercice de leurs compétences, faisant ici référence au droit du travail. Il ne parle donc que du respect de la réglementation applicable au traitement des données et non, par exemple, du respect de l’accord transactionnel entre les parties.
Conformément à l’article 15.1 du RGPD, la personne concernée dispose d’un droit d’accès. Cela signifie qu’il peut recevoir des éclaircissements du responsable du traitement quant au traitement de ses données personnelles. Si tel est le cas, la personne concernée a le droit de consulter et d’obtenir certaines informations supplémentaires sur ce traitement (article 15.1 a) – h) du RGPD), telles que la finalité du traitement des données et les éventuels destinataires. des données, ainsi que des informations sur l’existence de ses droits, y compris le droit de demander la rectification ou l’effacement de ses données, ou de déposer une plainte auprès du GBA. Consultez notre précédent article sur le droit d’accès plus en détail ici.
Concrètement, le consultant a demandé au cabinet de conseil informatique de lui fournir toutes les données personnelles enregistrées le concernant, et il a notamment demandé des informations sur les raisons, finalités, durées de conservation, etc. pour chaque donnée personnelle conservée. Il a également précisé que sa demande concernait l’accès et la copie de ses données personnelles, à savoir :
toutes évaluations le concernant ; toute photographie permettant de l’identifier ; une copie des emails dans sa boîte mail ; toute note, note, commentaire faisant partie de son dossier personnel ; les logs informatiques le concernant ; un aperçu de ses données personnelles, y compris les finalités du traitement et les destinataires des données ; le contenu des données personnelles le concernant qui sont traitées par le défendeur ; CV le concernant ; sont des photos d’identité enregistrées par le défendeur.
Le consultant a déclaré à plusieurs reprises qu’il trouvait la réponse incomplète.
Finalement, suit la réponse suivante du cabinet de conseil en informatique : « Une copie de toutes les données personnelles auxquelles vous n’avez pas accès et dont nous devons vous remettre une copie, vous a été envoyée. Donc en ce qui nous concerne, ce point est clos.
Le cabinet de conseil en informatique ne conteste pas s’être vu refuser d’accéder à la demande d’accès telle que précisée par le plaignant dans son email du 24 septembre 2018.
En ce qui concerne le refus du droit de consulter les notes et commentaires du dossier personnel du consultant, le cabinet de conseil informatique se base sur l’article 15.4 du RGPD. L’accès à ces données constituerait une violation de la protection des données personnelles des anciens dirigeants et du responsable des ressources humaines auteur de ces notes et commentaires.
La Chambre Contentieuse ne conteste pas que de telles notes concernent des données personnelles de dirigeants et de responsables du personnel.
Un équilibre doit être trouvé entre le droit d’accès du consultant et les droits et libertés de ces managers et responsables du personnel.
Cette considération ne doit pas conduire à ce qu’aucune information ne soit communiquée.
Le cabinet de conseil informatique aurait pu anonymiser les données personnelles d’autrui afin de répondre correctement à la demande d’accès.
En refusant d’accéder à la demande du consultant de consulter les notes de son dossier personnel, les articles 15.1 et 15.3 du RGPD ont été violés.
En ce qui concerne le refus de donner accès aux journaux informatiques concernant le consultant, aucune violation n’a été constatée par la Chambre Contentieuse, car cela imposerait des obligations disproportionnées et des charges excessives au cabinet de conseil informatique, car cela nécessiterait une période complète allant de 2008 à 2019. être recherché.
En ce qui concerne le prétendu refus illégal d’inspecter les évaluations, celui-ci est également rejeté par la Chambre Contentieuse car il n’y a pas eu d’évaluation depuis 2013 en raison de l’absence régulière du consultant.
Le cabinet de conseil informatique peut alors invoquer le secret des affaires pour ne pas autoriser l’accès à la correspondance électronique. Il est souligné que le secret des affaires doit être interprété de manière restrictive et au cas par cas.
Enfin, l’argument relatif au droit d’obtenir des copies de photographies sur lesquelles le consultant serait identifiable est rejeté car celui-ci n’a fourni aucune preuve de l’existence ou de la diffusion de telles photographies de lui.
Prononciation
Les notes du dossier personnel ayant déjà été supprimées, une obligation de mettre en œuvre le droit d’accès ne peut plus être imposée et il suffit d’imposer au cabinet de conseil en informatique d’adresser à la Chambre Contentieuse une déclaration sur l’honneur attestant que les notes figurent dans le dossier personnel du consultant ont été supprimés après sa demande d’accès.
En outre, il est imposé d’amener le traitement lié aux mentions dans les dossiers personnels du personnel conformément à l’article 15 du RGPD.
Notre opinion
Une fois de plus, il est clair que le respect correct de l’exercice des droits par les personnes concernées est un aspect crucial du RGPD.
Cette décision montre clairement que le respect du droit d’accès ne peut être simplement évité, même si cela est motivé par de bonnes intentions (protéger les droits et libertés d’autrui). Dans ce contexte, l’anonymisation aurait pu suffire à protéger les droits et libertés d’autrui et un juste équilibre aurait ainsi été trouvé avec le droit d’accès.
La Chambre Contentieuse considère à juste titre qu’il s’agit de la première sanction du cabinet de conseil informatique et n’inflige pas d’amende.
Bron : Cabinet d’avocats
