AEPD (Espagne), 14 décembre 2021
Un salarié a déposé une plainte, devant l’autorité de contrôle espagnole, après avoir constaté que son employeur (une société de construction immobilière) avait adressé à son client (une entreprise publique de logements sociaux) des données personnelles le concernant, dont des données de santé (arrêt maladie pour cause de COVID).
Dans cette espèce, l’entreprise publique, reprochant au constructeur d’avoir mal respecté les affectations relatives aux ressources humaines prévues au contrat, avait engagé une procédure administrative de sanction à l’encontre de ce dernier. Pour expliquer cette situation, le constructeur invoqua l’indisponibilité de son salarié pour cause de COVID et transmit à l’entreprise publique, en guise de pièce justificative, l’arrêt maladie de son salarié.
L’autorité de contrôle a rappelé que les traitements de données de santé, en tant que catégorie spéciale de données personnelles, font l’objet d’un principe d’interdiction (art. 9 du RGPD). Si l’employeur pouvait effectivement se prévaloir de l’exception posée à l’article 9§2 du RGPD (détaillant les situations dans lesquelles le traitement de données de santé est autorisé), les principes posés à l’article 5 du RGPD auraient dû être respectés, ce qui n’a pas été le cas en l’espèce.
Selon l’autorité de contrôle, non seulement l’employeur n’a pas respecté le principe de minimisation, mais en plus il aurait dû recueillir le consentement exprès de son salarié.
Par conséquent, l’autorité de contrôle a infligé à l’employeur une amende de 50.000 €.
Lien vers la décision :Ici