CONTACT

L’employeur, qui communique les données personnelles de son salarié, doit l’en informer

09 avril 2024 | Derriennic Associés|

GPDP (Italie) – 7 décembre 2023

L’autorité de contrôle italienne a sanctionné un employeur qui avait transmis à une banque les données personnelles de son salarié sans l’en informer.

Un salarié, responsable du service de restauration, était en charge du versement des recettes de l’établissement sur le compte courant de la société, grâce à une carte bancaire de dépôt nominative.

Ayant ouvert un nouveau compte courant auprès d’une autre banque, l’employeur a transmis à la nouvelle banque les données personnelles de son salarié afin que cette banque édite une nouvelle carte bancaire de dépôt, également nominative.

Le salarié, contacté par la banque, a considéré que son employeur avait traité ses données personnelles en violation du RGPD, et a déposé une plainte auprès de l’autorité de contrôle italienne.

Pour sa défense, l’employeur indiquait :

  • Qu’en plus de ne transmettre que les informations strictement nécessaires à la banque, il avait mis en place une mention d’information à destination de son personnel ;
  • Qu’en raison « du rôle et des fonctions de l’employé », le traitement réalisé reposait sur une base légale valide, à savoir l’exécution du contrat de travail.

L’autorité de contrôle a considéré :

  • D’une part, que la mention d’information mise en place par l’employeur n’était pas suffisante car « la formulation est très générale et, en tout état de cause, insuffisante pour informer de manière adéquate les personnes concernées sur les sujets ou les catégories de sujets auxquels les données peuvent être communiquées, sur le type de personne concernée par la communication, sur les finalités et sur la légitimité qui sous-tend le traitement en question » ; 
  • D’autre part, que « ni l’exécution du contrat ni l’intérêt légitime du responsable du traitement ne peuvent être considérés comme des bases juridiques appropriées » :
  • Concernant l’exécution du contrat, l’autorité de contrôle a estimé que le traitement n’était pas « objectivement nécessaire à l’exécution du contrat », pour preuve, le salarié était toujours en poste et toujours responsable du service de la restauration même après s’être opposé au traitement de ses données personnelles dans le cadre de la création de la carte de dépôt ;
  • Concernant l’intérêt général, l’autorité de contrôle a constaté que le responsable du traitement n’avait pas procédé à une mise en balance pour évaluer la possibilité de recourir à cette base légale.

Compte tenu de ce qui précède, l’autorité de contrôle a infligé à l’employeur une amende de 1000 euros et l’a enjoint à se mettre en conformité au RGPD en « rédigeant une note d’information appropriée ».  


Source : ici