CONTACT

Transfert de données personnelles en dehors du cadre professionnel

27 octobre 2022 | Derriennic Associés|

Dans son rapport annuel 2021 sur la protection des données, l’autorité de contrôle Berlinoise a indiqué avoir infligé des amendes à 3 chiffres à l’encontre de deux employés qui s’étaient transférés des données personnelles pour des finalités extra-professionnelles.

La première affaire concernait l’employée d’une entreprise, gestionnaire de salaires, qui s’était envoyée, sur son adresse électronique privée, un tableau Excel contenant les données de 56 employés de l’entreprise. Dans ce tableau figuraient, notamment, l’identité, les jours de congés, les jours d’absence pour maladie, les données salariales, les heures supplémentaires effectuées et les cotisations auprès de la sécurité sociale des salariés de l’entreprise.

L’employée justifiait ce transfert par la nécessité de se protéger et de protéger ses collègues en raison de relations de travail compliquées.

L’employeur a déposé une plainte pénale, classée sans suite par le ministère public mais transmise à l’autorité de contrôle compétente.

Au cours de son enquête, l’autorité de contrôle a considéré (i) que l’action de l’employée n’était pas imputable à l’entreprise, (ii) que la transmission des données des employés sur son adresse électronique privée n’était pas nécessaire à l’accomplissement des tâches de l’entreprise et ainsi (iii) que la salariée avait « outrepassé ses compétences et agi en tant que responsable du traitement ».

En conséquence, l’autorité de contrôle a considéré que l’employée, responsable du traitement, avait traité des données personnelles sans base légale valable, et donc en infraction au RGPD.

La seconde affaire concernait un employé qui s’était transféré, sur son adresse électronique personnelle, des candidatures reçues par son employeur « afin de s’inspirer de la présentation visuelle pour ses propres candidatures ».

L’employeur, constatant que l’employé (i) avait agi sans autorisation, (ii) n’avait pas rendu les CV anonymes et (iii) avait outrepassé ses tâches professionnelles, a déposé plainte.

Au cours de son enquête, l’autorité de contrôle a également considéré que l’employé avait agi en tant que responsable du traitement. Constatant l’absence de consentement des personnes concernées, le traitement a été qualifié de contraire au RGPD pour défaut de base légale.

Face à ces manquements, l’autorité de contrôle a infligé à ces deux responsables du traitement une amende d’un montant à 3 chiffres.

Lien vers le rapport annuel : ici