La protection des données personnelles est un enjeu central du Règlement Général sur la Protection des Données (RGPD). Récemment, l’Autorité Belge de Protection des Données (APD) a réprimandé un employeur pour avoir traité de manière illicite les données pénales d’un employé. Cette affaire met en évidence les obligations strictes liées à la gestion des données sensibles et les conséquences en cas de non-respect.
Contexte de l’affaire
Les faits reprochés
L’APD a identifié plusieurs manquements de la part de l’employeur, notamment :
- La communication non autorisée de données pénales.
- L’absence de consentement
- Le non-respect des droits des personnes
- Une insuffisance dans la protection de la confidentialité des données et le manque de transparence.
- Le non-respect des droits d’accès de l’employé concerné.
La décision de l’APD
L’Autorité Belge a émis une réprimande à l’encontre de l’employeur, mettant en avant la nécessité d’un traitement des données conformes aux exigences du RGPD.
Le cadre juridique du traitement des données pénales
Les principes du RGPD
Le RGPD impose plusieurs principes fondamentaux concernant le traitement des données personnelles, prévus en son article 5 notamment :
- Licéité, loyauté et transparence
- Limitation des finalités
- Minimisation des données
- Exactitude des informations
- Limitation de conservation
- Intégrité et confidentialité
L’article 10 du RGPD et les données pénales
Le traitement des données relatives aux condamnations pénales et infractions est encadré par l’article 10 du RGPD. Il indique que ces données ne peuvent être traitées que sous le contrôle de l’autorité publique ou dans des cas strictement définis par la loi.
Les manquements de l’employeur
Communication illicite de données
L’employeur a transmis des informations sensibles à des tiers sans disposer d’une base légale appropriée ni du consentement de l’intéressé.
Défaut de protection de la confidentialité
Les mesures mises en place pour garantir la sécurité des données étaient insuffisantes, exposant ainsi les données à des risques de divulgation non autorisée.
Non-respect du droit d’accès
L’employé concerné n’a pas pu exercer son droit d’accès à ses propres données, en violation des ’articles 28bis et 15 du RGPD.
Les conséquences pour l’employeur
La réprimande de l’APD
Lorsque l’APD émet une réprimande, il s’agit d’une mesure corrective qui peut être considéré comme un avertissement officiel. Sans être aussi sévère qu’une amende administrative, elle indique toutefois que l’entité concernée a enfreint les règles du RGPD et doit non seulement prendre des mesures pour s’y conformer, mais aussi le prouver à l’autorité de contrôle. En cas de récidive, l’employeur pourrait encourir des sanctions financières allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel.
Risques juridiques et financiers
Les entreprises doivent comprendre que le non-respect du RGPD peut entraîner :
- Une mise en conformité suivie directement par l’autorité de contrôle avec notamment des délais impartis
- Une atteinte à leur réputation en raison de la publicité des décisions.
- Des poursuites judiciaires par les personnes concernées.
Les leçons à tirer pour les employeurs
Renforcement des politiques de protection des données
Les employeurs doivent suivre avec davantage de rigueur les exigences du RGPD notamment, dans le cas présent, sur le consentement, le droit des personnes et la transparence.
Formation et sensibilisation
Afin de permettre au mieux le renforcement des politiques de protection des données, il est essentiel de former les employés aux bonnes pratiques en matière de protection des données personnelles.
Mise en place de mesures de sécurité renforcées
L’usage de technologies de sécurisation des données et l’adoption de protocoles stricts sont nécessaires pour prévenir toute fuite ou traitement illicite.
L’affaire de l’APD belge constitue un rappel crucial des obligations des employeurs en matière de protection des données. Une gestion inadaptée des données pénales peut entraîner des conséquences lourdes. Il est donc impératif pour les entreprises d’intégrer une politique de conformité stricte afin d’éviter tout risque juridique et financier.
