Actu des DPO & Data Privacy #25 : numéro du 16 au 20 septembre 2024

Peut-on licencier un salarié qui fait fuiter des données personnelles même lorsqu'il a presque 40 ans de bons et loyaux services derrière lui ? C'est la question à laquelle a répondu il y a quelques jours la chambre sociale de la cour de cassation, et l'un des thèmes que l'on va aborder cette semaine dans cette newsletter du vendredi consacrée à la protection des données. Nous verrons d'ailleurs que l'ICO continue sa stratégie du "name and shame" contre, justement, les salariés peu vertueux, qu'une clinique ne peut pas publier sans vérifications de les photos avant/après que lui envoie un chirurgien esthétique pour faire de la pub, ou encore qu'il faut prendre certaines précautions avant d'exploiter un fichier clients obtenu via l'acquisition d'un fonds de commerce...

Comme toutes les semaines, je partage cette newsletter avec vous grâce au travail que je réalise au quotidien sur Olympe.legal . Vous aurez peut-être remarqué que depuis quelques jours, Olympe est désormais réservé aux abonnés payants (et déjà un grand merci à tous ceux d'entre vous qui se sont abonnés !). Si vous le souhaitez, n'hésitez pas à me demander par message privé un code d'essai gratuit, ou à contacter mehdi medjaoui ou François-Xavier Cao qui seront heureux de vous présenter la solution et d'échanger avec vous. Nous faisons ce produit pour aider les DPO et donc c'est important d'avoir vos retours.

Très bonne lecture, et à la semaine prochaine !

Un ancien salarié condamné après le recel de données personnelles volées

Commençons avec une histoire simple, mais qui illustre une pratique de l'autorité de protection des données britannique dont j'ai toujours du mal à me faire un avis bien tranché. L'Information Commissioner's Office (ICO) a publié cette semaine un communiqué sur la condamnation pénale d'un ancien employé d'une entreprise de location de véhicules qui a cherché à revendre des données personnelles issues des bases de son ancien employeur. Peu avant sa démission, ce commercial avait extrait plus de 3600 fiches d'informations sur des clients de l'entreprise. Il avait ensuite fait le tour des concurrents pour leur proposer d'acheter le fichier, en prétendant que les données lui appartenaient. C'est à la suite d'une enquête menée par l'ICO que le tribunal de St Albans a condamné l'ancien employé à une amende de 1200 livres sterling, pour violation de la section 270 du Data Protection Act 2018.

L'ICO, qui souhaite dissuader les salariés de négliger l'importance de respecter la confidentialité des données auxquelles ils peuvent accéder, a non seulement remercié vivement l'ancien employeur de l'avoir alerté... mais aussi publié le nom exact de l'homme de 44 ans. Celui-ci a la chance d'avoir un homonyme célèbre, mais pour d'autres dont le nom est ainsi parfois publié par l'ICO dans une culture de "name and shame" (dont j'ai déjà parlé ici à d'autres occasions), c'est l'assurance d'avoir pour longtemps du mal à retrouver du travail lorsque les employeurs font des recherches Google en tapant le nom du candidat. D'après mes constatations, sur Google cette affaire est totalement enterrée sous les résultats qui concernent la célébrité, mais sur Bing elle arrive déjà en deuxième et quatrième position. Une forme de double peine qui ne dit pas son nom.

Un licenciement pour violation de la confidentialité des données reste valable quel que soit l'historique du dossier RH du salarié

Avoir été exemplaire toute sa vie ne donne pas le droit de fauter une fois lorsqu'il s'agit de la vie privée des tiers. Dans un arrêt du 11 septembre 2024, la chambre sociale de la Cour de cassation a confirmé la validité d'un licenciement pour faute grave d'un salarié qui a porté sciemment atteinte à la confidentialité de données personnelles, y compris lorsque comme dans les faits d'espèce, le salarié en question bénéficiait jusqu'alors de 36 années d'ancienneté sans aucune sanction disciplinaire.

L'affaire concernait un employé de la casse primaire d'assurance maladie (CPAM) du Tarn-et-Garonne, qui en 2017 a divulgué à des tiers des données concernant un ministre en exercice. Par un arrêt du 21 janvier 2022, la cour d'appel de Toulouse avait jugé que le licenciement du salarié pour violation du secret professionnel ne reposait ni sur une faute grave ni sur une cause réelle et sérieuse, au motif qu'il cumulait trente-six années d'ancienneté sans passé disciplinaire, ce que la Cour de cassation estime inopérant.

"En statuant ainsi, alors qu'elle constatait que le salarié avait méconnu l'obligation de secret professionnel à laquelle il était astreint en transmettant à un tiers, sans raison valable, la fiche du répertoire national inter-régimes des bénéficiaires de l'assurance maladie d'un ministre en exercice, contenant des données dont la caisse est garante du caractère confidentiel à laquelle il avait eu accès dans le cadre de ses fonctions, ce qui était de nature à rendre impossible son maintien dans l'entreprise, la cour d'appel, qui n'a pas tiré les conséquences légales de ses constatations, a violé" plusieurs dispositions du code du travail, estime la Cour de cassation.

La conclusion me semble normale et souhaitable, néanmoins on peut se demander s'il était bien nécessaire pour la cour de cassation de reprendre à son compte la précision de ce que la victime de la violation des données était un ministre en exercice. Faut-il y lire que le licenciement aurait pu être invalidé si la fuite avait concerné une personne lambda ? Je ne le pense et ne l'espère pas, mais il est dommage que la cour laisse un doute sur ce point. Par ailleurs il faut noter que le licenciement ne se fonde pas sur une violation du RGPD mais sur une violation du secret professionnel auquel un salarié de la CPAM est astreint.

Une clinique sanctionnée en tant que sous-traitante après la publication de photos d'une opération de chirurgie esthétique

Généralement et presque par construction, c'est le responsable de traitement qui est sanctionné lorsqu'il y a violation des données. Mais il peut y avoir des exceptions justifiées par les circonstances. Ainsi en Espagne, l'AEPD a sanctionné cette semaine une clinique privée qui a suivi les instructions d'une chirurgienne esthétique, qui lui avait envoyé des photos avant/après d'une opération de 2017, en lui proposant de les partager sur Facebook et Instagram pour attirer de la clientèle, comme le permettait un contrat passé avec la clinique en 2020. Une patiente, découvrant que son anatomie était ainsi exposée à des fins commerciales alors qu'elle n'avait donné à l'époque son accord qu'à une utilisation à des fins médicales, a porté l'affaire devant l'AEPD qui a infligé à la clinique une amende de 10 000 euros.

Certes, l'agence espagnole estime qu'en ayant pris les photos et en les ayant envoyées au propriétaire de l'établissement en lui disant ce qu'il devait en faire, la chirurgienne était juridiquement la responsable de traitement. Mais elle sanctionne la clinique qui, en sa qualité de sous-traitante, n'a pas moins la responsabilité de s'assurer que les traitements sont réalisés conformément au RGPD, ce qu'elle n'a pas fait en s'assurant que le consentement avait été obtenu. On sent bien que l'AEPD a fait une appréciation in concreto de l'affaire et qu'en réalité il existait un deal entre la clinique et la chirurgienne et que c'est à la demande de la clinique que cette dernière envoyait les photos, pour honorer un arrangement. Je reste néanmoins surpris que les deux n'aient pas été sanctionnés en qualité de responsables conjoints, à moins que la sanction de la chirurgienne n'intervienne dans une décision séparée non encore publiée...

Des recommandations pour le transfert de données personnelles en cas d'acquisition d'un fonds de commerce

Je ne vais pas m'attarder sur celle-ci parce que vous trouverez un résumé beaucoup plus complet sur Olympe, qu'il serait trop long de reproduire ici. Néanmoins si vous travaillez pour une entreprise qui pratique ou envisage des fusions-acquisitions, et qui notamment est susceptible d'acquérir des fonds de commerce sans acquisition de parts sociales, je vous invite à prendre connaissance de la résolution (en allemand uniquement) publiée le 11 septembre dernier par la Conférence des autorités indépendantes de protection des données d'Allemagne (DSK), qui livre toute une série de recommandations pratiques pour l'encadrement des transferts de données personnelles dans le cadre des "Asset Deals" - qu'il s'agisse des données des clients et prospects de l'entreprise, de ses salariés, des partenaires commerciaux, etc. Ce n'est pas toujours le genre de choses à laquelle on pense lorsque l'on achète un fonds, et c'est pourtant essentiel pour garantir notamment qu'il sera possible d'exploiter légalement le fichier clients attaché au commerce. Et donc, la résolution illustre la nécessité de réaliser ce type d'opérations en concertation avec le DPO...

Une clinique sanctionnée en tant que sous-traitante après la publication de photos d'une opération de chirurgie esthétique

Et aussi sur Olympe.legal (accès sur inscription) :

• (Croatie) Un hôpital condamné à 190 000 euros d'amende après la perte de données
• (Grèce) 2000 euros d'amende pour vidéosurveillance excessive des salariés
• (Italie) 5 millions d'euros d'amende contre un fournisseur d'énergie italien
• (UK) L'ICO réprimande Sky Betting and Gaming pour des cookies sans consentement préalable
• (Espagne) L'AEPD publie des lignes directrices sur le recours aux écrans mobiles à l'école
• (Espagne) 10 000 euros d'amende contre un site pour absence de lien visible vers la Politique de confidentialité
• (Belgique) Une banque belge mise en garde après la transmission d'enregistrements au Médiateur financier