Le mieux est l’ennemi du bien… et de la sécurité juridique.
Voilà un employeur qui pensait bien faire en transmettant à l’équivalent bulgare de la DDTEP le projet de contrat proposé à un salarié. Malheureusement pour lui, la législation locale imposait la transmission du seul contrat signé, et non du projet. Saisie par la personne concernée, l’autorité de protection des données a rappelé à l’ordre l’employeur, considérant que le transfert des données à l’administration était ainsi privé de base juridique (CPDP, 1er décembre 2022, PNN-01-487/2021).
La sanction paraîtra peu sévère, au regard de la légendaire amende de 20 000 000,00 euros encourue.
Sans atteindre ce plafond – loin de là, même – et dans un domaine proche, mais parallèle, une juridiction autrichienne a récemment fixé à 2 000,00 euros le montant des dommages et intérêts sanctionnant la consultation par un médecin du statut vaccinal d’un candidat à un emploi. Malheureusement, à la date de consultation des données, le professionnel de santé ne pouvait justifier d’aucune exception prévue à l’article 9§2 RGPD (BVwG, 6 June 2023, n° W298 2269087-1). Raison de cette « clémence »? Les données de santé en cause auraient de toute façon dû être produites dans la suite du parcours d’embauche et l’ambiance anxiogène au début de la pandémie Sars-CoV-2.
Conclusion : même bien intentionné, pour gagner du temps, le traitement de données – et a fortiori de données de santé – doit intervenir à l’instant voulu. Toute manipulation en avance de phase expose le responsable à une sanction, voire des dommages et intérêts.
Comment savoir si les données sont pertinentes?
1️⃣ Analyser grammaire et conjugaison du discours « métier » : l’emploi du conditionnel, par exemple, fait naître le doute
2️⃣ Cartographier le traitement : si une donnée ne peut être reliée à une finalité active, sa collecte est probablement trop précoce
3️⃣ Prévoir des étapes : certaines données ne devraient être collectées qu’une fois certaines options enclenchées par la personne concernée