Belgique : La divulgation d’informations personnelles sur la santé lors de la réunion des ressources humaines sur le licenciement enfreint le RGPD

Lors d’une réunion interne du personnel RH, le licenciement de la salariée en question a été évoqué, sans sa présence. Au cours de l’entretien, un responsable de service prend connaissance d’un document fourni par un service extérieur de prévention et de protection au travail. Ce document contenait l’information selon laquelle le salarié s’était absenté pendant plusieurs semaines et avait ensuite été déclaré inapte au travail pour une durée indéterminée par le médecin du travail. Ces faits ont été consignés dans le procès-verbal de la réunion, qui a été envoyé à tous les employés du service, indépendamment de leur présence à la réunion et également publié en ligne sur l’intranet de l’organisme public, où les employés des autres services ont pu y accéder. .

L’employée a pris connaissance de ce qui précède après avoir été interrogée sur les informations divulguées par ses collègues. Il a déposé une plainte sur la base de déclarations verbales lors de la réunion, mais celle-ci a été rejetée, car les déclarations orales ne relèvent pas du champ d’application des règles du RGPD. Toutefois, lorsqu’il a fondé sa réclamation sur le procès-verbal de la réunion et sa disponibilité sur le serveur de l’autorité publique, sa réclamation a été jugée recevable.

L’employé s’est opposé à la divulgation d’informations personnelles relatives à sa santé comme motif de son congédiement à tous les employés, ainsi qu’à l’inclusion de telles informations dans le rapport et à la disponibilité de tels rapports sur le serveur. La plainte a été adressée à son superviseur, le chef du service, mais le garant a fait valoir que le dernier responsable était, dans presque tous les cas, l’employeur lui-même et a étendu la plainte à l’autorité publique.

READ  Le Japon étourdit la Chine et remporte l'or olympique historique en tennis de table

Le Garant a précisé que la communication écrite au personnel des changements de personnel est toujours autorisée, mais doit rester limitée au fait que l’employé n’est plus employé par l’entreprise. En outre, la communication des données de santé sensibles d’un employé à des employés autres que ceux dont le travail nécessite leur connaissance (personnel RH) et l’inclusion de ces données dans le rapport nécessite une base spécifique distincte pour être considérée comme un « traitement licite », comme l’exige l’art. . 6.1 et 9.2 RGPD. Le Garant a estimé que le traitement des données de santé, selon les modalités envisagées, ne pouvait reposer sur aucune des hypothèses visées à l’art. 6.1 RGPD. Par conséquent, il a été conclu que l’autorité publique avait commis une violation du RGPD.

Le Garant a sanctionné l’employeur d’une censure, car il n’est pas compétent pour infliger des sanctions aux autorités publiques, ainsi qu’exhortant l’autorité publique à former son personnel et à prendre les mesures nécessaires pour remédier à la situation actuelle.

Points d’action clés pour les ressources humaines et le conseil interne

  • Il est toujours permis d’informer le personnel des changements de personnel sur la base d’informations personnelles ; les déclarations écrites doivent cependant se limiter aux faits (voir aussi : GBA 63/2021, 1er juillet 2021).
  • Lors du traitement de catégories particulières (sensibles) de données à caractère personnel (telles que des données sur la santé, mais aussi des données sur la race, les origines ethniques, les convictions politiques, les convictions religieuses, les données biométriques sur l’appartenance à un syndicat, le comportement et l’identité sexuels), assurez-vous que l’un des bases. 9.2 GDPR s’applique pour qu’il soit considéré comme un traitement licite.
  • Gardez à l’esprit le but pour lequel les données sont traitées, ainsi que le fait que seuls des employés qualifiés peuvent accéder à ces données.
READ  France : rôle du Comité économique et social dans le cadre d'une restructuration ou d'une réduction d'effectifs

La source: Contrôleur belge de la protection des données, Décision No. 115 du 19 juillet 2021

LEAVE A REPLY

Please enter your comment!
Please enter your name here