Claeys & Engels
Rechercher

L’Autorité belge de protection des données clarifie les règles relatives au partage de données à caractère personnel sur le lieu de travail

Newsflash
Protection des données et de la vie privée

Après une longue procédure judiciaire concernant sa structure salariale, un employeur obtient gain de cause devant la Cour du travail et partage l’arrêt intégral avec l’ensemble de ses travailleurs. Or, cet arrêt contenait les données à caractère personnel de certains travailleurs ayant introduit la procédure aux côtés des organisations syndicales. Une travailleuse s’y oppose et dépose plainte auprès de l’Autorité de protection des données (APD).

Origine de la plainte 

En 2014, deux organisations syndicales et plusieurs travailleurs avaient introduit une procédure à l’encontre de l’employeur concernant la légalité d’une partie du système de rémunération. L’employeur avait obtenu gain de cause en appel et avait partagé l’arrêt intégral par e-mail à tous les membres du personnel. La majorité des destinataires étaient en copie cachée (BCC), de sorte qu’il était impossible de savoir qui avait reçu l’e-mail. L’arrêt n’était toutefois ni anonymisé ni pseudonymisé, rendant visibles de tous les destinataires les noms et adresses des travailleurs concernés. L’un d’eux était une représentante des travailleurs.

Elle avait donc mis en demeure l’employeur et réclamé une indemnisation pour le préjudice moral et professionnel qu’elle affirmait avoir subi en raison du partage de l’arrêt. Elle affirmait que certains collègues s’étaient retournés contre elle et qu’elle courrait un risque de préjudice physique, son adresse privée ayant été rendue publique alors qu’elle avait déjà reçu des menaces sur son lieu de travail. Après que l’employeur a contesté toute violation et avait refusé de verser une indemnisation, la travailleuse a introduit une plainte auprès de l’APD pour partage illégal de ses données à caractère personnel. Dans sa décision du 19 septembre 2025, l’APD se prononce sur cette plainte.

Pas d’abus du droit d’introduire une plainte

L’employeur estimait que la travailleuse avait abusé de son droit d’introduire une plainte auprès de l’APD. En effet, elle avait attendu 18 mois avant de déposer sa plainte, ce qu’elle aurait fait, selon l’employeur, parce qu’elle n’avait pas obtenu de dédommagement. L’APD rejette cet argument, considérant qu’il est permis à une travailleuse d’entreprendre d’autres démarches avant de porter plainte. Elle conclut donc à l’absence d’abus de droit.

Pas de traitement d’une catégorie particulière de données à caractère personnel

Dans sa plainte, la travailleuse soutenait qu’il y avait eu un traitement illicite de données à caractère personnel révélant son appartenance syndicale. Selon elle, cela pouvait être déduit du fait que l’action en justice contre l’employeur avait été introduite par elle-même, quelques autres collaborateurs et deux organisations syndicales. Ils agissaient, en outre, dans l’intérêt collectif des salariés de l’entreprise.

Le traitement de données à caractère personnel révélant une appartenance syndicale est en principe interdit, sauf lorsqu’il peut être fait appel à une des exceptions prévues par le RGPD, telles que le consentement explicite de la personne concernée ou une obligation légale. Dans cette affaire, il n’y avait ni consentement, ni obligation légale, ni aucune autre exception justifiant le partage de l’arrêt avec l’ensemble des travailleurs.

L’APD estime cependant qu’il n’y avait pas de traitement d’une catégorie particulière de données à caractère personnel. En effet, la travailleuse avait introduit l’action en son nom propre et, dans l’arrêt, elle n’était pas décrite comme représentante des travailleurs, mais uniquement comme travailleuse. Le fait que certains destinataires de l’e-mail contenant l’arrêt aient eu connaissance de sa qualité ne change rien à cela, selon l’APD.

Traitement excessif et illicite

Ensuite, l’APD examine si l’employeur pouvait invoquer un intérêt légitime pour partager l’arrêt avec l’ensemble des travailleurs. Dans son analyse, l’APD applique le test en trois étapes :

  • Test de finalité : L’employeur avait un intérêt légitime à informer ses travailleurs du résultat de la procédure. Cette procédure portait en effet sur le système de rémunération applicable à une partie de ses travailleurs, pouvait avoir des conséquences sur la santé financière et la pérennité de l’entreprise, et avait engendré un climat de tension au sein du personnel.
  • Test de nécessité : Selon l’APD, il n’était pas nécessaire que les travailleurs soient informées de l’identité des personnes ayant introduit l’action pour atteindre l’objectif mentionné ci-dessus, et l’adresse de la travailleuse n’aurait certainement pas dû être communiquée.
  • Étant donné que le test de nécessité n’a pas été satisfait, l’APD n’a pas procédé au test de mise en balance des intérêts et a conclu que le traitement était illicite.

L’utilisation de CCI (BCC) n’est pas nécessairement déloyale

L’employeur avait placé la majorité des travailleurs en CCI (copie cachée ou BCC) lors de l’envoi de l’arrêt. La travailleuse affirmait que cela constituait un acte déloyal, car elle cela l’empêchait de savoir qui avait reçu ses données, et qu’il y avait donc, selon elle, violation du principe de loyauté.

L’employeur a toutefois affirmé avoir utilisé la fonction CCI afin de garantir le droit à la protection des données des autres destinataires. En effet, tous les travailleurs ne disposaient pas d’une adresse e-mail professionnelle, et l’arrêt a donc été envoyé à leur adresse e-mail privée.

Selon l’APD, il n’y a pas de comportement déloyal de la part de l’employeur dans ce contexte. Elle comprend néanmoins le point de vue de la travailleuse et s’interroge sur l’opportunité, pour l’employeur, d’adopter à l’avenir une méthode de communication alternative (par exemple, en fournissant une adresse e-mail professionnelle à tous les travailleurs).

Enfin, l’APD constate plusieurs violations du principe de transparence et des obligations d’information. L’APD décide de réprimander l’employeur pour les violations constatées et classe la plainte en ce qui concerne le traitement des données syndicales et la violation du principe de loyauté.

Point d’attention

Il est permis d’informer les travailleurs au sujet de questions qui peuvent les concerner, y compris l’issue d’une procédure judiciaire. Toutefois, lorsque cette communication contient des données à caractère personnel concernant d’autres personnes, l’employeur doit évaluer avec soin s’il est nécessaire de divulguer ces données. Si ce n’est pas le cas, l’employeur doit prendre des mesures appropriées pour protéger les droits des personnes concernées. Cela peut, par exemple, se faire en ne partageant qu’un résumé de la décision ou en anonymisant le document.