L’utilisation de groupes de discussion professionnels : l'APD souligne la nécessité de directives internes concrètes pour les supérieurs hiérarchiques

L'Autorité de protection des données (APD) s'est prononcée à la suite d'une plainte déposée par une étudiante jobiste, après que son supérieur hiérarchique eut partagé des messages WhatsApp privés dans un groupe WhatsApp professionnel avec d'autres collègues. L'APD a estimé que ce traitement était illicite. Bien que l'employeur ait déjà pris de nombreuses mesures techniques et organisationnelles afin de garantir le respect du RGPD, l'APD a constaté qu'il n'avait pas établi de directives internes concernant l'utilisation des groupes WhatsApp professionnels. 

Les faits

Une étudiante jobiste avait échangé des messages privés via WhatsApp avec son supérieur hiérarchique. Après avoir annoncé sa démission via WhatsApp, son supérieur a partagé des captures d'écran de ces conversations privées dans un groupe WhatsApp professionnel avec d'autres collègues. Sur ces captures d'écran figuraient le nom et le prénom de l'étudiante ainsi que le contenu des messages. L'étudiante n'avait pas donné son consentement pour ce partage et a appris, par l’intermédiaire d’un tiers, que ses messages avaient été diffusés en interne.

L'employeur n'a pas contesté les faits et a confirmé le caractère illicite de la situation, mais a fait valoir que le partage de messages privés dans un groupe WhatsApp professionnel n'était pas conforme aux attentes qu'il avait à l'égard de son personnel dirigeant.

Décision de la Chambre Contentieuse de l’APD

Dans sa décision du 27 janvier 2026 (n° 10/2026), l’ADP a estimé que le partage de messages privés dans un groupe WhatsApp professionnel constitue un traitement illicite de données à caractère personnel. Elle souligne que l’employeur, en tant que responsable du traitement, demeure responsable du respect du RGPD, même lorsque le traitement est effectué par un travailleur. En effet, les traitements effectués par les travailleurs sont présumés avoir lieu sous l'autorité et la supervision de l'employeur.

Le RGPD impose aux responsables du traitement d’adopter des mesures techniques et organisationnelles appropriées afin de prévenir les violations du RGPD et de garantir le droit à la protection des données. Selon l'ADP, de telles mesures peuvent notamment inclure, dans ce contexte, des directives internes claires, des formations ciblées et la sensibilisation des travailleurs à la protection des données.

L'employeur a expliqué les mesures déjà mises en place pour garantir le respect du RGPD. Il disposait notamment de règles générales de conduite exigeant des travailleurs qu'ils se traitent mutuellement avec dignité et respect, et précisant que la vie privée des travailleurs doit être respectée et protégée. En outre, les travailleurs suivent tous les deux ans une formation en ligne obligatoire afin de rappeler ces principes. L'employeur avait également mis en place une politique de protection des données (Data Protection Policy) applicable à l'échelle mondiale, complétée par une brochure informative et des lignes directrices de type « do’s and don’ts ». Il proposait également une formation annuelle obligatoire sur le RGPD via un module d’apprentissage en ligne, ainsi qu’une plateforme intranet contenant des informations sur les concepts clés du RGPD, une boîte à outils, des conseils pratiques et des explications sur les responsabilités individuelles des membres du personnel en matière de RGPD.

À la suite de la plainte, l’employeur a en outre décidé de rédiger une note d’information à l’intention de son personnel d'encadrement opérationnel, contenant des instructions spécifiques sur l’utilisation des groupes WhatsApp professionnels ainsi qu’un rappel des règles applicables en matière de protection des données.

Malgré ces mesures, l’APD a estimé, dans cette décision prima facie – c’est-à-dire une position prise sur la base d’une première analyse, sans se prononcer définitivement sur le fond –, qu’il n’existait aucune base juridique valable pour partager des conversations privées dans un groupe de discussion professionnel. Selon l'APD, le manquement constaté peut indiquer que les mesures techniques et organisationnelles prises étaient insuffisantes ou pas suffisamment mises en œuvre. Elle relève, en particulier, l’absence de politique spécifique pour le personnel d'encadrement opérationnel. L'APD encourage dès lors l'initiative de l'employeur visant à sensibiliser les supérieurs hiérarchiques à leurs obligations découlant du RGPD, par le biais d'une note interne.

Sanction

L'APD a adressé un avertissement à l'employeur. Celui-ci doit désormais veiller à élaborer et à mettre en œuvre une politique de protection des données destinée aux supérieurs hiérarchiques, afin d'éviter que des incidents similaires ne se reproduisent à l'avenir.

Point d’attention

Par cette décision, l'APD confirme que les employeurs restent responsables du traitement des données à caractère personnel effectué par leurs travailleurs, même lorsque celui-ci a lieu via des moyens de communication informels tels que WhatsApp ou Messenger. Les employeurs doivent prendre les mesures nécessaires pour garantir le respect du RGPD. Ces mesures consistent notamment à établir des directives internes concrètes concernant l'utilisation des groupes de discussion professionnels et le traitement des données à caractère personnel dans ce contexte.