Le 5 décembre dernier, l’Autorité Garante pour la protection des données personnelles (l’« Autorité ») a rédigé une FAQ (« Foire Aux Questions ») sur le traitement des données personnelles effectué par des personnes publiques et privées au moyen de l’utilisation de systèmes de vidéosurveillance.
Les précisions de l’Autorité tiennent compte des dispositions introduites par le Règlement (UE) 2016/679 en matière de protection des données personnelles (appelé « RGDP ») et par les Lignes Directrices adoptées par le Comité Européen pour la protection des données (« CEPD ») sur ce point.
Cette FAQ précise, tout d’abord, que (i) les traitements effectués au moyen de l’utilisation de systèmes de vidéosurveillance doivent avoir lieu dans le respect du principe de minimisation, sur la base du choix des modalités de prise de vues et de l’emplacement du système, et que (ii) les données traitées doivent être pertinentes et non excédantes par rapport aux finalités poursuivies.
Sur la base du principe de accountability (appelé « principe de responsabilisation »), chaque Responsable du traitement est tenu d’effectuer des évaluations sur le caractère licite et proportionnel du traitement, en tenant compte du contexte et des finalités relatives, ainsi que du risque pour les droits et les libertés des personnes concernées.
Selon l’Autorité, chaque Responsable du traitement doit évaluer si les conditions pour effectuer une analyse d’impact relative à la protection des données (« AIPD ») sont remplies avant de réaliser ce traitement.
En ce qui concerne Ia note d’information à fournir aux personnes concernées, la FAQ précise que l’on peut adopter le modèle simplifié (appelé panneau) mis au point par le CEPD et diffusé avec ses Lignes Directrices. Ce panneau doit indiquer (i) les coordonnées du Responsable du traitement et, s’il existe, du Délégué à la protection des données (DPD) ; (ii) la période de conservation des informations collectées ainsi que (iii) les finalités des traitements effectués. Le panneau doit être placé avant d’entrer dans la zone surveillée, pour que les personnes concernées puissent comprendre quelle zone est couverte par une caméra, et il doit renvoyer à une note d’information complète, contenant toutes les informations visées à l’article 13 du RGPD, y compris les indications sur les modalités de visionnement.
L’Autorité rappelle, également, que les images enregistrées devraient être effacées sous quelques jours (24/48 heures) et que, plus la période de conservation prévue est prolongée, plus l’analyse sur la légitimité de l’objectif et sur la nécessité effective d’une conservation plus longue devra être argumentée.
Enfin, elle rappelle que sur les lieux de travail il est possible d’installer des systèmes de vidéosurveillance exclusivement pour des exigences liées à l’organisation et à la production, pour la sécurité du travail et pour la protection du patrimoine de l’entreprise, dans le respect des garanties prévues par l’article 4 de la loi n° 300/1970.
◊◊◊◊
En conclusion, la FAQ, disponible sur le site de l’Autorité (www.garanteprivacy.it), contient des indications sur les conditions nécessaires pour que le traitement des données personnelles effectué au moyen de l’utilisation de systèmes de vidéosurveillance soit légal.
Cette FAQ, bien que partiellement, va au-delà de la précédente « Décision en matière de vidéosurveillance du 8 avril 2010 », car elle en adapte le contenu aux dispositions introduites par le RGPD et par les Lignes Directrices du CEPD.
L’Autorité chargée de la protection des données à caractère personnel italienne a, avec sa « Décision n° 216 du 4 décembre 2019 », confirmé une position déjà consolidée selon laquelle, l’employeur qui maintient actif le compte de courrier électronique d’entreprise d’un salarié après l’interruption du rapport de travail et qui accède aux courriers électroniques contenus dans la boîte aux lettres, commet une infraction.
L’affaire
Une société a saisi une juridiction de droit du travail agissant à l’encontre d’un ancien salarié, car ce dernier proposait des produits en concurrence directe avec les siens. Les informations à l’appui de l’action avaient été recueillies par la société requérante en accédant à l’adresse de courrier électronique de l’ancien salarié, même après la cessation du rapport de travail.
Le salarié a ainsi présenté une réclamation auprès de l’Autorité chargée de la protection des données à caractère personnel, faisant valoir que son ancien employeur n’avait pas désactivé son compte de courrier électronique et avait accédé aux messages reçus dans ce dernier.
La société, dans le cadre de sa réponse à la réclamation déposée par le salarié, a affirmé que l’absence de désactivation du compte et l’acheminement des courriels à l’adresse du responsable de la fonction informatique, avaient été organisés car (i) l’ancien salarié avait omis d’envoyer aux clients une communication avec les nouvelles références de l’entreprise. Elle a ajouté, en outre, que (ii) seule la correspondance contenant des messages professionnels avait été ouverte et non pas celle personnelle, et que (iii) l’ancien salarié était au courant de la « pratique commerciale » selon laquelle l’employeur, après la cessation du rapport, vérifierait la correspondance qui lui était adressée.
Prenant acte de ce que les faits en cause étaient antérieurs à l’entrée en vigueur du règlement (UE) 2016/679 et que les informations avaient été données aux salariés à l’oral, l’Autorité chargée de la protection des données à caractère personnel a, néanmoins, déclaré illicite l’utilisation répétée du compte de courrier électronique individuel d’une personne n’appartenant plus à une entreprise.
L’Autorité chargée de la protection des données à caractère personnel a en effet affirmé que l’employeur doit agir dans le respect des principes de licéité, de nécessité et de proportionnalité, qui sont les fondements de la protection des données à caractère personnel. Elle a ainsi ordonné la suppression des comptes de courrier électronique d’entreprise attribuables à des personnes identifiées ou identifiables. De manière concomitante à la clôture du compte, selon l’Autorité, l’employeur est tenu de se doter, si nécessaire, de systèmes automatiques pour informer les tiers et leur fournir des adresses de contact alternatives. De plus, l’employeur doit adopter des mesures appropriées pour empêcher la visualisation de messages entrants pendant toute la période où le système automatique est actif.
Au sens de la Décision rendue par l’Autorité, c’est la mise en œuvre de mesures techniques et organisationnelles appropriées qui permet de concilier, d’une part, l’intérêt du titulaire (l’employeur) à accéder aux informations nécessaires pour poursuivre la gestion de l’activité de travail et, d’autre part, d’assurer le respect de l’attente légitime du salarié à la confidentialité de sa correspondance.
De l’avis de l’Autorité, l’adoption d’un règlement intérieur conformément auquel les informations sur la gestion technique et organisationnelle adoptée sont partagées avec les salariés constitue l’une des mesures correctes à mettre en œuvre.