La protection des données personnelles, principe régi par l'Union européenne à travers le Règlement Général sur la Protection des Données (RGPD), n'a pas vocation à sanctionner les personnes en cas de non-conformité. La sanction est la conséquence du non-respect de la législation. C'est un droit fondamental permettant de protéger les individus, à divers niveaux. L'Agence espagnole de la protection des données (AEPD) a rappelé récemment la nécessité d'encadrer le traitement des données personnelles des personnes concernées.
Les faits
Dans cette affaire, la personne concernée a été embauchée par un syndicat de copropriété afin d'effectuer des tâches ménagères au sein du bâtiment. Des propriétaires l'ont incluse dans un groupe WhatsApp, sans son consentement, afin de surveiller son activité professionnelle, lui ordonnant d'envoyer des photographies des tâches effectuées à la fin de chaque journée de travail.
La prestataire a contacté son employeur pour exprimer son refus de transférer ses données personnelles à des tiers, soit l'application, ce qui a finalement entraîné son licenciement.
Elle a également fourni une lettre adressée au syndicat réclamant l'exercice du droit d'accès à ses données personnelles détenues par celui-ci, sans avoir obtenu de réponse. Elle a alors déposé une plainte à l'AEPD.
La décision de l'AEPD
Alors qu'un traitement de données doit avoir une base légale afin de le légitimer, l'AEPD considère que rien ne prouve qu'il en existe une pour le traitement des données de la plaignante, conformément à l'article 6.1 du RGPD, en ce qui concerne le numéro de téléphone mobile, qui a été utilisé par le syndicat, afin d'être inclus dans un groupe Whatsapp.
De plus, elle retient que le syndicat a violé l'article 15 du RGPD, puisque la requérante a exercé son droit d'accès auprès du syndicat, qui ne prouve pas y avoir répondu.
L'AEPD a alors sanctionné le syndicat d'une amende de 1.500€ en violation de l'article 6.1 du RGPD, et d'une amende de 500€ en violation de l'article 15 de ce même Règlement.
💡 Cette affaire est une parfaite démonstration de l'importance de la protection des données personnelles. Le champ d'application du Règlement est largement étendu, et, dès lors qu'il existe des risques pour les droits et libertés des individus, il s'applique, même si cela ne concerne que quelques particuliers.