L’Autorité Garante est revenue sur la vieille question de l’équilibre précaire entre les obligations de transparence, dans le chef des PP.AA. – côté sensu – et les droits des personnes concernées, en infligeant une sanction administrative de 2000 euros pour traitement illicite des données à caractère personnel avec la mesure n. 255 du 24 juin 2021. Le cas en question concerne la violation des droits d’une employée qui voyait publiées, dans la section « Transparence administrative » du site internet de l’Institut scolaire, certaines de ses données personnelles concernant, notamment, des informations relatives à l’état de santé (données relatives à la santé).
Les données en question avaient été téléchargées par le même employé à l’intérieur du portail intranet de l’Institut à l’appui d’une demande/instance propre et flagellées par le personnel administratif de l’Institut scolaire comme documents accessibles au public et de libre consultation.
À la suite de la signature comme documents publics, les données étaient accessibles à la fois à partir du site internet de l’école et à travers les moteurs de recherche, en particulier Google, dans lequel en entrant simplement le nom de l’employé le résultat indexé conduisait au répertoire où les fichiers étaient attribués.
La personne concernée a immédiatement exercé les droits que lui confère le règlement européen et le code de confidentialité en demandant l’effacement immédiat des données du portail internet et l’interdiction de leur consultation publique.
La requête a été immédiatement acceptée par le dirigeant de l’Institut scolaire, qui a informé la personne concernée de l’acceptation de la requête et de la suppression des données, ainsi que des obligations relatives à la déclaration au contrôleur de la vie privée.
Par la suite, l’intéressé a introduit une plainte auprès de l’Autorité Garante en demandant d’instruire l’affaire et d’examiner si le traitement faisant l’objet de la plainte pouvait être considéré comme illicite en prenant toutes les mesures nécessaires.
Le Garant a instruit le cas, en évaluant les documents présentés et en demandant des mémoires défensives au titulaire du traitement, en décidant à hésite de l’activité instruction de ne pas classer la réclamation mais au contraire de sanctionner l’Institut Scolaire pour la violation des artt. 5, paragraphe 1, sous a) et c), 6, paragraphe 1, sous c) et e) et 2 et 3, sous b) et 9 par.4 du règlement, ainsi que des articles. 2-ter, alinéas 1 et 3 et 2-septies, par.8, du Code, en tant que sanction administrative pécuniaire retenue, au sens de l’article 5, paragraphe 2, du Code. 83, paragraphe 1, du règlement, effective, proportionnée et dissuasive.
L’Autorité Garante a réaffirmé des concepts importants auxquels les employeurs publics doivent se conformer dans l’accomplissement de leurs obligations publiques de transparence administrative, compte tenu également de leur rôle de responsables du traitement des données personnelles de leurs employés.
En effet, dans la mesure en cause le Garant a rappelé ses lignes guide relatives au « traitement de données à caractère personnel, y compris dans des actes et documents administratifs, effectué à des fins de publicité et de transparence sur le web par des entités publiques et d’autres entités assujetties », en précisant qu’aucun traitement de données à caractère personnel ne peut être effectué, dans le domaine public, en utilisant tout court les obligations de transparence comme base juridique du traitement. Dans ces conditions, le responsable du traitement devra néanmoins procéder à une évaluation (c.d. équilibrage) en décidant si la base juridique est propre à ne pas constituer un traitement illicite des données à caractère personnel.
Il importe également de préciser que l’Autorité est mieux à même de protéger les données relatives à la santé physique ou mentale d’une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations relatives à son état de santé>. 4, par. 1, n. 15, GDPR en soulignant qu’ils ne peuvent pas faire l’objet d’une diffusion publique au sens de l’art. 2-septies, co. 8, Code Privacy et art. 9, par. 4, RGPD.
Pour l’octroi de l’amende, le Contrôleur a tenu compte du comportement de l’Institut scolaire, en particulier de sa coopération, de la cessation effective du traitement illégal dans le délai prévu ex lege, et l’exécution précise des obligations découlant du traitement illicite. Tout cela, cependant, n’a pas été suffisant pour empêcher l’imposition de la sanction administrative et la publication de la mesure sur le site Internet de l’Autorité Garante ex art. 166, co. 7, Code Privacy ed art. 16 del Regolamento del Garante n. 1/2019.
Les raisons invoquées par le Contrôleur résident dans le fait que la coopération efficace et fructueuse du plaignant, ainsi que l’absence de dol et de faute grave, En outre, la Cour a jugé que la Commission n’était pas en mesure de prendre les mesures nécessaires pour assurer la protection des données à caractère personnel. 83, RGPD.
L’utilisation de plus en plus fréquente des nouvelles technologies, prévues dans le cadre de la numérisation de l’Administration Publique, nécessite plus d’attention dans le traitement des données personnelles (des employés) par les employeurs publics, ainsi que du personnel dûment formé et spécialisé, capable d’intercepter immédiatement un traitement non conforme aux exigences en matière de traitement des données personnelles imposées par le Règlement européen.
SOURCE: FEDERPRIVACY