La diffusion d’un fichier listant les travailleurs handicapés d’un organisme gestionnaire

Fait générateur

Le service RH d’un organisme gestionnaire diffuse à ses structures un courriel contenant, en pièce jointe, la liste des personnels salariés à partir de laquelle a été renseignée la Déclaration obligatoire d’emploi des travailleurs handicapés (DOETH) aux fins de vérification. Ici cette liste de diffusion est relativement large.

Analyse

Nous sommes bien avec ce fichier en présence d’un traitement au sens du RGPD et de la CNIL : « toute opération, ou ensemble d’opérations, portant sur [des] données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …) ».

Ce traitement collationne des données sensibles en vertu du Considérant 35 du RGPD : « Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (9) au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ». Dès lors ce traitement devrait faire l’objet d’une analyse d’impact (EIVP).

Conformité de ce traitement

La Déclaration obligatoire d’emploi des travailleurs handicapés (DOETH) est par essence obligatoire ; dès lors collationner les données pour renseigner la DOETH est licite. Il faudrait vérifier préalablement que ce traitement satisfasse à d’autres principes du RGPD, et notamment : la limitation de la conservation, l’information du salarié, l’analyse d’impact. A noter que le salarié ne peut pas s’opposer à ce que ses données personnelles soient traitées dès lors qu’il a choisi d’informer son employeur du fait qu’il a été l’objet d’une notification administrative reconnaissant sa qualité de travailleur handicapé.

Non-conformité de ce traitement

Ce traitement contrevient à au moins 2 éléments de conformité du RGPD :

  • le principe de confidentialité : les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées » (Article 5 du RGPD) ;
  • la sécurité : « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. » (Article 32 du RGPD). En l’espèce la sécurité n’est pas assurée en raison :
    • du support de diffusion choisi : un mail non sécurisé ;
    • du nombre très élevé de professionnels auxquels le traitement a été communiqué, le principe de proportionnalité n’est pas ici respecté. On se posera aussi la question de l’obligation de confidentialité de ces salariés : où et comment est-elle documentée ? quelle information/formation a été délivrée à ces salariés quant au traitement des données sensibles ;
    • enfin la transmission en pièce attachée est un élément aggravant du viol de la conformité en matière de sécurité de par la possibilité ainsi laissée à l’un quelconque des destinataires de télécharger le document, à la marge si le traitement a été transmis sous une forme modifiable (fichier Excel par exemple) cela constituerait un élément aggravant supplémentaire.

Convergence RGPD qu’aurait-il fallu faire ?

  1. une analyse d’impact (EIVP) ;
  2. cette analyse aurait sans doute conduit à s’interroger sur l’opportunité de réaliser un traitement ou de rechercher des solutions alternatives, par exemple le collationnement des RQTH ;
  3. si néanmoins le traitement s’était avéré nécessaire il aurait fallu prévoir un accès sécurisé au document (sur un serveur ad hoc par exemple) avec accès en lecture seule, en interdisant la possibilité de télécharger le document et cela pour un nombre d’acteurs strictement proportionné à la finalité du traitement ;
  4. former/informer les acteurs de ce processus ;
  5. l’existence d’une procédure serait un plus ;
  6. enfin s’agissant de données sensibles l’identification du Responsable du traitement (et des délégations qu’il a pu donner) est indispensable ;
  7. le Délégué à la protection des données aurait ici joué son rôle en réalisant l’analyse d’impact et en assistant le Responsable du traitement.

Les commentaires sont fermés.