En décembre 2021, le tribunal du travail de Neuruppin a condamné un employeur à verser des dommages et intérêts d'un montant de 1.000€ à une ancienne employée en vertu de l'article 82 du RGPD. La raison en était que l'ancienne employée avait continué à être mentionnée par l'employeur sur son site web après la fin de la relation de travail.
Cela aurait pu être évité grâce à un concept de suppression efficace et à une gestion durable des droits des personnes concernées. Vous trouverez ici ce que vous devez savoir à ce sujet.
Le cas - Dommages et intérêts en vertu de l'article 82 du RGPD
Les faits sur lesquels le tribunal du travail de Neuruppin a dû se prononcer se présentent comme suit : La plaignante était employée par la défenderesse. Elle était employée en tant que collaboratrice dans la gestion de bureau, mais disposait également d'un diplôme universitaire de biologiste.
Dans le cadre de la fin de la relation de travail, la requérante a attiré l'attention de la défenderesse sur le fait que le site web de la défenderesse mentionnait toujours la requérante, notamment en tant que biologiste. Cette lettre indiquait en même temps que les mentions sur le site web ne devaient plus être maintenues et que la demanderesse s'était par ailleurs adressée à la commissaire régionale à la protection des données après l'expiration de tous les délais fixés jusqu'à présent.
Sur le site web de la défenderesse, un contenu concernant la demanderesse a continué d'apparaître, dans lequel celle-ci était décrite comme une biologiste collaboratrice. La plaignante a alors demandé une déclaration d'abstention et une compensation financière. La défenderesse a fait la déclaration et a payé 150 € à la demanderesse.
La plaignante a alors porté plainte et a demandé au tribunal 5.000€ de dommages et intérêts.
Le tribunal a accordé à la plaignante un droit de 1.000€ (moins la somme versée) au titre de l'article 82 du RGPD. Les conditions de l'article 82 du RGPD (violation du RGPD (droits des personnes concernées), dommage en résultant et responsabilité) étaient remplies. Le tribunal n'a pas jugé nécessaire de prouver un préjudice concret. Le montant s'est basé sur la jurisprudence actuelle.
Avec ce jugement, le tribunal du travail de Neuruppin poursuit l'interprétation favorable aux travailleurs du droit de la protection des données par les tribunaux du travail et démontre de manière impressionnante les risques élevés pour les entreprises en cas de (prétendue) violation de la protection des données. Le fait que le montant total des demandes de dommages et intérêts peut rapidement augmenter si une infraction touche plusieurs employés est particulièrement explosif.
Mesures de protection pour les employeurs
Pour se prémunir contre de tels paiements de dommages et intérêts, les employeurs doivent non seulement mettre en place un concept de suppression efficace, mais aussi une gestion durable des droits des personnes concernées.
Concept de suppression selon le RGPD
Le RGPD contient non seulement des dispositions relatives à la collecte et au stockage des données, mais aussi à leur suppression, qui devient même obligatoire. Les autorités de contrôle compétentes contrôlent donc également cette obligation. En cas d'infraction, les personnes concernées risquent de se voir infliger des amendes élevées, même si elles ne sont pas plaignantes.
La conservation des données n'est autorisée que pendant la durée nécessaire à la réalisation de la finalité (limitation de la conservation et limitation de la finalité du traitement). Grâce à un concept d'effacement, le responsable peut définir des règles indiquant quand quelles données doivent être effacées. Ainsi, un concept d'effacement est toujours adapté individuellement à chaque responsable. Pour élaborer un tel concept d'effacement, une analyse précise des opérations de traitement et des données concernées est donc nécessaire.
Il faut également veiller à ce que les données soient réellement effacées à la fin, c'est-à-dire qu'elles soient rendues méconnaissables.
Gestion des droits des personnes concernées selon le RGPD
Les droits des personnes concernées découlant du RGPD servent à donner aux personnes concernées le contrôle de leurs données. L'entreprise doit disposer d'infrastructures appropriées, notamment en ce qui concerne les demandes d'information. Si les demandes d'information ne sont pas suffisamment prises en compte, des amendes peuvent être infligées dans ce domaine également.
Dans la pratique, une demande d'information peut s'avérer très vaste et complexe. Le responsable doit tout d'abord identifier la personne concernée, respecter des délais pour répondre et également tenir compte de la portée de la demande.
Pour mettre cela en œuvre de manière durable, des processus de protection des données appropriés sont indispensables selon le RGPD. Le responsable doit être préparé aux demandes d'information avant que la première ne lui parvienne. Pour ce faire, des capacités tant techniques qu'humaines sont nécessaires.
Nos experts sont là pour vous aider !