Avec la crise sanitaire et la digitalisation du travail, l’utilisation d’outils permettant la tenue de réunions en ligne a fortement augmenté ces dernières années. Cependant, chaque réunion implique le traitement de données à caractère personnel des participants. Il faut dès lors rester vigilant à respecter les législations applicables en la matière.
Récemment, la fédération espagnole de football a été condamnée par l’autorité de protection des données espagnole à une amende de 200.000 euros pour avoir diffusé une réunion tenue sur Zoom en violation du RGPD (100 000 € pour la violation de l’article 13 du GDPR et 100 000 € pour la violation de l’article 6(1) du GDPR).
Quels sont les faits ?
Dans les faits, des représentants de la Fédération espagnole de football, de l’Association des footballeurs espagnols et de la Ligue de football professionnel avaient tenu une réunion via Zoom pour discuter des conséquences de la crise sanitaire sur le monde du football.
La fédération a ensuite divulgué l’enregistrement de la réunion à deux radios espagnoles.
Quelle décision a prise l’autorité de protection des données espagnole ?
Les participants de la réunion ont porté plainte devant l’autorité de protection des données espagnole. Celle-ci a décidé que la fédération avait violé le RGPD à différents égards :
- La diffusion de l’enregistrement de la réunion aux médias ne repose sur aucune base de licéité. Bien que la loi espagnole permette aux organismes publics d’enregistrer leurs réunions à des fins de documentation, cette obligation légale ne couvre pas le partage subséquent de la réunion dans les médias.
- Indépendamment de la base de justification du traitement, les finalités poursuivies par le partage de l’enregistrement de la réunion pouvaient être atteintes de manière moins attentatoire à la vie privée des participants. Par exemple, au lieu de diffuser tout l’enregistrement de la réunion, il aurait suffi de partager le compte rendu écrit de la réunion ou d’une partie de la réunion. Il y a donc violation du principe de minimisation.
- Les participants n’ont pas été suffisamment informés de cette divulgation de leurs données. Par conséquent, il y a violation par le responsable du traitement de l’obligation de transparence et d’information.
Quels sont les enseignements à retirer de cette sanction ?
Cette décision a également été l’occasion pour l’autorité espagnole de mettre au clair certains enseignements qui doivent être pris en compte lorsque vous tenez une réunion en ligne :
- Le fait qu’un traitement repose sur une obligation légale ne dispense pas le responsable du traitement de se conformer à son obligation d’information des personnes concernées.
- Pour ce faire, le responsable du traitement doit informer les participants non seulement sur l’enregistrement de la réunion mais également sur la rediffusion (potentielle) de cet enregistrement. Le responsable du traitement doit ensuite être en mesure de prouver que l’information a bien été fournie aux personnes concernées.
- Le point rouge qui indique sur zoom que la réunion est enregistrée, même s’il est accompagné de la mention « enregistrement » affichée à l’écran, n’est pas suffisante pour informer les participants du traitement de leurs données.
- Une base de licéité justifiant l’enregistrement de la réunion ne légitime pas automatiquement la rediffusion et le partage de cet enregistrement avec des tiers. Il s’agit en effet de traitements distincts qui nécessitent chacun une base de légitimité.
Ce n’est pas tout…
Par ailleurs, lorsqu’on enregistre et diffuse l’enregistrement d’une visioconférence, il s’agit non seulement d’un traitement de données à caractère personnel mais également d’une utilisation de l’image des participants dont la caméra est enclenchée durant la réunion. Il faut donc également être attentif à respecter le droit à l’image de ces personnes.
De plus, l’utilisation de fournisseurs d’outils de vidéoconférence établis en dehors de l’Union européenne implique très certainement un transfert de données vers un pays tiers. Or, un tel transfert, en particulier vers les USA, ne peut avoir lieu qu’à des conditions très strictes, comme nous avons déjà eu l’occasion de l’exposer. L’utilisation d’un prestataire situé hors de l’UE comporte donc un risque juridique.
Notre conseil :
En conclusion, bien que la tenue de réunion en ligne présente une multitude d’avantages, il faut s’assurer préalablement que l’utilisation de cet outil soit faite de manière conforme aux différentes législations applicables, notamment :
- le RGPD et ses principes tels que :
- l’obligation d’information des personnes concernées
- l’obligation de faire reposer le traitement sur une base de légitimité
- le principe de minimisation
- les règles applicables aux transferts de données
- le droit à l’image des participants
L’équipe Lexing reste à votre disposition pour toute question concernant l’utilisation d’outil de vidéoconférence ou toute autre question relative à la protection des données.