< Retour au sommaire

Attention: en tant qu'employeur vous pouvez être tenu pour responsable en cas de violation de données à caractère personnel par vos travailleurs

L’Autorité de protection des données (APD) a rendu une décision le 13 août dernier qui met en exergue l’importance pour un employeur, en tant que responsable de traitement, de respecter les règles du Règlement Général sur la Protection des Données à caractère personnel (RGPD) et plus particulièrement de veiller à prendre des mesures techniques et organisationnelles appropriées afin de prévenir un abus de la part de ses travailleurs.

Dans les faits qui ont donné lieu à cette décision, une employée communale, Madame Y, au service de la population de la ville Z avait, sans consentement et à des fins privées, consulté les données de l’ex-femme de son partenaire dans le registre national.

Une plainte fût dès lors introduite par l’ex-femme en question contre Madame Y et contre la ville Z auprès de l’APD. La Ville Z avait confirmé la consultation illicite des données personnelles de la plaignante reprises au registre national et avait reconnu l’utilisation non exclusivement professionnelle de Madame Y et déclaré que les dispositions nécessaires ainsi que les mesures adéquates avaient été prises et actées auprès de son département des ressources humaines.

La décision de l’APD

L’APD va dans un premier temps identifier qui est le responsable de traitement. En ce qu’il détermine les finalités et les moyens du traitement (les consultations du registre national sont effectuées uniquement dans le cadre des missions de la Ville Z et c’est cette dernière qui met à disposition les moyens pour effectuer ce traitement via ses systèmes informatiques), la ville Z doit être considérée comme responsable de traitement. L’APD ajoute toutefois que, bien qu’elle ait utilisé les moyens mis à sa disposition par la ville Z, dans la mesure où Madame Y a opéré les consultations litigieuses en dehors du cadre de ses tâches en tant qu’employée de la ville Z, Madame Y doit (également) être considérée comme responsable de traitement pour ces consultations abusives spécifiquement.

L’APD indique ensuite que ceci n’exempte toutefois en rien la ville Z, en tant que responsable du traitement des consultations au registre national, de son obligation d’assurer la sécurité des traitements.

En sa qualité de responsable de traitement, la Ville Z est en effet tenue de mettre en œuvre les principes de protection des données et doit être en mesure de démontrer que ceux-ci sont respectés (principe de responsabilité et de transparence: articles 5.1.a et 5.2 du RGPD), lesquels permettent également aux personnes concernées d’exercer leurs droits (droit d’accès, de rectification, etc.). L’employeur doit notamment prendre des mesures techniques ou organisationnelles appropriées pour veiller à la protection contre le traitement non autorisé ou illicite (garantir, par exemple, comme pour le cas soumis, que seules les personnes qui, dans l’exercice de leur fonction propre, ont besoin d’accéder à telle ou telle donnée doivent pouvoir bénéficier des accès nécessaires à cet effet) et contre la perte, la destruction ou les dégâts d’origine accidentelle.

L’APD ajoute que les composantes classiques des recommandations en termes de sécurité de l’information sont la confidentialité des données, leur intégrité et leur disponibilité et la notion d’imputabilité qui permet de pouvoir identifier, pour toutes les actions accomplies, les personnes, les systèmes ou les processus qui les ont initiées (identification) et de garder trace de l’auteur et de l’action (traçabilité).

L’APD recommande dès lors notamment:

  • la tenue d’un registre journal des log files et insiste sur la journalisation qui constitue un élément incontournable de toute politique de sécurité de l'information, en ce qu’elle permet la traçabilité des accès aux systèmes informatiques.
  • pour des situations comme le cas soumis, de garantir que l’accès au registre national demeure limité aux finalités pour lesquelles cet accès a été autorisé. L’APD indique que le respect du principe de finalité ne peut pas être vérifié si les agents d’une structure telle que la ville Z en l’espèce n’enregistrent pas le motif de la consultation qu’ils opèrent et qu’il n’existe pas de mécanisme de contrôle adéquat garantissant que les agents habilités consultent le registre national dans le cadre de ces seules finalités (comme une application informatique qui permet de légitimer chaque consultation effectuée par son personnel et démontre ainsi que la consultation a eu lieu dans le cadre de l’exercice des tâches du membre du personnel qui a effectué la consultation).

L’APD insiste également sur le fait que le secteur public, comme c’était le cas en l’espèce, doit d’autant plus être vecteur d’exemple dans les mesures qu’il adopte pour garantir le respect du droit à la protection des données personnelles.

Dans le cas d’espèce toutefois, la consultation ponctuelle dénoncée (infraction instantanée) par la plaignante datait d’avant l’entrée en application du RGPD. L’APD n’était donc pas autorisée à en connaître et a dû classer la plainte sans suite.

Intérêt de l'arrêt

En dépit de ce classement sans suite pour une raison de compétence ratione temporis uniquement, cette décision est particulièrement importante car elle rappelle l’importance pour un employeur de veiller à prendre des mesures techniques et organisationnelles appropriées afin de prévenir un abus de la part de ses travailleurs. A défaut de ce faire, il pourra être tenu pour responsable en cas de violation de données à caractère personnel par ses travailleurs. L’APD fournit également des recommandations pratiques et concrètes pour veiller au respect des obligations quant à la sécurité des traitements.

Dans une autre affaire similaire du 26 avril 2021 (décision APD 56/2021) où un travailleur d’une banque avait consulté les données financière de son ex-épouse, l’employeur a été tenu pour responsable et condamné à une amende administrative de 100.000 EUR... A bon entendeur donc!

Marjolaine Dessard
Claeys & Engels

 

Sur le même sujet


< Retour au sommaire

Vous cherchez, vous trouvez!

HR Square | Revue, Infolettre, Réseau, Site web, Séminaires,...

Devenez membre maintenant!
Bénéficiez des avantages