Accès non-autorisé aux données : responsabilités

Accès non-autorisé aux données : qui est responsable de quoi ?

Dans un contexte où la protection des données personnelles est devenue cruciale, un cas récent en Belgique soulève des questions importantes sur la responsabilité en matière de traitement des données. Une salariée d'un établissement de santé a découvert que sa supérieure hiérarchique avait accédé à son dossier médical sans autorisation préalable. Cette consultation avait pour but de vérifier son état de santé avant de lui annoncer son licenciement. La salariée a donc déposé une plainte auprès de l'autorité belge de protection des données (APD), invoquant une violation de l'article 6 du RGPD pour défaut de base légale.

Responsabilité de l'établissement de santé

L'enquête menée par l'APD a révélé que la supérieure hiérarchique avait agi de manière autonome, sans instruction de l'établissement de santé. Cette autonomie a conduit l'APD à conclure que l'établissement ne pouvait être considéré comme responsable du traitement des données. Cette décision soulève des questions sur la définition de la responsabilité dans le cadre du RGPD, notamment lorsque des employés agissent de leur propre chef.

Notification de la violation de données

Bien que l'APD ait déterminé que l'établissement de santé n'était pas responsable du traitement, elle a néanmoins estimé qu'il aurait dû notifier la violation de données. Cette obligation de notification est un aspect crucial du RGPD, visant à garantir la transparence et la protection des droits des personnes concernées. Cependant, dans ce cas précis, aucune sanction n'a été prononcée contre l'établissement, ce qui interroge sur l'application des sanctions en cas de non-respect des obligations de notification.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Former le personnel : Assurez-vous que tous les employés comprennent leurs responsabilités en matière de protection des données.

- Mettre en place des procédures claires : Établissez des protocoles pour l'accès aux données sensibles et la notification des violations.

- Surveiller les accès : Utilisez des outils pour suivre et auditer l'accès aux données personnelles.

- Réviser les politiques internes : Mettez à jour régulièrement vos politiques de protection des données pour refléter les meilleures pratiques et les exigences légales.