RGPD : le travailleur est considéré comme « responsable de traitement » lorsqu’il n’agit pas sous l’autorité de l’employeur
L’Autorité de protection des données examine une plainte déposée pour consultation injustifiée d’un dossier médical.
L’Autorité de protection des données examine une plainte déposée pour consultation injustifiée d’un dossier médical.
Contexte
Une association hospitalière licencie une travailleuse. Après son licenciement, cette dernière découvre que sa supérieure hiérarchique a consulté son dossier médical, la veille de la rupture du contrat de travail. Cette consultation visait à vérifier si la travailleuse se trouvait dans un « état adéquat » pour l’annonce de son licenciement.
Sur ces bases, une plainte est déposée auprès de l’APD.
Décision
Selon la chambre contentieuse, l’association hospitalière n’est pas « responsable du traitement ».
La supérieure hiérarchique incriminée a, seule, agi en cette qualité : elle n’a pas consulté le dossier médical sous l’autorité de l’association, ni dans le cadre de ses activités. Elle a effectué la consultation vers 22h50, en dehors de son horaire de travail. Elle a, du reste, admis avoir accédé au dossier de manière fautive.
La chambre souligne que, lorsqu’un travailleur opère des traitements en outrepassant les pouvoirs que lui confère son employeur, il peut être réputé seul responsable de traitement.
En l’espèce, la consultation du dossier médical constitue la violation d’une catégorie particulière de données. Conformément au RGPD, l’association hospitalière aurait dû notifier à l’APD cette violation. A titre de circonstances atténuantes, il est cependant tenu compte du fait qu’au moment des faits, le RGPD était en vigueur depuis moins de 2 ans. Le niveau de connaissance de la gestion des données était « moins élevé » qu’actuellement.
S’agissant des mesures techniques et organisationnelles à adopter : les travailleurs disposaient d’un accès trop aisé aux dossiers médicaux. Il est, toutefois, retenu que l’association a entretemps adopté de nouvelles mesures permettant de contrôler et limiter davantage les accès.
Pour ces raisons, la chambre contentieuse prononce un non-lieu à l’égard de l’employeur.
Que retenir ?
L’employeur n’est pas « responsable de traitement » lorsqu’un travailleur agit en outrepassant les pouvoirs qui lui sont conférés. L’employeur demeure tenu à plusieurs obligations, dont celles d’informer l’APD de la violation de données commise par un travailleur et de mettre tout en œuvre pour protéger les données.
Source : APD, décision 64/2025 du 1er avril 2025, disponible sur www.autoriteprotectiondonnes.be