Newsflash
Protection des données et de la vie privée

Récemment, une amende administrative de 100.000,00 EUR a été infligée à une institution financière par l'Autorité de protection des données (APD). Il était apparu qu'un travailleur, sans autorisation et à des fins personnelles, avait consulté à plusieurs reprises les données financières de son ex-femme. L’APD a estimé que la consultation illicite d'un employé n'exonère pas l'employeur de ses responsabilités et obligations en tant que responsable du traitement des données. Cela est d'autant plus vrai lorsque les travailleurs ont accès à des données sensibles.

Faits


Un cadre occupé par une institution financière a consulté, entre 2016 et 2018, les données de son ex-épouse dans la Centrale des crédits aux particuliers (CCP) de la Banque nationale de Belgique (BNB) pas moins de 20 fois. Après que la BNB ait informé l'ex-épouse du fait que ses données dans le registre CCP avaient été consultées à plusieurs reprises par l'institution financière en question, elle s'est d'abord adressée directement à l'institution financière, puis a déposé une première plainte auprès de l’APD.

Le Service de première ligne de l’APD a alors ouvert une enquête et demandé des informations sur une éventuelle base juridique justifiant ces 20 consultations. En outre, il a demandé une liste de toutes les consultations du registre CCP, l'identité des personnes qui avaient consulté la base de données en question, ainsi que les données consultées. L'institution financière n'a pas été en mesure de fournir des réponses suffisamment adéquates à cette demande, de sorte que l'ex-épouse a déposé une autre plainte auprès de l’APD

Cette fois-ci, la plainte était dirigée à la fois contre l'institution financière et l'ex-mari pour accès illicite à ses données financières dans le registre CCP. Elle souhaitait également obtenir des informations supplémentaires sur les éventuelles sanctions prises par l'institution financière à l'encontre du travailleur.

La Chambre Contentieuse de l’APD a décidé de traiter les deux plaintes dans des dossiers séparés. La discussion ci-dessous ne concerne que la partie de la plainte contre l'institution financière.

Décision de la Chambre Contentieuse de l’APD

Qui est le responsable du traitement des données ?

La GBA décide que l'institution financière doit être considérée comme le responsable du traitement en ce qui concerne les consultations dans le registre CCP puisqu'elle détermine les finalités et les moyens par lesquels les données à caractère personnel sont traitées dans le cadre de la conclusion de crédit. En effet, le fait qu'un gestionnaire ait détourné à tort le moyen disponible - le registre CCP - de sa finalité, à savoir l'obligation préalable de consulter le registre dans le cadre de la conclusion d'un crédit, n'exonère pas l'institution financière de ses responsabilités et de son obligation de respecter les principes relatifs au traitement des données personnelles.

Responsabilités et obligations du responsable du traitement

En tant que responsable du traitement des données, l'institution financière a l'obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir le respect des principes du RGPD et pour assurer la sécurité et la confidentialité des données à caractère personnel et empêcher leur traitement non autorisé par ses travailleurs.

Selon l’APD, la situation spécifique dans laquelle un cadre a pu consulter le registre CCP de la BNB pas moins de 20 fois, sur une période de plus de deux ans, sans être remarqué, démontre que l'institution financière n'avait pas pris de mesures techniques et organisationnelles suffisantes pour protéger les données d'un accès non autorisé par les travailleurs. Le fait que l'institution financière ne disposait d'aucune forme de mécanisme de contrôle pour vérifier si les travailleurs avaient consulté les données par la suite constitue un manquement supplémentaire. En effet, le principe de « responsabilité » (« principe d’accountability ») exige que le responsable du traitement soit en mesure de démontrer à tout moment - et donc également pour tous les employés - de manière transparente et traçable, que les principes du RGPD sont respectés et que la sécurité et la confidentialité sont garanties.

Dans ce contexte, l’APD recommande de tenir des registres informatiques. En effet, les registres informatiques permettent de retracer en détail les différents enregistrements du système informatique par la suite (qui a eu accès à quelles données à quel moment ?) en cas de contrôle ou d'abus (présumé).

Enfin, l’APD a également constaté une violation du devoir d'information et du droit d’accès.

Mesures correctrices et sanctions

L'institution financière a reçu l’ordre de mettre en œuvre, dans un délai de trois mois à compter de la date de la décision, des mesures de sécurité supplémentaires suffisantes pour garantir la sécurité et la confidentialité des données à caractère personnel figurant dans le registre CCP de la BNB. Les mesures supplémentaires que l'institution financière avait déjà prises depuis la révélation de l'incident ont été jugées insuffisantes par l’APD.

En outre, l'institution financière a été condamnée à une amende administrative de 100 000 EUR. L’APD justifie le montant de cette amende par les raisons suivantes : la nature sensible des données faisant l'objet de cette contestation, la longue période pendant laquelle et le nombre de fois que ces consultations illégales ont eu lieu, la quantité de données à caractère personnel sensibles que les travailleurs de l'institution financière doivent traiter quotidiennement et enfin le fait que sans la plainte de l'ex-épouse, ces consultations illicites auraient pu rester sous le radar de l'institution financière pendant une plus longue période.

Point d'action

Attention ! En vertu du RGPD, en tant que responsable du traitement des données, vous êtes responsable de tout traitement illicite de données à caractère personnel par des travailleurs.

Il est donc crucial de mettre en place une policy qui donne des instructions claires aux travailleurs qui traitent des données à caractère personnel dans le cadre de leur travail. Enfin, il est également préférable de prévoir un système de contrôle adéquat (registres informatiques) afin de pouvoir toujours vérifier qui a consulté les données à caractère personnel, quand et pour quelle raison.