Une décision de l’autorité de protection islandaise Persónuvernd (Case no. 2021040978) du 19.10.2022 traite de la question de savoir si une banque doit être considérée comme responsable de traitement au sens de l’art. 4 (7) RGPD dans le contexte d’une demande de droit d’accès portant sur des données échangées via l’email professionnel d’un de ses employés, mais qui ne concernaient pas les activités propres de l’employeur.

Elle nie que la banque puisse être considérée comme un responsable de traitement, i.e. comme quelqu’un qui puisse déterminer le but et les moyens du traitement en cause, manifestement étranger aux activités poursuivies par l’employeur. Il concernait en effet les activités syndicales de l’employé, et devrait être traité comme une communication privée.

(Traduction libre anglaise de la décision : https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Iceland)_-_Case_no._2021040978&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)