Accès indu à la boîte email de l’employé

Photo de Sora Shimazaki sur Pexels.com

Une entreprise (responsable du traitement) a inspecté la boîte aux lettres électronique de l’employé (personne concernée) et a transféré automatiquement un courriel de celui-ci après qu’il se soit opposé au traitement de ses données personnelles (droit d’opposition – art. 21 RGPD). L’employé dépose une plainte auprès de l’autorité norvégienne de protection des données (APD ; Datatilsynet) à teneur de laquelle il n’existait aucune base juridique pour accéder à ses e-mails et les traiter.

L’APD a estimé que la transmission automatique du contenu de la boîte aux lettres électronique de la personne concernée ne pouvait être fondée sur l’article 6, paragraphe 1, point f), du GDPR ni sur aucune autre base juridique valable. Le responsable du traitement n’a pas respecté son obligation de procéder à une mise en balance des intérêts après que la personne concernée se soit opposée au traitement, en vertu de l’art. 21 RGPD. Enfin, l’APD a estimé que le responsable du traitement n’avait pas respecté son obligation d’informer la personne concernée de la transmission de ses courriers électroniques, en violation de l’article 13 RGPD. Une amende et différentes injonctions sont prononcées par l’APD. Le responsable de traitement fait recours devant la Personvernnemnda, laquelle rend un arrêt PVN-2022-14 le 13.12.2022.

Tout d’abord, l’autorité de recours a examiné si l’APD avait eu raison d’imposer une amende au responsable du traitement. Il a rappelé que l’article 83 (1) RGPD oblige les APD à s’assurer que les amendes imposées sont effectives, proportionnées et dissuasives. À cet égard, elle a estimé que la transmission illégale d’e-mails constitue une violation des principes fondamentaux de licéité et de transparence (art. 5 par. 1 let. a RGPD). Lorsque les règles fondamentales de protection de la vie privée des employés sont ignorées comme en l’espèce, les violations doivent être considérées comme graves. Par conséquent, l’APD a eu raison d’imposer une amende au responsable du traitement.

L’autorité de recours a également estimé que l’APD avait correctement ordonné au responsable du traitement de revoir et d’améliorer ses procédures d’accès aux boîtes aux lettres électroniques des employés, dans le but d’assurer le respect de la réglementation en matière de protection des données. Le responsable du traitement devrait notamment mettre en place un formulaire de consentement, dans lequel les employés et anciens employés peuvent décider à quelles vérifications de leur boîte de réception ils consentent. La mise en œuvre de ces mesures organisationnelles et techniques fait partie des responsabilités du responsable du traitement en vertu de l’art. 24 RGPD.

Le recours est rejeté.

(Décision originale : https://www.pvn.no/pvn-2022-14; présentée et traduite ici (anglais) : https://gdprhub.eu/index.php?title=Personvernnemnda_(Norway)_-_2022-14_(20/02368))

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s