La personne concernée était un ancien employé du responsable du traitement, une organisation qui soutenait les personnes adultes handicapées.

Pour son travail, il a utilisé une adresse email professionnelle pendant environ 8 ans, parfois aussi pour des courriers électroniques privés. Cette adresse email ne contenait aucun identifiant direct se rapportant à la personne concernée.

Le 15 septembre 2020, la personne concernée a été licenciée. Le responsable du traitement a révoqué l’accès de la personne concernée à l’adresse email  en modifiant le mot de passe et en supprimant le compte d’utilisateur. Le 25 mai 2021, la personne concernée a déposé une demande d’accès auprès du responsable du traitement. Elle a demandé les données à caractère personnel contenues dans la boîte aux lettres électronique et les documents de son dossier d’emploi. Il souhaitait également obtenir des informations sur ce qu’il était advenu de son adresse  électronique après son licenciement.

Le 22 février 2022, la personne concernée a déposé une plainte contre le responsable du traitement auprès de l’autorité de protection belge (APD ; Gegevensbeschermingsautoriteit). Au cours de la procédure, il est apparu clairement qu’après le 4 janvier 2018, l’adresse électronique était également utilisée par d’autres employés du responsable du traitement. Avant cette date, la personne concernée était la seule à utiliser cette adresse électronique et elle avait envoyé des courriels en les signant de son nom personnel.

L’APD, dans une décision 40/2023 du 03.04.2023, a notamment dû évaluer si l’adresse électronique elle-même constituait une donnée à caractère personnel au sens de l’art. 4 (1) RGPD. Étant donné qu’il s’agissait d’une adresse électronique professionnelle (et non personnelle), elle ne contenait aucun identifiant, tel un nom, qui rendrait la personne concernée directement identifiable. L’adresse  était liée au service, et non à une personne. Par conséquent, l’APD a estimé qu’il était nécessaire de déterminer si il existait des identifiants indirects. Il a souligné qu’il était nécessaire de faire une distinction entre la situation antérieure au 4 janvier 2018 et la situation postérieur eà cette date.

En effet, avant le 4 janvier 2018, l’adresse électronique constituait une donnée à caractère personnel. La personne concernée a affirmé qu’elle avait été la seule personne à utiliser cet e-mail, et le responsable du traitement n’a pas été en mesure de prouver le contraire. Compte tenu du fait que la personne concernée était la seule à utiliser l’e-mail et qu’elle signait ses e-mails en utilisant son nom personnel, il était possible pour les destinataires d’identifier la personne concernée comme l’administrateur de l’e-mail au fil du temps. Toutefois, après le 4 janvier 2018, l’adresse électronique n’était plus une donnée à caractère personnel, puisque le responsable du traitement a pu prouver que l’adresse électronique était utilisée par plusieurs employés après le 4 janvier 2018. Par conséquent, l’adresse email n’était une donnée à caractère personnel que jusqu’au 4 janvier 2018.

(Décision : https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-40-2023.pdf; présentation complète : https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-40-2023.pdf)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)