La personne concernée avait demandé au responsable du traitement d’installer un dispositif de sécurité dans sa maison. Ce dispositif était équipé de détecteurs de mouvement/caméra qui permettaient de surveiller l’emplacement par le biais d’une application mobile, ainsi que d’autres fonctionnalités telles que la commande à distance, les sirènes, le lecteur de clés, les clés intelligentes, etc.

Lors d’un cambriolage, le dispositif de sécurité a été détruit. La personne concernée n’a reçu aucune notification. Elle a alors adressé au responsable du traitement une demande d’accès à ses données à caractère personnel. Toutefois, le responsable du traitement a rejeté la demande. La personne concernée a donc déposé une plainte auprès de l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos), qui a confirmé que le responsable du traitement devait faciliter l’accès aux données et lui a ordonné de donner suite à la demande.

Après cette décision, le responsable du traitement a fourni un dossier contenant certaines des données demandées, mais la personne concernée a estimé que les informations étaient incomplètes et incompréhensibles et a déposé une nouvelle demande de droit d’accès. Selon la personne concernée, les données ne comprenaient pas, par exemple, les images capturées par le dispositif à la date de l’invasion de leur maison. D’autre part, le responsable du traitement a prétendu qu’il avait simplement omis de fournir les journaux d’activité technique (technical log) utilisés pour contrôler les performances du dispositif, étant donné qu’il ne s’agissait pas de données à caractère personnel.

L’APD, dans une nouvelle décision AEPD – PS/00281/2022 du 21 avril 2023 (texte : https://www.aepd.es/es/documento/ps-00281-2022.pdf; présentation et traduction par Isabela Maria Rosal : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00281/2022) souligne que la notion de données à caractère personnel prévue à 4 ch. 1 RGPD ne doit pas être interprétée de manière restrictive.

Tous les journaux techniques (technical log) générés par l’appareil, y compris ceux qui sont exclusivement exploités par les employés du responsable du traitement pour contrôler ses performances, constituent des données relatives à la personne concernée.

Le dispositif a été installé au domicile de la personne concernée, sur la base d’un contrat, et contenait un identifiant numérique unique qui permettait d’identifier la personne concernée. Par conséquent, toutes les données générées par l’appareil sont personnelles et sont couvertes par le droit d’accès prévu par l’art. 15 RGPD.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)