Le service d’urgence du Capitole au Danemark (Hovedstadens Beredskab I/S) (responsable du traitement) a signalé une violation de données à l’autorité danoise de protection des données après avoir constaté que les données relatives aux ressources humaines étaient largement accessibles.

La violation de données a été signalée après que le responsable du traitement a appris que son nouveau système de gestion électronique des dossiers et des documents permettait à tous les employés d’accéder aux données à caractère personnel des employés actuels et anciens. Les données comprenaient les noms et prénoms, les numéros de sécurité sociale et les adresses, y compris les adresses protégées, de plus de 2000 personnes. Après enquête, il a été constaté que six utilisateurs ont pu accéder aux informations concernant des employés actuels ou anciens, alors qu’ils n’en avaient pas besoin dans le cadre de leur travail.

Il ressort de la déclaration du responsable du traitement que celui-ci et le fournisseur du système ESDH n’étaient pas conscients du fait que ces informations étaient accessibles à tous les employés.

Selon l’Autorité danoise de protection des données (APD ; Datatilsynet), dans une 2022-442-21566 du 22 mars 2023 (https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/mar/kritik-af-hovedstadens-beredskabs-mangelfulde-rettighedsstyring, présentée et commentée par Maximilien Hjortland sur GDPRhub : https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2022-442-21566&mtc=today), il découle de l’article 32, paragraphe 1 RGPD, que le responsable du traitement a l’obligation d’identifier les risques que le traitement qu’il effectue présente pour les personnes concernées et de veiller à ce que des mesures de sécurité appropriées soient mises en place pour protéger les personnes concernées contre ces risques.

L’autorité de protection des données a estimé que l’article 32 du RGPD signifie normalement que l’accès des utilisateurs aux systèmes RH doit être limité aux données à caractère personnel qui sont nécessaires pour les besoins professionnels des utilisateurs en question [c’est le « need to know basis »]. Dans ce cas particulier, l’APD a estimé que seuls les employés du service des ressources humaines du responsable du traitement devaient avoir accès aux informations en question. Elle a donc reproché au responsable de traitement de ne pas avoir veillé à ce que des mesures techniques et organisationnelles soient mises en œuvre conformément à l’article 32, paragraphe 1 RGPD.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)