Le personnel de la région danoise de Zélande a eu accès à une base de données de santé concernant les patients traités par les hôpitaux publics. La base de données contient des noms, des adresses, des numéros de sécurité sociale et des données de santé. La région a affirmé que l’accès des membres du personnel était nécessaire pour effectuer des tâches administratives multidisciplinaires et améliorer l’efficacité. La région a également souligné que les membres du personnel étaient soumis à des obligations de secret professionnel.

Pour l’autorité danoise de protection des données (APD ; Datatilsynet) dans une décision du 13.09.2023 (https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/sep/region-sjaelland-faar-alvorlig-kritik-for-manglende-sikkerhedsforanstaltninger-; présentée par noyb ici : https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_Region_Sj%C3%A6lland&mtc=today) la région de Zélande doit être considérée comme le responsable de traitement. Conformément à l’article 32 du RGPD, le responsable du traitement met en œuvre des mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié au regard des risques présentés par le traitement.

L’APD a souligné que l’accès aux données à caractère personnel devait être conforme au principe de minimisation des données et être limité aux données strictement nécessaires à l’exécution des tâches liées à l’emploi. Elle n’a pas ignoré l’argument selon lequel des services de santé efficaces nécessitent des activités de traitement étendues de la part des administrations publiques. Toutefois, le responsable du traitement devait vérifier que seuls les membres du personnel dont les tâches étaient liées aux services de santé avaient accès aux dossiers. En l’espèce, la base de données était accessible à un grand nombre de personnes – plus de 16 000 (sic !). Cela était clairement disproportionné à la lumière de l’article 32 du RGPD.

Cette décision est une des nombreuses découlant de situation où l’accès aux données n’est pas réglé sur une politique « need-to-know » rigoureuse et documenté. Dans le cadre du contrat de travail, vous devez avoir accès aux données nécessaires pour l’exécution dudit contrat, ni plus, ni moins. L’employeur doit donc réglementer les accès selon les fonctions, les cahiers des tâches, etc.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)