La personne concernée a posé sa candidature à un poste d’opérateur à la centrale d’alarme d’urgence nationale d’Islande. Lorsqu’elle a posé sa candidature, la personne concernée a été informée qu’une vérification des antécédents des candidats serait effectuée ; mais qu’elle n’avait pas été informée de la portée ou de la finalité du traitement de ses données à caractère personnel et elle n’y avait pas non plus consenti. La centrale d’alarme a ensuite demandé au commissaire de police de rechercher les informations personnelles de la personne concernée dans les dossiers de la police et de les lui transmettre.

La personne concernée a estimé que le manque de transparence concernant le traitement de ses données à caractère personnel constituait une violation du RGPD. Le 31 août 2022, elle a donc déposé une plainte contre le commissaire de police national auprès de l’autorité islandaise de protection des données (APD ; Persónuvernd).

La centrale d’alarme a fait valoir que son étroite collaboration avec le commissaire de la police nationale exigeait de ses employés qu’ils passent une vérification de leurs antécédents policiers, ce qui est prévu par la loi sur la coordination des interventions d’urgence. Elle a ajouté que les candidats sont informés de cette vérification et qu’il leur est demandé de donner leur consentement. En outre, elle a estimé que le commissaire de police est le responsable du traitement puisqu’il détermine la finalité et les moyens du traitement et qu’il est dans l’intérêt de la police de procéder à une telle vérification.

Le commissaire de police a indiqué qu’il n’avait pas reçu de copie du formulaire de consentement de la personne concernée, mais que le traitement de ses données à caractère personnel était nécessaire en raison de l’intérêt public qu’il présentait et que l’échange d’informations avec la centrale avait eu lieu sur la base de la loi nationale sur le traitement des données à caractère personnel à des fins répressives mettant en œuvre la directive sur la protection des données.

Dans une décision 2022081290 du 15.12.2023 (https://www.personuvernd.is/urlausnir/vinnsla-personuupplysinga-af-halfu-rikislogreglustjora), résumée et présentée sur gdprhub (https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Island)_-_2022081290&mtc=today), l’APD a d’abord considéré que le commissaire de police était le responsable du traitement au sens du RGPD. En outre, l’APD a précisé que la loi nationale sur le traitement des données à caractère personnel à des fins répressives ne s’appliquait pas en l’espèce, puisque le traitement ne visait pas spécifiquement à prévenir des infractions pénales, à enquêter sur celles-ci ou à engager des poursuites. C’était donc bien le RGPD qui était applicable.

L’APD a ensuite évalué  si le traitement effectué par le commissaire de police était conforme au RGPD.

L’APD a a examiné les bases juridiques possibles du traitement.

Tout d’abord, l’APD a estimé qu’en règle générale, le traitement effectué par un employeur potentiel ne peut jamais être fondé sur le consentement au titre de l’art. 6 par. 1 point a) RGPD, étant donné le déséquilibre manifeste entre l’employeur et le candidat, et qu’il s’agirait donc d’un consentement forcé. Par conséquent, l’autorité de protection des données a examiné si le traitement était nécessaire pour une tâche effectuée dans l’intérêt public ou par une autorité officielle en vertu de l’art. 6 par. 1 point e) RGPD et si une obligation légale claire prescrivant un tel traitement était donnée conformément à l’art. 6 par. 3 RGPD.

L’APD a considéré que le traitement effectué par le responsable du traitement était nécessaire à la sauvegarde d’un intérêt public, notamment la protection de la sécurité publique et le maintien de l’ordre public, qui font également partie des missions officielles du commissaire de police prévues par la loi. L’APD a également tenu compte du fait que le travail des opérateurs de la centrale d’alarme est étroitement lié à celui de la police et qu’ils ont tous deux accès aux mêmes systèmes d’information, de sorte que le commissaire de police avait également intérêt à vérifier les données relatives aux employés potentiels de la centrale.

En conséquence, l’APD a estimé que la vérification des antécédents effectuée par le responsable du traitement sur les informations relatives à la personne concernée et la transmission ultérieure de ces données à la centrale d’alarme constituent un traitement nécessaire dans l’intérêt public en vertu de l’art. 6 par. 1 point e) RGPD.

Toutefois, l’APD a souligné que toutes les activités de traitement doivent également respecter les principes de traitement énoncés à l’art. 5 RGPD. En l’espèce, en n’informant pas dûment la personne concernée de l’étendue et des finalités du traitement, l’APD a estimé que le responsable du traitement avait agi de manière contraire à la loyauté et à la transparence en vertu de l’art. 5 par. 1 point a) RGPD  et en violation de l’art. 14 RGPD.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)