La personne concernée est un ambassadeur d’un gouvernement, lequel a travaillé pour le responsable de traitement, l’Organisation pour la sécurité et la coopération en Europe (OSCE).

Le responsable de traitement a ouvert une enquête interne contre la personne concernée après une plainte pour harcèlement sexuel et discrimination à son encontre déposée par un ancien employé de l’OSCE. La personne concernée a fait valoir que les allégations n’étaient pas vraies. Au cours de l’enquête interne, des messages Whatsapp et Telegram ont été divulgués, ce qui n’a révélé aucun comportement de harcèlement ou de discrimination. Le téléphone professionnel de la personne concernée a également été confisqué au cours de l’enquête sans son consentement.

Dans le cadre de l’enquête, une grande partie du contenu du téléphone portable professionnel de la personne concernée a été extraite et analysée. Le contenu déjà supprimé a également été restauré. Bien que les allégations de l’employé n’aient pas été confirmées, la personne concernée a été informée que les photos extraites ou supprimées et restaurées contenaient à la fois de la nudité et du contenu pornographique et qu’une procédure distincte serait donc engagée contre elle pour violation du code de conduite de l’OSCE.

Les données extraites concernaient en grande partie la vie privée et familiale de la personne concernée. Des données de santé des parents de la personne concernée ont également été révélées au cours de l’enquête. Par conséquent, la personne concernée a demandé l’effacement des données obtenues illégalement et d’indiquer quelles données personnelles ont été obtenues et à quels destinataires les données personnelles ont été divulguées.

Le responsable du traitement a répondu qu’il ne donnerait pas suite aux deux demandes en raison de son immunité.

La personne concernée a déposé et la personne avec laquelle elle est mariée ont une plainte auprès de l’autorité de protection des données autrichienne (APD ; Datenschutzbehörde). Elles ont fait valoir qu’il y avait eu une violation de leur droit à la confidentialité dans la mesure où le responsable du traitement avait analysé le téléphone professionnel de la personne concernée, sur lequel étaient stockées des données personnelles (sensibles). Les personnes concernées ont fait valoir que non seulement les données professionnelles avaient été analysées, mais également les contenus privés, qui avaient pourtant été référencés comme tels. Elles ont fait valoir qu’il n’y avait aucune base légale pour cela. Elles ont en outre fait valoir que leur droit d’accès avait été violé, car elles n’étaient pas informées des destinataires qui avaient reçu leurs données personnelles. Les personnes concernées ont en outre fait valoir que leur droit à l’effacement avait été violé.

L’APD, dans une décision ORD – 2023-0.594.826 du 3 avril 2024 présentée et commentée sur gdprhub (https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2023-0.594.826&mtc=today) a d’abord examiné si elle était compétente pour prendre une décision en la matière.

En vertu de l’article 4, paragraphe 7 du RGPD , les organisations internationales ne sont pas exclues de la définition de responsable du traitement. L’APD a estimé que le critère du champ d’application territorial visé à l’article 3 du RGPD était également rempli, car le responsable du traitement avait son siège officiel à Vienne. En général, le champ d’application matériel de l’article 2, paragraphe 1, du RGPD s’appliquerait également dans la mesure où la DPA a constaté qu’un traitement automatisé des données a eu lieu.

Cela étant dit, l’APD a constaté qu’il existait un accord entre la République d’Autriche et le responsable du traitement qui régissait le statut juridique et les immunités de l’OSCE (accord de siège). Bien que les organisations internationales ne bénéficient pas d’une immunité totale quant à leurs actions dans l’État hôte, l’APD n’a compétence que si cela est prévu ou pas explicitement refusé par un accord de siège. L’accord de siège entre le responsable du traitement et la République d’Autriche prévoyait que les lois autrichiennes (et donc également le RGPD) s’appliquent au responsable du traitement, à moins que le responsable du traitement n’ait établi sa propre réglementation spécifique (voir l’article 5, paragraphe 6, point a) du l’Accord de siège). L’APD a constaté que le responsable du traitement disposait d’une réglementation interne pertinente pour la protection des données personnelles (l’« Instruction administrative de l’OSCE sur la protection des données personnelles n° 2/2022 »), qui comprenait un droit de recours et la possibilité d’obtenir une garantie /protection juridique. Par conséquent, le RGPD ne s’appliquait pas matériellement et l’APD a donc estimé que le droit de déposer une plainte devant elle devait être refusé.

L’APD a toutefois constaté que le règlement intérieur du responsable du traitement concernant la protection des données personnelles n’était pas comparable au RGPD en termes de portée et, notamment, de possibilité de protection juridique. L’APD a noté que les droits constitutionnellement garantis de la personne concernée pourraient avoir été violés par les règles du responsable du traitement. L’APD a toutefois estimé qu’elle ne pouvait pas examiner si ces réglementations étaient inconstitutionnelles car, selon le droit national autrichien, cette question relevait exclusivement de la Cour constitutionnelle (voir article 140a B-VG ).

L’ADP  a donc rejeté la plainte.

Me Philippe Ehrenström, avocat, LLM, CAS