Décision 64/​2025 de l’Autorité de protec­tion des données (Belgique) du 1er avril 2025

Faits

Une employée, licen­ciée par une asso­cia­tion hospi­ta­lière, apprend que sa supé­rieure hiérar­chique a consulté son dossier médi­cal la veille de la noti­fi­ca­tion de son licen­cie­ment. Elle intro­duit une plainte devant l’Autorité de protec­tion des données belge (Gegevensbeschermingautoriteit) allé­guant une viola­tion du RGPD, notam­ment au regard du défaut de noti­fi­ca­tion de cette viola­tion (art. 33 RGPD). La déci­sion est fina­le­ment rendue par la Chambre Contentieuse le 1er avril 2025.

L’Association Hospitalière admet la consul­ta­tion fautive, mais soutient que la supé­rieure a agi de sa propre initia­tive, sans instruc­tion de sa part. Une procé­dure disci­pli­naire est ouverte à l’encontre de la supé­rieure, mais aucune noti­fi­ca­tion de la viola­tion n’est effec­tuée auprès de l’autorité de contrôle.

Responsable de trai­te­ment : disso­cia­tion hiérar­chique et quali­fi­ca­tion autonome

L’une des prin­ci­pales contri­bu­tions de cette déci­sion réside dans la quali­fi­ca­tion juri­dique opérée par la Chambre Contentieuse quant à la notion de respon­sable du trai­te­ment, lorsqu’un sala­rié, en l’occurrence une supé­rieure hiérar­chique, accède de manière illi­cite à des données sensibles. En l’espèce, la Chambre consi­dère que la supé­rieure hiérar­chique a agi non pas au nom de son orga­ni­sa­tion, mais en tant que respon­sable auto­nome du trai­te­ment au sens de l’art. 4 par. 7 RGPD, dans la mesure où elle aurait déter­miné seule les fina­li­tés et les moyens du trai­te­ment en cause, à savoir la consul­ta­tion du dossier médi­cal d’une subor­don­née à la veille de son licenciement.

Cette analyse repose sur une série d’éléments factuels que la Chambre estime déci­sifs. Elle relève notam­ment que la consul­ta­tion du dossier s’est produite en dehors des heures habi­tuelles de travail, qu’aucune instruc­tion n’avait été donnée par l’association hospi­ta­lière et que la supé­rieure a reconnu avoir agi de sa propre initia­tive, moti­vée par le souci d’évaluer la capa­cité psycho­lo­gique de la plai­gnante à rece­voir la nouvelle de son licen­cie­ment. Ce faisant, la Chambre conclut que l’intéressée a agi en dehors du péri­mètre d’autorité qui lui était confié, en détour­nant à des fins person­nelles une préro­ga­tive profes­sion­nelle, ce qui justi­fie­rait l’exclusion de la respon­sa­bi­lité de l’employeur.

Cette posi­tion, bien qu’en appa­rence conforme aux lignes direc­trices du Comité euro­péen de la protec­tion des données (CEPD), soulève des diffi­cul­tés d’ordre systé­mique. En effet, il est géné­ra­le­ment admis que lorsqu’un sala­rié traite des données dans le cadre de son acti­vité profes­sion­nelle, ce trai­te­ment est réputé être effec­tué sous l’autorité de l’organisation, sauf à démon­trer une rupture mani­feste dans le lien de subor­di­na­tion ou un détour­ne­ment tel que le trai­te­ment ne puisse raison­na­ble­ment être ratta­ché aux fina­li­tés pour­sui­vies par l’entité. Or, dans une struc­ture hospi­ta­lière où l’organisation conserve la maîtrise des accès, des habi­li­ta­tions et des dispo­si­tifs de contrôle interne, il peut paraître exces­si­ve­ment forma­liste d’écarter sa qualité de respon­sable au motif que la consul­ta­tion incri­mi­née n’a pas été expres­sé­ment comman­dée ou auto­ri­sée. Une telle lecture pour­rait conduire à fragi­li­ser le prin­cipe même d’imputabilité du respon­sable du trai­te­ment, en ouvrant la voie à une segmen­ta­tion de la respon­sa­bi­lité fondée sur des appré­cia­tions subjec­tives de l’intentionnalité des acteurs.

En outre, une telle disso­cia­tion pour­rait avoir pour effet de restreindre la portée de la protec­tion offerte aux personnes concer­nées. En écar­tant l’employeur du champ de la respon­sa­bi­lité, le justi­ciable se voit privé de la possi­bi­lité de soule­ver à son encontre les obli­ga­tions incom­bant au respon­sable du trai­te­ment au titre des art. 24 et 32 du RGPD, en matière de préven­tion, de contrôle et de réac­tion aux inci­dents. La respon­sa­bi­lité du supé­rieur hiérar­chique, en tant que personne physique, reste en pratique diffi­cile à mettre en œuvre, notam­ment en raison de l’absence d’assise orga­ni­sa­tion­nelle, de moyens finan­ciers ou d’obligations procé­du­rales équi­va­lentes à celles d’une personne morale.

La quali­fi­ca­tion rete­nue par la Chambre, si elle permet d’individualiser la faute et de souli­gner le carac­tère déviant du compor­te­ment de la supé­rieure, s’écarte donc d’une approche fondée sur la respon­sa­bi­lité struc­tu­relle de l’employeur.

Violation de données : absence de noti­fi­ca­tion malgré la sensi­bi­lité des données

La seconde ques­tion centrale abor­dée par la Chambre Contentieuse concerne l’absence de noti­fi­ca­tion à l’autorité de contrôle d’un accès non auto­risé à des données de santé, en l’espèce le dossier médi­cal d’une employée. La Chambre recon­naît sans équi­voque qu’il y a eu une viola­tion de données à carac­tère person­nel au sens de l’art. 4 par. 12 RGPD, dès lors que la supé­rieure hiérar­chique a accédé de manière non auto­ri­sée à des données de santé, lesquelles relèvent d’une caté­go­rie parti­cu­lière de données proté­gées par l’art. 9 RGPD. En dépit de cette recon­nais­sance, la Chambre admet que la défen­de­resse n’était pas tenue, au moment des faits, de noti­fier ladite viola­tion à l’autorité de contrôle.

Cette conclu­sion repose sur une lecture contex­tua­li­sée des obli­ga­tions de l’art. 33 RGPD. La Chambre rappelle que la noti­fi­ca­tion consti­tue le prin­cipe, tandis que l’absence de noti­fi­ca­tion ne peut s’envisager qu’à titre d’exception, dans les cas où il peut être démon­tré que la viola­tion n’est pas suscep­tible d’engendrer un risque pour les droits et liber­tés de la personne concer­née. En l’espèce, elle constate que la défen­de­resse, après concer­ta­tion entre son DPO et son service juri­dique, a estimé que l’atteinte ne présen­tait pas un tel risque substan­tiel. Elle note égale­ment que la plai­gnante a été person­nel­le­ment infor­mée de l’incident et que celui-ci est demeuré circons­crit à son dossier, sans diffu­sion ultérieure.

Néanmoins, la Chambre émet de sérieuses réserves sur l’analyse de risque effec­tuée par la défen­de­resse. Elle relève en parti­cu­lier que le simple fait que des données de santé aient été consul­tées en dehors de toute fina­lité théra­peu­tique suffi­sait à carac­té­ri­ser un risque pour les droits de la personne concer­née, notam­ment en termes de perte de confi­den­tia­lité et de perte de contrôle sur des données couvertes par le secret profes­sion­nel. L’argument tenant au carac­tère isolé de la viola­tion est égale­ment écarté, le RGPD ne subor­donne pas l’existence d’un risque à la plura­lité des personnes concer­nées. Dès lors que la nature des données est sensible et que les circons­tances de l’accès sont anor­males, le seuil de risque appa­raît franchi.

La portée de cette critique est toute­fois atté­nuée par la prise en compte, par la Chambre, du contexte tempo­rel. Elle consi­dère en effet que les faits se sont dérou­lés au début de l’année 2020, à une époque où les lignes direc­trices du Comité euro­péen de la protec­tion des données (CEPD) rela­tives à la noti­fi­ca­tion des viola­tions n’étaient pas encore adop­tées. La Chambre souligne égale­ment que la matu­rité opéra­tion­nelle des respon­sables de trai­te­ment en matière de noti­fi­ca­tion était encore en phase d’évolution, ce qui justi­fie une forme d’indulgence rétro­ac­tive. Ce raison­ne­ment conduit à ne pas sanc­tion­ner l’absence de noti­fi­ca­tion, tout en affir­mant avec fermeté que, dans le contexte régle­men­taire actuel, une telle omis­sion ne saurait plus être tolérée.

Ce trai­te­ment diffé­ren­cié, fondé sur l’évolution dans le temps des stan­dards de confor­mité, traduit une approche prag­ma­tique, mais il peut susci­ter une certaine perplexité quant à l’unité d’application du droit. Surtout, il pose la ques­tion de l’équilibre entre l’objectif péda­go­gique de la régu­la­tion et l’impératif de protec­tion effec­tive des personnes concer­nées, parti­cu­liè­re­ment dans des cas impli­quant des données aussi sensibles que celles rela­tives à la santé. Ainsi, même si la déci­sion reflète une volonté de propor­tion­na­lité dans l’appréciation des faits, elle contri­bue égale­ment à alimen­ter le débat sur la rigueur atten­due des respon­sables de trai­te­ment face à des inci­dents de sécu­rité enga­geant la confi­den­tia­lité des données médicales.

Conclusion

La déci­sion 64/​2025 de la Chambre Contentieuse s’inscrit dans une démarche d’équilibre entre rigueur juri­dique et prag­ma­tisme insti­tu­tion­nel. Elle se distingue par une lecture nuan­cée des faits, soucieuse de repla­cer l’application du RGPD dans son contexte opéra­tion­nel, mais elle n’en soulève pas moins plusieurs inter­ro­ga­tions de fond.

En affir­mant que la supé­rieure hiérar­chique ayant consulté le dossier médi­cal de la plai­gnante agis­sait en qualité de respon­sable auto­nome du trai­te­ment, la Chambre adopte une inter­pré­ta­tion restric­tive de la notion d’autorité du respon­sable de trai­te­ment, qui tend à diluer la portée du prin­cipe d’« accoun­ta­bi­lity ». Or, même en présence d’un compor­te­ment fautif isolé, il peut être soutenu que l’entité employeuse demeure tenue de garan­tir, par des mesures orga­ni­sa­tion­nelles appro­priées, la préven­tion et la détec­tion des usages illi­cites de données person­nelles sensibles.

Par ailleurs, la recon­nais­sance expli­cite d’un risque pour les droits et liber­tés de la personne concer­née, combi­née à la nature des données aurait logi­que­ment dû conduire à une obli­ga­tion de noti­fi­ca­tion à l’autorité de contrôle. Le fait que la Chambre justi­fie l’absence de noti­fi­ca­tion par le contexte régle­men­taire de l’année 2020 témoigne d’une volonté d’adapter l’appréciation des obli­ga­tions au degré de matu­rité des pratiques en matière de sécu­rité de l’information. Cette tolé­rance, si elle se comprend du point de vue de la propor­tion­na­lité, pour­rait néan­moins être perçue comme un précé­dent affai­blis­sant l’effectivité de l’art. 33 RGPD.

En somme, cette déci­sion met en lumière les tensions inhé­rentes à l’application du RGPD, entre exigence de confor­mité et prise en compte des réali­tés du terrain, entre sanc­tion et accom­pa­gne­ment. Elle offre une lecture contex­tua­li­sée de la régu­la­tion, qui a le mérite d’être péda­go­gique, mais qui appelle égale­ment à une vigi­lance accrue pour garan­tir que les prin­cipes de protec­tion des données, notam­ment en matière de santé, ne soient pas affai­blis au nom de la flexibilité.