Un officier de police qui interroge une base de données sans raison de service doit-il être considéré comme responsable au sens du règlement général sur la protection des données (RGPD) ? Le tribunal régional supérieur de Stuttgart s'est penché en détail sur cette question - et est parvenu à une conclusion sans équivoque. Pourquoi un excès de collaborateurs peut coûter vraiment cher.
Un officier de police utilise le système d'information de la police à des fins privées
L'agent de police concerné avait accès au système d'information de la police "POLAS" au poste de police. Ce système est utilisé pour stocker et consulter les données à caractère personnel de suspects, de personnes mises en cause et d'autres personnes pertinentes dans le cadre d'enquêtes policières.
Le 2 mars 2021, vers 1h41, le fonctionnaire a utilisé son ordinateur de service pour consulter des informations sur un collègue de l'époque, qui se trouvait alors en détention provisoire. Ce faisant, le fonctionnaire n'a pas agi pour des raisons de service, mais dans un intérêt privé, ce dont il était conscient. Selon les constatations du tribunal d'instance, le fonctionnaire avait recherché de manière ciblée, sans raison de service, des données personnelles et pénalement pertinentes concernant son collègue.
L'incident a été découvert par des mécanismes de contrôle internes, à la suite de quoi le service compétent a ouvert une enquête. Par la suite, le tribunal d'instance de Stuttgart a condamné l'agent à une amende de 1 500 euros pour traitement intentionnel et illégal de données à caractère personnel conformément à l'article 83, paragraphes 1, 2 et 5, point a), du RGPD. L'agent de police a fait appel de cette décision.
Conseil de lecture : Risques liés à la protection des données pour les données de base des clients
Excès de collaborateurs : le collaborateur comme responsable
La Cour d'appel de Stuttgart s'est penchée en détail sur la question de savoir si un agent de police qui consulte des données de sa propre initiative peut être considéré comme responsable au sens du RGPD.
Le tribunal a tout d'abord constaté que le fonctionnaire avait sciemment et volontairement procédé à une consultation de la base de données qui ne relevait pas de ses fonctions officielles. Dans ce contexte, l'OLG a souligné que le fonctionnaire avait outrepassé ses compétences professionnelles et s'était ainsi placé en dehors de son rôle professionnel. Le fonctionnaire a ainsi agi en dehors du contrôle des autorités. Son interrogation n'était donc pas imputable à la responsabilité de la police dans le cadre de ses fonctions.
Le Sénat s'est appuyé sur la théorie dite de l'"excès de personnel". Celle-ci décrit que les employés qui traitent des données à caractère personnel de leur propre chef et sans recevoir d'instructions sont considérés comme des responsables autonomes au sens de l'article 4, point 7, du RGPD. Le tribunal a souligné que dans de tels cas, la responsabilité propre résulte du fait que l'employé décide de manière autonome des finalités et des moyens du traitement.
La Cour d'appel de Stuttgart a suivi les lignes directrices du Comité européen de la protection des données (EDSA). Celles-ci stipulent que les employés sont considérés comme responsables s'ils traitent des données à caractère personnel à des fins privées et sans instructions professionnelles.
Les juges ont rejeté l'idée selon laquelle une réglementation spéciale était nécessaire pour les agressions commises par des employés et ont rappelé que la responsabilité de tels actes découlait directement du RGPD. L'agent de police ne pouvait pas non plus se prévaloir d'une dérogation privilégiée, car ses actes n'étaient ni imputables à l'employeur ni couverts par des instructions de service.
L'OLG a estimé que l'amende de 1.500 euros était appropriée et dissuasive. Le fonctionnaire avait notamment agi intentionnellement et en méconnaissance consciente de ses obligations. En conclusion, le tribunal a souligné l'importance de sanctions cohérentes en cas de violation de la protection des données afin d'obtenir l'effet dissuasif requis par l'article 83, paragraphe 1, du RGPD.
Amende après l'excès d'un employé
La décision du tribunal régional supérieur de Stuttgart montre clairement que les violations de la protection des données ne doivent pas être exclusivement imputées à une institution ou à une entreprise. Elles peuvent également fonder une responsabilité individuelle des employés. En particulier, les employés qui accèdent de leur propre chef et sans raison professionnelle à des données personnelles agissent, selon le tribunal, de manière autonome et peuvent être tenus directement responsables.
Dans sa décision, le tribunal a expressément confirmé la théorie dite de "l'excès du collaborateur". Selon cette conception juridique, un collaborateur qui se déplace consciemment et délibérément en dehors de ses tâches professionnelles sort du cadre des instructions de son employeur et devient lui-même un responsable au sens de l'article 4, point 7, du RGPD. Cette classification a pour conséquence qu'en cas d'infraction, les personnes concernées doivent s'attendre non seulement à des conséquences relevant du droit disciplinaire ou du droit du travail, mais peuvent également faire l'objet d'une amende.
La décision du tribunal régional supérieur de Stuttgart clarifie ainsi la question de la responsabilité en cas de violation de la protection des données par des individus et montre que les violations du droit de la protection des données ne sont pas uniquement imputables à l'organisation en tant qu'entité responsable. Pour les entreprises et les autorités, cela signifie qu'elles doivent former et sensibiliser leurs employés de manière encore plus intensive dans le domaine de la protection des données, car l'imputation d'un comportement fautif à des individus peut avoir des conséquences financières et juridiques considérables.
L'imposition d'une amende de 1.500 euros met en outre en évidence l'effet dissuasif que les violations de la protection des données doivent également avoir sur les responsables individuels. L'intention du RGPD de sanctionner efficacement les infractions à la protection des données et d'obtenir un effet dissuasif est ainsi mise en œuvre de manière conséquente.
Recommandations pour la pratique
Dans ce contexte, les organisations devraient envisager les mesures suivantes :
- Formation et sensibilisation : Il est essentiel que les employés soient régulièrement formés à la législation sur la protection des données et aux conséquences d'un traitement illégal des données.
- Mesures techniques et organisationnelles : L'accès aux bases de données sensibles devrait être strictement réglementé et documenté. Des dispositions techniques telles que des mécanismes de journalisation et des contrôles d'accès peuvent aider à empêcher les consultations non autorisées de données.
- Politiques internes et mécanismes de contrôle : Des directives internes claires sur le traitement des données et un contrôle efficace du respect de ces directives sont indispensables.
La décision du tribunal régional supérieur de Stuttgart souligne la nécessité de sanctionner systématiquement les violations de la protection des données afin de mettre en œuvre l'exigence de sanctions "effectives, proportionnées et dissuasives" prévue à l'article 83, paragraphe 1 du RGPD.
Source : Décision du tribunal régional supérieur de Stuttgart du 25.02.2025 (2 ORbs 16 Ss 336/24)
Notre conseil : Ailance™ établit de nouveaux standards dans la gestion intégrée des risques et peut être facilement adapté aux exigences de votre entreprise. Contactez-nous et nous vous montrerons ce qui est possible avec Ailance™.
☎️ +49 (228) 926165-100
📧 paris@2b-advice.com