Un agent de police qui effectue une recherche dans une base de données sans raison de service doit-il être considéré comme responsable au sens du RGPD (RGPD) ? Le tribunal régional supérieur de Stuttgart s'est penché en détail sur cette question - et est parvenu à une conclusion sans équivoque. Pourquoi un excès de collaborateurs peut coûter vraiment cher.
Un policier utilise le système d'information de la police à des fins privées
Le site concernés Les officiers de police ont accès au système d'information de la police "POLAS" au poste de police. Ce système est utilisé pour stocker et consulter les données à caractère personnel des suspects, des personnes mises en cause et d'autres personnes pertinentes dans le cadre d'enquêtes policières.
Le 2 mars 2021, vers 1h41, le fonctionnaire a utilisé son ordinateur de service pour consulter des informations sur un collègue de l'époque, qui se trouvait alors en détention provisoire. Ce faisant, le fonctionnaire n'a pas agi pour des raisons de service, mais dans un intérêt privé, ce dont il était conscient. Selon les constatations du tribunal d'instance, le fonctionnaire avait recherché de manière ciblée, sans raison de service, des données personnelles et pénalement pertinentes concernant son collègue.
L'incident a été découvert par des mécanismes de contrôle internes, à la suite de quoi le service compétent a ouvert une enquête. Par la suite, l'agent a été condamné par le tribunal d'instance de Stuttgart pour infraction intentionnelle et illégale. Traitement données à caractère personnel conformément à l'art. 83, al. 1, 2, 5, let. a RGPD a été condamné à une amende de 1 500 euros. L'agent de police a fait appel de cette décision.
Conseil de lecture : Risques liés à la protection des données pour les données de base des clients
Excès de collaborateurs : le collaborateur comme responsable
La Cour d'appel de Stuttgart s'est penchée en détail sur la question de savoir si un agent de police qui consulte des données de son propre chef peut être considéré comme responsable au sens de l RGPD peut être considéré comme un problème.
Le tribunal a tout d'abord constaté que le fonctionnaire avait sciemment et volontairement procédé à une consultation de la base de données qui ne relevait pas de ses fonctions officielles. Dans ce contexte, l'OLG a souligné que le fonctionnaire avait outrepassé ses compétences professionnelles et s'était ainsi placé en dehors de son rôle professionnel. Le fonctionnaire a ainsi agi en dehors du contrôle des autorités. Son interrogation n'était donc pas imputable à la responsabilité de la police dans le cadre de ses fonctions.
Le Sénat s'est appuyé sur la théorie dite de "l'excès de collaborateurs". Celle-ci décrit que les collaborateurs qui agissent de leur propre chef et sans directives données à caractère personnel traiter, que de manière autonome Responsable au sens de l'article 4, point 7 RGPD s'appliquent. Le tribunal a souligné que, dans de tels cas, la responsabilité individuelle résulte du fait que l'employé décide de son propre chef de la finalité et des moyens de la Traitement décide.
La Cour d'appel de Stuttgart a suivi les conclusions de l'avocat général. Lignes directrices du Comité européen de la protection des données (EDSA). Celles-ci stipulent que les employés doivent être considérés comme Responsable s'appliquent lorsqu'ils données à caractère personnel à des fins privées et sans instructions de service.
Les juges ont rejeté l'idée qu'il fallait une réglementation spéciale pour les agressions commises par des employés, rappelant que la responsabilité de tels actes découle directement de la RGPD n'a pas été respectée. L'agent de police ne pouvait pas non plus se prévaloir d'une dérogation privilégiée, car ses actes n'étaient ni imputables à l'employeur ni couverts par des instructions de service.
L'OLG a estimé que l'amende de 1.500 euros était appropriée et dissuasive. Le fonctionnaire avait notamment agi intentionnellement et en méconnaissance consciente de ses obligations. En conclusion, le tribunal a souligné l'importance de sanctions cohérentes en cas de violation de la protection des données, afin de garantir la protection des données prévue à l'article 83, paragraphe 1, de la loi sur la protection des données. RGPD l'effet dissuasif requis.
Amende après l'excès d'un employé
La décision du tribunal régional supérieur de Stuttgart montre clairement que les violations de la protection des données ne doivent pas être exclusivement imputées à une institution ou à une entreprise. Elles peuvent également établir la responsabilité individuelle de collaborateurs. En particulier, les collaborateurs qui, de leur propre chef et sans raison professionnelle, ont consulté des données à caractère personnel. données à caractère personnel La Cour a estimé que les personnes qui accèdent à ces sites agissent sous leur propre responsabilité et peuvent être tenues directement responsables.
Dans sa décision, le tribunal a expressément confirmé la théorie dite de "l'excès du collaborateur". Selon cette conception juridique, un collaborateur qui se déplace consciemment et délibérément en dehors de ses tâches professionnelles sort de l'obligation d'obéissance à son employeur et devient lui-même responsable au sens de l'article 4, point 7, de la loi sur la protection des données. RGPD. Cette classification a pour conséquence que Personnes concernées en cas d'infraction, ils ne doivent pas seulement s'attendre à des conséquences disciplinaires ou professionnelles, mais peuvent également être poursuivis en justice pour infraction à la loi.
La décision du tribunal régional supérieur de Stuttgart clarifie ainsi la question de la responsabilité en cas de violation de la protection des données par des individus et montre que les violations du droit de la protection des données ne sont pas uniquement le fait de l'organisation en tant que telle. responsable de la protection des données. Pour les entreprises et les autorités, cela signifie qu'elles doivent former et sensibiliser leurs employés de manière encore plus intensive dans le domaine de la protection des données, car l'imputation d'un comportement fautif à des individus peut avoir des conséquences financières et juridiques considérables.
L'imposition d'une amende de 1 500 euros illustre en outre l'effet dissuasif que les violations de la protection des données peuvent avoir sur les individus. Responsable doivent avoir. Ainsi, l'intention de la RGPDLa Commission européenne a mis en œuvre de manière cohérente le principe de proportionnalité, qui consiste à sanctionner efficacement les violations de la protection des données et à créer un effet dissuasif.
Recommandations pour la pratique
Dans ce contexte, les organisations devraient envisager les mesures suivantes :
- Formation et sensibilisation: Il est essentiel que les employés soient régulièrement formés à la législation sur la protection des données et aux conséquences d'un traitement illégal des données.
- Mesures techniques et organisationnelles: L'accès aux bases de données sensibles devrait être strictement réglementé et documenté. Des dispositions techniques telles que des mécanismes de journalisation et des contrôles d'accès peuvent aider à empêcher les consultations non autorisées de données.
- Politiques internes et mécanismes de contrôle : Des directives internes claires sur le traitement des données et un contrôle efficace du respect de ces directives sont indispensables.
La décision du tribunal régional supérieur de Stuttgart souligne la nécessité de sanctionner systématiquement les violations de la protection des données afin de garantir la protection des données prévue à l'article 83, paragraphe 1, de la loi sur la protection des données. RGPD de mettre en œuvre l'exigence de sanctions "effectives, proportionnées et dissuasives" inscrite dans la loi.
Source : Décision du tribunal régional supérieur de Stuttgart du 25.02.2025 (2 ORbs 16 Ss 336/24)
Notre conseil : Ailance™ établit de nouveaux standards dans la gestion intégrée des risques et peut être facilement adapté aux exigences de votre entreprise. Contactez-nous et nous vous montrerons ce qui est possible avec Ailance™.
☎️ +49 (228) 926165-100
📧paris@2b-advice.com
German 
English 
Italian 
French