Ne nous mentons pas. Pour bon nombre de ses détracteurs, le RGPD se résume à beaucoup de paperasses et des dépenses – et non des investissements – dans la cybersécurité.
Voilà une décision de l’APD belge établissant clairement que la sécurité ne se limite pas au « cyber » et que le pragmatisme peut garder de la « procédurite ».
En l’occurrence, le responsable de traitement poursuivi avait de facto interdit le BYOD au sein de l’organisation. Soucieux de l’intérêt de la personne concernée, un réfugié, un employé a violé la procédure interne et pris des photographies destinées à alimenter positivement sa demande. Dès le versement des données dans le dossier administratif, ledit employé a supprimé les photos de son téléphone. L’autorité a conclu, au vu de ces éléments, que la violation d’une procédure interne – mesure de sécurité organisationnelle – n’entraînait pas automatiquement un manquement au RGPD.
Nul doute que ce pragmatisme tient aux faits, probablement cumulatifs, que :
– l’employé a agi dans le cadre de ses fonctions : dans le cas contraire, il eut probablement été requalifié en responsable d’un traitement illicite (APD belge, 28 février 2023, Centre public d’action sociale, n° 16/2023) ;
– le non-respect de la procédure interne s’est avéré être dans l’intérêt de la personne concernée (GPDP, 8 June 2023, Rinascente, n° 9909907) ;
– les données litigieuses ont été supprimées directement du téléphone de l’agent.
Qu’en retenir? Que plutôt qu’une interprétation littérale – d’aucuns diraient psychorigide – du RGPD, c’est vers son objectif premier, la protection des intérêts de la personne concernée, qu’il faut tendre.