Saisie en appel d’une décision de l’autorité de contrôle Irlandaise, la Haute Cour d’Irlande a considéré qu’un employeur n’était pas responsable de la violation de données personnelles subie par l’un de ses employés.
1/ La violation de données permettant de voler 1400 € de cryptoactifs
Le Health Service Executive (HSE), le système de santé publique en Irlande, a mis à disposition de l’un de ses employés, un agent de prévention des incendies, un téléphone portable professionnel.
Ce téléphone devait être exclusivement utilisé à des fins professionnelles, conformément au règlement intérieur du HSE qui en interdisait l’usage à des fins personnelles.
En mai 2021, le HSE a subi une importante violation de données. De nombreuses données ont été chiffrées et extraites par les pirates, y compris des données personnelles présentes dans les ordinateurs et les téléphones des employés.
Deux mois plus tard, l’agent de prévention des incendies a constaté que ses comptes de messagerie électronique personnels (Gmail et Yahoo) et, surtout, que son compte de cryptoactif (Binance) avaient été piratés. Environ 1400 € de cryptoactifs ont été dérobés à l’agent.
Considérant que ce piratage avait été rendu possible à cause de la violation de données survenue deux mois plus tôt, l’agent a déposé une plainte contre son employeur, auprès de l’autorité de contrôle irlandaise.
Cette dernière a rejeté sa plainte, estimant que le HSE n’est pas responsable du traitement des données à caractère personnel concernées par la violation. L’agent a donc interjeté appel de cette décision.
2/ Le rejet de la plainte au motif que l’employeur n’est pas responsable du traitement
L’employé, tout en reconnaissant ne pas avoir utilisé le téléphone professionnel conformément au règlement intérieur, estimait néanmoins que son employeur, responsable du traitement des données personnelles contenues dans le téléphone, aurait dû, à ce titre, mettre en œuvre les mesures de sécurité adaptées au risque, ce qui, selon l’employé, n’aurait pas été le cas.
En réponse, la Haute Cour a considéré que, puisque l’’employeur avait imposé l’utilisation du téléphone à des fins professionnelles, il était le responsable du traitement des « données à caractère personnel liées au travail ». En revanche, dès lors qu’il n’avait pas autorisé l’utilisation du téléphone à des fins personnelles, il ne pouvait pas être considéré comme responsable du traitement des « données à caractère personnel non liées au travail », puisqu’il n’avait pas déterminé les finalités et les moyens de leur traitement.
En conséquence, la haute cour d’Irlande a rejeté l’appel de l’employé :
- Premièrement, parce que l’utilisation du téléphone à des fins personnelles n’était pas autorisée. Le HSE ne pouvait donc être considéré comme responsable du traitement des données affectées par la violation, ces dernières étant des « données à caractère personnel non liées au travail » pour lesquelles l’employeur n’avait pas déterminé les finalités et les moyens du traitement, et ;
- Secondement, parce qu’il n’était pas certain que l’accès aux messageries électroniques personnelles et au compte de cryptoactif résultaient de la violation de données subie par HSE. Ces données auraient pu être compromises autrement.
Source : McShane v Data Protection Commission (2025) IEHC 191, 3 avril 2024