Pour lire l’article : Revue Expertises n°513 – Juin 2025
Ayant appris que sa supérieure hiérarchique avait eu accès à son dossier de santé avant de la licencier, la salariée d’un établissement de santé déposa une plainte auprès de l’autorité belge de protection des données (l’APD) contre son employeur.
L’enquête montra que la supérieure hiérarchique avait consulté le dossier médical de la plaignante afin de vérifier que cette dernière était dans un état adéquat dans l’optique de lui annoncer son licenciement. Elle aurait agi en totale autonomie sans instruction de la part de l’établissement de santé.
- Dans la mesure où la plaignante invoquait l’illicéité de la consultation de son dossier médical pour défaut de base légale (article 6 du RGPD), la question se posait de savoir si l’établissement de santé, contre qui la plainte était dirigée, pouvait être considéré comme le responsable du traitement.
- La plaignante estimait par ailleurs qu’une sanction devait être prononcée à l’encontre de son employeur qui n’avait pas notifié à l’APD cet incident.
Sur le premier, l’APD a estimé que l’établissement de santé ne peut être considéré comme responsable du traitement.
Sur le second point, si l’ADP a considéré que l’établissement de santé aurait dû notifier la violation de données, elle ne l’a pas sanctionné.
Pour en savoir plus : Lire l’article