ENFR

Les entreprises sont-elles responsables des violations des données personnelles commises par leurs employés?

Les violations de données personnelles sont assez coûteuses pour les entreprises, même sans tenir compte des frais des amendes administratives de l’autorité de contrôle ou des frais induits par d’éventuelles poursuites par ses clients concernés. Les entreprises qui mettent en œuvre des programmes de protection des données personnelles efficaces demeurent vulnérables face aux violations par des employés qui enfreignent délibérément la loi. Heureusement, elles peuvent prendre diverses mesures pour réduire leur responsabilité civile et le risque d’un jugement défavorable par l’autorité de contrôle.

La Cour Suprême du Royaume-Uni a récemment jugé que le supermarché Morrison n’est pas responsable du fait d’autrui pour les activités d’un ancien employé mécontent qui a divulgué les données personnelles de ses collègues. Bien que les responsabilités professionnelles de cet employé induisissent un accès légitime aux données, la Cour Suprême a jugé déterminant qu’il les ait divulguées à ses propres fins, en dehors de ses fonctions. Cela ne signifie pas que les tribunaux ne sanctionneront jamais une entreprise au titre de la responsabilité du fait d’autrui pour de telles violations, car les décisions judiciaires sont toujours prises dans des circonstances individuelles. Cependant, les tribunaux se référeront toujours à plusieurs facteurs clés.

Les entreprises qui souhaitent éviter la responsabilité du fait d’autrui doivent avoir mis en place un programme efficace de la gestion de la protection des données personnelles.  Cela comprend un inventaire de toutes les données personnelles et les politiques et procédures écrites concernant la collecte, l’utilisation et divulgation de données personnelles. Elles doivent également mettre en œuvre des mesures sécurité physiques et techniques pour garantir que les employés aient accès des données personnelles uniquement en tant que de besoin. Ils doivent avoir des protocoles pour répondre aux violations. Néanmoins, aucune de ces mesures ne sera efficace si les employés ne les connaissent. Cela exige donc une de procéder à des actions de sensibilisation adéquates et régulières, pour tous les employés. En fin de compte, les équipes dirigeantes doivent manifester clairement aux employés qu’elles apportent leur soutien à ces exigences et reconnaissent l’importance d’avoir à les satisfaire.

La question clé dans l’examen des causes des violations est de savoir si l’entreprise a fait tout ce qui est raisonnable pour les prévenir. Les criminels et employés déterminés à frauder peuvent contourner les meilleures mesures de sécurité, et les employés de bonne foi peuvent faire des erreurs. Un programme de gestion de la protection des données personnelles efficace réduira le risque que cela se produise. Cela empêchera également les employés de reprocher à leurs équipes dirigeantes qu’ils ignoraient que leurs activités contrevenaient à la loi. Les tribunaux examineront les efforts que les entreprises ont déployé pour s’assurer que les employés respectent la loi. Ces efforts comprennent la prise des mesures visant à empêcher leurs employés de ramener à leur domicile des dossiers et données personnelles, et à empêcher d’anciens employés d’utiliser les données personnelles qu’ils ont obtenues dans l’exercice de leurs précédentes fonctions.

Les entreprises pourraient limiter leur responsabilité du fait autrui en des cas où leurs employés utilisent à mauvais escient les données personnelles pour leurs propres besoins financiers ou à des fins personnelles. Néanmoins, les entreprises peuvent être tenues responsables du fait d’autrui lorsque leurs employés enfreignent la loi afin de les en faire profiter financièrement. C’est pourquoi les entreprises doivent établir par des preuves documentaires qu’elles ont effectivement sensibilisé l’ensemble de leurs employés à apprécier la légitimité, ou non, de tout traitement des données personnelles effectué en son sein. Un programme éprouvé de gestion de la protection des données personnelles les aidera à parvenir à cet objectif.

Les entreprises devraient être en mesure de limiter leur responsabilité dans les cas où les employés abusent des données personnelles pour leur propre gain financier ou pour poursuivre des vendettas personnelles. Néanmoins, les entreprises pourraient être responsables dans les cas où leurs employés enfreignent la loi dans le seul but de favoriser les intérêts financiers de l’entreprise. C’est pourquoi il est essentiel que les entreprises soient en mesure de prouver, documents à l’appui, qu’elles ont sensibilisé tous leurs employés à ce qui constitue un traitement acceptable des données et à ce qui ne l’est pas. Un solide programme de gestion de la protection des données aidera les entreprises à atteindre cet objectif.