Le Quotidien du 26 juin 2023 : Données personnelles

[Brèves] Toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées

Réf. : CJUE, 22 juin 2023, aff. C-579/21 N° Lexbase : A147794H

Lecture: 3 min

N6029BZC

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées. Lire en ligne : https://www.lexbase.fr/article-juridique/97063566-breves-toute-personne-a-le-droit-de-connaitre-la-date-et-les-raisons-pour-lesquelles-ses-donnees-a-c
Copier

par Vincent Téchené

le 23 Juin 2023

► Les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition. La circonstance que le responsable du traitement exerce une activité bancaire est sans incidence sur l’étendue de ce droit.

Faits et procédure. En 2014, un salarié et, en même temps, client d’une banque a appris que ses données à caractère personnel avaient été consultées par d’autres membres du personnel de la banque, à plusieurs reprises, entre le 1er novembre et le 31 décembre 2013. Ayant des doutes sur la licéité de ces consultations, ce salarié, entretemps licencié a demandé à la banque de lui communiquer l’identité des personnes ayant consulté ses données, les dates exactes des consultations ainsi que les finalités du traitement desdites données. La banque a refusé de communiquer l’identité des salariés au motif que ces informations constituaient des données à caractère personnel de ces salariés. En revanche, elle a apporté des précisions sur ces opérations de consultation, effectuées par son service d’audit interne. Le demandeur a saisi le Bureau du délégué à la protection des données de Finlande, afin qu’il soit enjoint à la banque de lui transmettre les informations sollicitées. Cette demande ayant été rejetée, le demandeur a introduit un recours auprès du tribunal administratif de Finlande orientale, lequel demande à la Cour de justice d’interpréter l’article 15 du RGPD (Règlement n° 2016/679, du 27 avril 2016 N° Lexbase : L0189K8I).

Décision. La Cour observe, tout d’abord, que le RGPD, applicable depuis le 25 mai 2018, s’applique à une demande présentée après cette date dès lors que cette demande porte sur des opérations de traitement de données à caractère personnel effectuées avant la date d’entrée en application du RGPD.

Ensuite, la Cour constate que le RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement. En revanche, selon la Cour, le RGPD ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés, qui ont procédé à ces opérations conformément aux instructions du responsable du traitement, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et libertés de ces salariés. En effet, en cas de conflit entre, d’une part, l’exercice d’un droit d’accès assurant l’effet utile des droits reconnus par le RGPD à la personne concernée et, d’autre part, les droits ou les libertés d’autrui, il y a lieu de mettre en balance les droits et les libertés en question. Dans la mesure du possible, il convient de choisir des modalités qui ne portent pas atteinte à ces droits ou à ces libertés.

Enfin, la Cour juge que la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable est, en principe, sans incidence sur l’étendue du droit dont bénéficie cette personne.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:486029

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.