CJUE, n° C-579_RES/21, Arrêt de la Cour, Procédure engagée par J.M, 22 juin 2023

CJUE, Arrêt 22 juin 2023

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Droit d'accès aux données personnelles
La Cour a jugé que l'article 15 du RGPD est applicable à une demande d'accès aux informations, même si les opérations de traitement ont eu lieu avant l'entrée en application du règlement, tant que la demande a été faite après cette date.
Accepté
Transparence des opérations de traitement
La Cour a confirmé que les informations relatives aux opérations de consultation, y compris les dates et finalités, doivent être fournies pour garantir la transparence du traitement des données.
Rejeté
Identité des personnes ayant consulté les données
La Cour a précisé que l'article 15 ne confère pas un droit d'accès à l'identité des salariés ayant procédé aux consultations, sauf si cela est indispensable pour exercer les droits conférés par le règlement, tout en tenant compte des droits des salariés.

Résumé par Doctrine IA

Dans l'affaire C-579/21, J.M., ancien salarié et client d'une banque finlandaise, a demandé l'accès à des informations concernant la consultation de ses données personnelles. La question juridique posée était de savoir si l'article 15 du RGPD s'applique à des demandes d'accès aux données traitées avant l'entrée en vigueur du règlement, mais formulées après. La Cour a répondu que cet article est applicable dans ce contexte, précisant que J.M. a le droit d'accéder aux informations sur les consultations de ses données, y compris les dates et finalités, mais pas à l'identité des salariés ayant effectué ces consultations, sauf si cela est indispensable pour exercer ses droits. La décision souligne l'importance de concilier le droit d'accès avec la protection des données personnelles des employés.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CJUE, Cour, 22 juin 2023, C-579_RES/21
Numéro(s) :	C-579_RES/21
Arrêt de la Cour (première chambre) du 22 juin 2023.#Procédure engagée par J.M.#Renvoi préjudiciel – Traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 4 et 15 – Étendue du droit d’accès aux informations visées à l’article 15 – Informations contenues dans les fichiers journaux générés par un système de traitement (log data) – Article 4 – Notion de “données à caractère personnel” – Notion de “destinataires” – Application dans le temps.#Affaire C-579/21.
Identifiant CELEX :	62021CJ0579_RES
Identifiant européen :	ECLI:EU:C:2023:501
Télécharger le PDF original fourni par la juridiction

Texte intégral

Affaire C-579/21

Procédure engagée par J.M

(demande de décision préjudicielle, introduite par l’Itä-Suomen hallinto-oikeus)

Arrêt de la Cour (première chambre) du 22 juin 2023

« Renvoi préjudiciel – Traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 4 et 15 – Étendue du droit d’accès aux informations visées à l’article 15 – Informations contenues dans les fichiers journaux générés par un système de traitement (log data) – Article 4 – Notion de “données à caractère personnel” – Notion de “destinataires” – Application dans le temps »

Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Application dans le temps – Droit d’accès de la personne concernée aux données à caractère personnel la concernant – Demande d’accès présentée après la date d’entrée en application du règlement – Traitement des données effectué avant la date d’entrée en application du règlement – Applicabilité du règlement

(Règlement du Parlement européen et du Conseil 2016/679, art. 15 et 99, § 2)

(voir points 30-36, disp. 1)
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit d’accès de la personne concernée aux données à caractère personnel la concernant – Informations relatives aux opérations de consultation de ces données – Notion – Informations portant sur les dates et finalités de ces opérations – Inclusion – Informations relatives à l’identité des personnes ayant procédé à ces opérations – Salariés du responsable du traitement de ces données ayant procédé à ces opérations sous l’autorité de ce dernier – Exclusion – Exception – Portée

(Règlement du Parlement européen et du Conseil 2016/679, art. 15, § 1)

(voir points 39-49, 52-59, 61, 62, 69-76, 79-83, disp. 2)
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit d’accès de la personne concernée aux données à caractère personnel la concernant – Informations relatives aux opérations de consultation de ces données – Informations portant sur les dates et finalités de ces opérations – Responsable du traitement exerçant une activité réglementée – Personne concernée ayant la qualité de cliente et d’employée de ce responsable – Absence d’incidence sur l’étendue de son droit d’accès

(Règlement du Parlement européen et du Conseil 2016/679, art. 15, § 1)

(voir points 85-89, disp. 3)

Résumé

J. M. était salarié et client d’un établissement bancaire finlandais. En 2014, il a appris que ses propres données de client avaient été consultées par des membres du personnel de cet établissement, à plusieurs reprises, au cours de l’année 2013. En 2018, ayant des doutes sur la licéité de ces consultations, J.M., qui avait entre-temps été licencié de son emploi au sein de cet établissement, a demandé à ce dernier de lui communiquer l’identité des personnes ayant consulté ses données de client, les dates exactes des consultations ainsi que les finalités du traitement de ces données.

L’établissement bancaire, en sa qualité de responsable du traitement des données ( 1 ), a refusé de lui communiquer l’identité des salariés ayant procédé aux opérations de consultation au motif que ces informations constituaient des données à caractère personnel de ces salariés. Il a précisé que les opérations de consultation avaient été effectuées, sur ses instructions, par son service d’audit interne, dans le cadre d’une enquête concernant un potentiel conflit d’intérêts entre J. M. et un autre client.

Par la suite, J. M. a saisi l’autorité de contrôle finlandaise d’une demande visant à lui communiquer l’identité des personnes ayant consulté ses données de client. À la suite du rejet de cette demande au motif que les fichiers journaux des salariés ayant traité ses données constituaient des données à caractère personnel de ces salariés, J. M. a saisi la juridiction de renvoi. Celle-ci s’interroge sur le fait de savoir si la communication des fichiers journaux générés à l’occasion des opérations de traitement, qui contiennent des informations relatives aux finalités du traitement et aux destinataires des données ainsi qu’à l’identité des personnes ayant procédé à ces opérations – en l’espèce, les salariés du responsable du traitement -, est couverte par l’article 15 du RGPD.

Par son arrêt, la Cour se prononce sur l’application dans le temps de l’article 15 du RGPD, dans le contexte d’une demande d’accès aux informations visées par cette disposition introduite après l’entrée en application de ce règlement. Elle précise en outre l’étendue du droit de la personne concernée d’obtenir du responsable du traitement l’accès aux données traitées la concernant ainsi qu’aux informations relatives à ces données ( 2 ).

Appréciation de la Cour

En premier lieu, la Cour dit pour droit que l’article 15 du RGPD est applicable à une demande d’accès aux informations visées par cette disposition lorsque les opérations de traitement concernées par cette demande ont été effectuées avant la date d’entrée en application de ce règlement, mais que la demande a été présentée après cette date. En effet, l’article 15, paragraphe 1, du RGPD ne concerne pas les conditions de licéité du traitement dont font l’objet les données à caractère personnel de la personne concernée, il se contente de préciser l’étendue du droit d’accès de cette personne aux données et aux informations qu’elle vise. Partant, cette disposition confère aux personnes concernées un droit de nature procédurale consistant à obtenir des informations sur le traitement de leurs données à caractère personnel. En tant que règle procédurale, elle s’applique aux demandes d’accès introduites dès l’entrée en application de ce règlement, telles que la demande de J.M.

En deuxième lieu, la Cour souligne que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement des données en vertu de l’article 15, paragraphe 1, du RGPD.

Tout d’abord, il découle de l’analyse textuelle de cette disposition et des notions qu’elle comporte que le droit d’accès qu’elle reconnaît à la personne concernée se caractérise par la large portée des informations que le responsable du traitement des données doit fournir à cette personne.

Ensuite, il ressort du contexte dans lequel cette disposition s’insère que celle-ci est destinée à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée sans laquelle cette dernière ne serait pas en mesure d’apprécier la licéité du traitement de ses données.

Enfin, cette interprétation de l’étendue du droit d’accès prévu à l’article 15, paragraphe 1, du RGPD est corroborée par les objectifs que poursuit ce règlement, dont font partie le besoin d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que celui de permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite.

S’agissant des informations sollicitées par J.M., la Cour relève, dans un premier temps, que les opérations de consultation dont ont fait l’objet les données à caractère personnel de J. M. constituent un « traitement » ( 3 ), de sorte qu’elles ouvrent à celui-ci un droit d’accès à ces données ainsi qu’un droit à se voir communiquer les informations en lien avec ces opérations ( 4 ). Elle souligne à cet égard que la communication des dates des opérations de consultation permettrait à la personne concernée d’obtenir la confirmation que ses données à caractère personnel ont effectivement fait l’objet d’un traitement tandis que la date de celui-ci lui permettrait de vérifier sa licéité. En outre, elle précise que l’information relative aux finalités des traitements est expressément prévue par le RGPD ( 5 ) et que ce dernier prévoit que le responsable du traitement informe la personne concernée des destinataires auxquels ont été communiquées ses données ( 6 ).

En ce qui concerne la communication de l’ensemble de ces informations par la fourniture des fichiers journaux relatifs aux opérations de traitement en cause, la Cour spécifie, dans un second temps, que la communication d’une copie des informations figurant dans ces fichiers peut s’avérer nécessaire afin qu’il soit satisfait à l’obligation incombant au responsable du traitement de fournir à la personne concernée l’accès à l’ensemble des informations visées par l’article 15, paragraphe 1, du RGPD et de garantir un traitement équitable et transparent de ses données.

D’une part, ces fichiers révèlent non seulement l’existence d’un traitement des données ( 7 ), mais ils renseignent également sur la fréquence et l’intensité des opérations de consultation. Ils permettent ainsi à la personne concernée de s’assurer que le traitement effectué est effectivement motivé par les finalités avancées par le responsable du traitement.

D’autre part, ces fichiers contiennent les informations relatives à l’identité des personnes ayant procédé aux opérations de consultation. En l’occurrence, si la personne concernée a le droit d’obtenir du responsable du traitement les informations relatives aux destinataires ou aux catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ( 8 ), les salariés du responsable du traitement ne sauraient être considérés comme étant des « destinataires » ( 9 ) lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions. Ainsi, à supposer que la communication des informations relatives à l’identité de ces salariés à la personne concernée soit nécessaire pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés, dans la mesure où ces informations contiennent elles-mêmes les données à caractère personnel de ces derniers. Dans cette hypothèse, une mise en balance du droit d’accès de la personne concernée et des droits et des libertés d’autrui est nécessaire. Partant, la Cour conclut que l’article 15, paragraphe 1, du RGPD ne consacre pas un droit de la personne dont les données font l’objet d’un traitement d’obtenir du responsable du traitement un accès aux informations relatives à l’identité des salariés de ce responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés.

En troisième et dernier lieu, la Cour constate que la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable, est, en principe, sans incidence sur l’étendue du droit dont bénéficie cette personne en vertu de l’article 15, paragraphe 1, du RGPD. En effet, s’agissant du champ d’application de ce droit, le règlement n’opère pas de distinction en fonction de la nature des activités du responsable du traitement ou de la qualité de la personne dont les données à caractère personnel font l’objet d’un traitement.

( 1 ) Au sens de l’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 2 ) Tel que prévu à l’article 15, paragraphe 1, du RGPD.

( 3 ) Au sens de l’article 4, point 2, du RGPD.

( 4 ) Article 15, paragraphe 1, du RGPD.

( 5 ) Article 15, paragraphe 1, sous a), du RGPD.

( 6 ) Article 15, paragraphe 1, sous c), du RGPD.

( 7 ) Information à laquelle la personne concernée doit avoir accès en vertu de l’article 15, paragraphe 1, du RGPD.

( 8 ) En vertu de l’article 15, paragraphe 1, sous c), du RGPD.

( 9 ) Au sens de l’article 15, paragraphe 1, sous c), du RGPD.