Dans son arrêt dans l’affaire C-579/21, la Cour européenne de justice a mis l’accent sur le droit à l’information pour savoir quand et pourquoi ses données personnelles sont consultées, comme le prévoit l’article 15 du GDPR.
Le fait que le responsable du traitement exerce une activité bancaire n’affecte pas la portée de ce droit.
Si la CJUE a reconnu le droit d’accès à l’information sur la consultation des données, elle a toutefois précisé que la divulgation de l’identité des employés dépendait de la nécessité d’assurer l’exercice effectif des droits de la personne concernée et le respect des droits des employés.
Le fait que le responsable du traitement soit une banque et la double fonction de l’employé n’ont pas eu d’incidence sur le droit d’accès de la personne concernée à ses données.
Enquête sur un éventuel conflit d’intérêts d’un employé de banque : inspection des données des clients et finalités du traitement
J.M. est employé par une banque finlandaise et est en même temps également client de dila banque. Entre le 1er novembre et le 31 décembre 2013, quatre membres du personnel de la Banque de Finlande se sont rendus chez J.M. pour une inspection. Ces employés ont accès aux données des clients de J.M. Ces données sont parce que son nom est apparu lors du traitement des données d’un autre client de la banque. J.M était à la fois gestionnaire des relations et représentant de la banque avec le client et avait de ce fait également une dette personnelle à l’égard dules client. En conséquence, dles quatre employés de la banque qu’il y avait peut-être était d’un conflit d’intérêts illicite.
Employés de banque et clients dans le cadre du GDPR
J.M. a demandé à la banque de consulter les données de connexion de quatre employés dans le système de traitement des données de la banque. Avec sa demande d’inspection, J.M. découvrirait, entre autres, pourquoi il a été licencié de la banque.
La banque a rejeté la demande, concluant que les données de connexion étaient les “données personnelles” des quatre employés de la banque et non de J.M. Ces données de connexion n’entreraient donc pas dans le champ d’application des droits d’accès du GDPR. Le litige entre la banque et J.M. s’est finalement retrouvé devant la juridiction nationale de renvoi.
Un tribunal de l’UE demande des éclaircissements sur le droit d’accès aux données de connexion dans le cadre du GDPR
La juridiction de renvoi demande à la CJUE de clarifier le droit d’accès aux données à caractère personnel en vertu de l’article 15, paragraphe 1, du GDPR. La Cour souhaite savoir si les données collectées par le responsable du traitement, indiquant l’identité des personnes ayant traité les données à caractère personnel de la personne concernée et le moment du traitement de ces données à caractère personnel (“données de connexion”), doivent être considérées comme des “informations” au sens de l’article 15, paragraphe 1, du GDPR, auxquelles la personne concernée a un droit d’accès.
Extrait
CJUE : le droit d’accès aux données à caractère personnel en vertu du GDPR est limité aux informations sur les consultations et les finalités
La CJCE a noté que le GDPR s’applique également à une demande relative à un traitement de données personnelles antérieur à l’entrée en vigueur du GDPR.
La CJUE a également jugé que le GDPR indique clairement que les informations sur les consultations effectuées par les opérateurs sur les données personnelles d’une personne concernée, ainsi que sur les dates et les objectifs de ces opérations, sont des informations que la personne concernée a le droit d’obtenir du responsable du traitement.
En revanche, le GDPR ne prévoit pas un tel droit en ce qui concerne les informations relatives à l’identité des employés qui ont effectué ces opérations conformément aux instructions du responsable du traitement, à moins que ces informations ne soient essentielles pour permettre à la personne concernée d’exercer les droits qui lui sont accordés en vertu du GDPR et à condition que les droits et libertés de ces employés soient pris en compte.
CJCE : Équilibre entre le droit d’accès et les droits/libertés d’autrui en vertu du GDPR
En cas de conflit entre, d’une part, l’exercice d’un droit d’accès qui assure l’effectivité des droits accordés à la personne concernée par le GDPR et, d’autre part, les droits ou libertés d’autrui, un équilibre devra être trouvé entre les différents droits et libertés des personnes concernées. Dans la mesure du possible, il convient de choisir des moyens de transfert des données à caractère personnel qui ne portent pas atteinte aux droits ou aux libertés d’autrui.
Enfin, la Cour a estimé que le fait que le responsable du traitement exerce une activité réglementée et que la personne concernée, dont les données à caractère personnel sont traitées, en sa qualité de client du responsable du traitement, est également un employé de ce dernier, n’affecte pas, en principe, la portée du droit accordé à cette personne.
Conclusie
La CJUECJUE, avec cet arrêt, a rendu une décision importante. a apporté des précisions sur le droit d’accès des personnes concernées. Si vous avez des questions concernant votre droit d’accès, contactez un représentant reconnu de la Commission européenne. DPD.