CJUE : droit de savoir quand et pourquoi nos données personnelles ont été consultées
Toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées.Un salarié, et également client, d'une banque, a appris que ses données à caractère personnel avaient été consultées par d'autres membres du personnel de la banque, et ce à plusieurs reprises.
Ayant des doutes sur la licéité de ces consultations, le salarié a demandé à la banque de lui communiquer l'identité des personnes ayant consulté ses données, les dates des consultations et les finalités du traitement de celles-ci. La banque a refusé de recommuniquer l'identité des salariés ayant consulté les données en question. Le salarié a introduit un recours auprès d'un tribunal administratif finlandais, qui a demandé à la Cour de justice de l'Union européenne (CJUE) d'interpréter l'article du 15 du règlement général sur la protection des données (Règlement (UE) 2016/679 du 27 avril 2016 - RGPD). Dans un arrêt rendu le 22 juin 2023 (affaire C-579/21), la CJUE estime que toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées. En effet, la Cour rappelle qu'en vertu du RGPD, les informations relatives à des opérations de consultation des données à caractère personnel d'une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d'obtenir du responsable du traitement. En revanche, le RGPD ne consacre pas un tel droit s'agissant de l'identité relatives des salariés ayant procédé à ces opérations conformément aux instructions du responsable du traitement, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et libertés de ces salariés. Enfin, la CJUE indique que la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d'une mission réglementée et que la personne dont les données ont été traitées soient à la fois cliente et salariée n'a aucune incidence sur l'étendue du droit en question.