Qui sont les salariés qui ont eu accès à mes données personnelles?

Photo de Ashutosh Sonwani sur Pexels.com

Les faits, le litige et les questions préjudicielles

En 2014, J. M. a appris que ses données à caractère personnel, en sa qualité de client de l’établissement financier Suur-Savon Osuuspankki (ci-après « Pankki »), avaient été consultées entre le 1er novembre et le 31 décembre 2013. Au cours de cette période, J. M. n’était pas seulement client, mais aussi salarié de Pankki.

Éprouvant des doutes quant à l’entière conformité à la loi des motifs de cette consultation, J. M. a demandé à Pankki, le 29 mai 2018, de lui communiquer des informations sur l’identité des personnes qui avaient accédé à ses données au cours de la période susmentionnée, ainsi que sur les finalités du traitement.

Dans l’intervalle, Pankki avait licencié J. M., lequel motivait notamment sa demande par le souhait de clarifier les motifs de son licenciement.

En sa qualité de responsable du traitement, Pankki a refusé, le 30 août 2018, de fournir à J. M. les noms des salariés qui avaient traité ses données à caractère personnel. Elle a fait valoir que le droit prévu à l’article 15 du RGPD ne s’applique pas aux fichiers journaux ou aux registres internes consignant les noms des salariés qui ont eu accès au système informatique comportant les données des clients et le moment auquel cet accès a eu lieu. Les informations demandées porteraient en outre sur les données à caractère personnel de ces salariés et non pas sur celles de J. M.

Dans le cadre du contentieux s’ensuivant, l’Itä-Suomen hallinto-oikeus (tribunal administratif de la Finlande orientale)a posé les questions suivantes à la Cour :

« 1      Le droit d’accès de la personne concernée consacré à l’article 15, paragraphe 1, du [RGPD], lu en combinaison avec la [notion de] “données à caractère personnel” définie à l’article 4, point 1), de ce règlement, doit-il être interprété en ce sens que les informations collectées par le responsable du traitement qui font apparaître qui a traité les données à caractère personnel de la personne concernée, quand celles-ci ont été traitées et avec quelle finalité ne constituent pas des informations auxquelles la personne concernée aurait le droit d’accéder, au motif, notamment, de ce qu’il s’agit de données concernant des salariés du responsable du traitement ?

2.      Si la réponse à la première question est affirmative et que la personne concernée ne dispose pas, sur le fondement de l’article 15, paragraphe 1, du [RGPD], du droit de consulter les informations visées dans cette question, au motif que celles-ci ne doivent pas être considérées comme des “données à caractère personnel” de la personne concernée au sens de l’article 4, point 1), de ce règlement, il convient encore de préciser la question des informations que la personne concernée a le droit d’obtenir sur le fondement de l’article 15, paragraphe 1, [sous a) à h),] dudit règlement :

a)      Comment la “finalité du traitement” visée à l’article 15, paragraphe 1, sous a), du [RGPD] doit-elle être interprétée au regard de l’étendue du droit de regard de la personne concernée, en d’autres termes, cette finalité peut-elle justifier un droit de regard sur les fichiers journaux de l’utilisateur collectés par le responsable du traitement, tels que les données à caractère personnel des personnes ayant traité les données à caractère personnel de la personne concernée, le moment où les données à caractère personnel ont été traitées et la finalité de ce traitement ?

b)      Dans ce contexte, les personnes qui ont traité les données de client de J. M. auprès de la banque peuvent-elles être définies, sur la base de certains critères, comme des “destinataires” de données à caractère personnel au sens de l’article 15, paragraphe 1, sous c), du [RGPD], dont la personne concernée aurait le droit d’être informée ?

Les première et deuxième questions préjudicielles

Les première et deuxième questions peuvent être examinées ensemble. Elles soulèvent, en substance, le point de savoir si les données à caractère personnel de J. M., que Pankki a collectées et traitées correspondent aux informations que la personne concernée est en droit d’obtenir en vertu de l’article 15, paragraphe 1, du RGPD.

Les informations demandées par J. M. concernaient l’identité des salariés qui avaient consulté les données le concernant en tant que client en 2013, ainsi que le moment où ce traitement avait eu lieu et la finalité de celui-ci. Il n’est pas contesté, spécifiquement, que le traitement des données par la banque avait une base licite.

Le débat se concentre uniquement sur les informations relatives à l’identité des salariés de Pankki qui ont traité les données à caractère personnel de J. M. Ces informations portent sur un détail des opérations de traitement et non pas, à proprement parler, sur les données à caractère personnel de la personne concernée, au sens de l’article 4, point 1, du RGPD.

Il résulte de l’article 15, paragraphe 1, du RGPD que les informations visées concernent les circonstances entourant le traitement des données. La disposition établit en effet une distinction entre les « données à caractère personnel », d’une part, et les « informations » visées sous les lettres du paragraphe 1, d’autre part. Les informations à fournir à la personne concernée en vertu de l’article 15, paragraphe 1, sous a) à h), du RGPD ne sauraient donc être confondues avec les données à caractère personnel de la personne concernée au sens de l’article 4, paragraphe 1, du RGPD.

Les informations sur les destinataires auxquels les données à caractère personnel de la personne concernée ont été ou seront communiquées [article 15, paragraphe 1, sous c), du RGPD] posent d’autres problèmes conceptuels.

L’article 15, paragraphe 1, du RGPD établit, en résumé, un droit aux informations relatives au fait même du traitement et aux circonstances qui l’entourent. À ces informations s’ajoutent celles relatives aux droits dont dispose la personne concernée au sujet du traitement dont font l’objet les données en cours, tels que le droit d’introduire une réclamation auprès d’une autorité de contrôle.

La simple existence du traitement et les circonstances qui l’entourent ne constituent pas des « données à caractère personnel » au sens de l’article 4, point 1, du RGPD.

Le traitement peut certes déboucher des décisions susceptibles d’avoir une incidence sur la personne concernée. Ce résultat ne dépendra toutefois pas de la ou des personnes physiques qui, concrètement, ont examiné les données pour le compte et sous la responsabilité de Pankki, éléments qui constituent les informations en cause au principal.

Ainsi, J. M. aurait le droit que Pankki, en tant que responsable du traitement, l’informe des données à caractère personnel dont elle dispose, soit qu’elle les ait collectées auprès de J. M. lui-même (article 13 du RGPD), soit qu’elle les ait obtenues par d’autres moyens (article 14 du RGPD). Il aurait également le droit – en vertu de l’article 15 du RGPD – d’obtenir des informations sur l’existence et les circonstances de chaque opération de traitement dont ont fait l’objet ces données, non pas parce que ces dernières constituent en elles-mêmes des « données à caractère personnel », mais en vertu d’un mandat exprès de l’article 15 du RGPD.

Le point pertinent en l’espèce est que l’identité des salariés qui ont consulté les données de J. M. ne constitue pas une « donnée à caractère personnel » de celui-ci.

Il en va autrement si les fichiers journaux ou registres contiennent directement ou indirectement des données à caractère personnel de la personne concernée, distinctes de la mention des salariés qui y ont accédé. Qu’il en aille ainsi ou non dépendra dans une large mesure du contenu des fichiers journaux ou registres pertinents. Toutefois, si le litige au principal n’a pour objet que d’obtenir des informations sur l’identité des salariés de Pankki, il s’agit non pas de données à caractère personnel de J. M., mais de ces salariés eux-mêmes.

La juridiction de renvoi souhaite aussi savoir si, bien qu’il ne se soit pas agi de données à caractère personnel de J. M., ce dernier aurait le droit, à la lumière de l’article 15, paragraphe 1, sous a) et c), du RGPD, d’obtenir de Pankki qu’elle lui fournisse des informations sur les salariés qui ont traité ses données à caractère personnel.

Selon l’article 15, paragraphe 1, lettre c) du RGPD, la personne concernée a le droit d’obtenir des informations sur les « destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées […] ».

L’article 4, point 9, du RGPD définit, quant à lui, le « destinataire » comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ».

Ce dernier point (« qu’il s’agisse ou non d’un tiers ») pourrait donner lieu à des malentendus quant à la portée subjective de la disposition. Une lecture superficielle et erronée, pourrait accréditer l’idée que le « destinataire » ne serait pas seulement tout tiers auquel Pankki aurait communiqué les données à caractère personnel de J. M., mais aussi chacun des salariés qui, concrètement, consultent ces données au nom et pour le compte de la personne morale qu’est Pankki.

Aux termes de l’article 4, point 10, du RGPD, on entend par « tiers », « une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ».

À la lumière de ces prémisses, la notion de destinataire n’inclut pas les salariés d’une personne morale qui, lorsqu’ils utilisent le système informatique de celle-ci, consultent les données à caractère personnel d’un client pour le compte de ses organes de gestion. Lorsque ces salariés agissent sous l’autorité directe du responsable du traitement, ils n’acquièrent pas, de ce seul fait, le statut de « destinataires » des données

Il peut cependant arriver qu’un salarié ne suive pas les procédures établies par le responsable du traitement et que, de sa propre initiative, il accède illégalement aux données de clients ou d’autres salariés. Dans ce cas, le salarié déloyal n’aurait pas agi au nom et pour le compte du responsable du traitement.

Dans cette mesure, le salarié déloyal pourrait être considéré comme un « destinataire » auquel auraient été « communiquées » (au sens figuré) les données à caractère personnel de la personne concernée (25), quoique de sa propre initiative, et donc de manière illicite, voire comme un responsable du traitement (indépendant).

Il ressort de la description des faits figurant dans la décision de renvoi et des arguments avancés à l’audience par Pankki que cette dernière a autorisé, sous sa propre responsabilité, ses salariés à consulter les données à caractère personnel de J. M. Ces salariés ont donc suivi les instructions du responsable du traitement et ont agi pour le compte de celui-ci. Ils ne sauraient donc être qualifiés de destinataires au sens de l’article 15, paragraphe 1, sous c), du RGPD.

C’est ce que confirme l’article 29 du RGPD en visant les personnes agissant « sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui [ont] accès à des données à caractère personnel ». Ces personnes ne peuvent traiter ces données que sur instruction de leur employeur, qui est le véritable responsable (ou le sous-traitant) du traitement).

L’objectif de l’article 15, paragraphe 1, du RGPD est de permettre à la personne concernée d’exercer (de défendre) efficacement ses droits en ce qui concerne ses données à caractère personnel. Aussi la personne concernée doit-elle être informée de l’identité du responsable du traitement et, le cas échéant, des destinataires auxquels les données ont été communiquées. Avec ces informations, la personne concernée peut s’adresser, outre au responsable du traitement, aux destinataires qui ont eu connaissance de ses données.

Certes, la personne concernée peut avoir des doutes quant à la licéité de l’implication de certaines personnes dans la gestion du traitement de ses données pour le compte et sous le contrôle du responsable du traitement ou du sous-traitant.

Dans cette situation, la personne concernée peut s’adresser au délégué à la protection des données (article 38, paragraphe 4, du RGPD) ou à l’autorité de contrôle pour introduire une réclamation [article 15, paragraphe 1, sous f), et article 77 du RGPD]. Ce qui n’est pas reconnu à la personne concernée, c’est le droit de demander directement une donnée à caractère personnel (identité) auprès du salarié qui, en tant que subordonné du responsable du traitement ou du sous-traitant, agit en principe selon les instructions de ce dernier.

Par ailleurs, comme l’a souligné Pankki lors de l’audience, l’identité des salariés individuels qui ont traité les données d’un client est une information particulièrement sensible du point de vue de la sécurité, du moins dans certains secteurs économiques. Ces salariés pourraient être exposés à des tentatives de pression et d’influence de la part de ceux qui, en tant que clients de la banque, peuvent avoir intérêt à personnaliser leur interlocuteur, qui ne serait plus tant l’institution financière elle-même, mais un ou plusieurs de ses salariés, en tant que maillon faible de la chaîne commerciale. Il pourrait par exemple en aller ainsi lorsque le suivi des transactions, opéré au moyen de la consultation des données des clients, est réalisé afin de respecter les obligations auxquelles les banques sont soumises en matière de prévention et de lutte contre la criminalité dans le domaine financier. Compte tenu de la sensibilité de ces informations, l’intérêt de connaître l’identité du salarié se heurte à l’intérêt non moins indiscutable des responsables du traitement de préserver la discrétion sur l’identité de leurs salariés, ainsi que le droit de ces derniers à la protection de leurs propres données. C’est l’intermédiation de l’autorité de contrôle, en tant qu’arbitre entre ces deux intérêts contradictoires, qui permet d’atteindre le point d’équilibre.

La réponse aux première et deuxième questions pourrait s’arrêter là, après avoir précisé que les salariés de l’entité qui agissent pour le compte et sur les instructions de celle-ci ne sont pas, à proprement parler, les destinataires visés à l’article 15, paragraphe 1, sous c), du RGPD.

Toutefois, il convient de compléter la réponse par une analyse du prétendu droit de la personne concernée à connaître l’identité des salariés, lorsque celle-ci est contenue dans les fichiers journaux ou les registres d’opérations d’une entité. Bien que, comme je l’ai déjà mentionné, tous ces fichiers ou registres n’aient pas nécessairement un contenu identique, il est généralement admis qu’ils permettent de savoir qui (parmi les salariés du responsable du traitement) a consulté les données du client, et comment et quand cette consultation a eu lieu. De tels registres permettent au responsable du traitement de se conformer à son obligation de respecter les principes énoncés à l’article 5, paragraphe 1, du RGPD et de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD (article 24, paragraphe 1, et article 25, paragraphe 2, du RGPD).

La mission générale de contrôle de l’application du RGPD et de protection des droits des personnes physiques justifie les prérogatives de l’autorité de contrôle. Parmi ces prérogatives figure celle de connaître les circonstances dans lesquelles le traitement des données a été effectué par un sous-traitant ou un responsable du traitement. C’est précisément l’une de ces circonstances qui importe ici : l’identité des personnes qui consultent les données à caractère personnel des clients pour le compte du responsable du traitement ou du sous-traitant. Or aucune disposition du RGPD n’exige de rendre accessible au client ces mentions relatives à l’identité des salariés qui figurent dans les registres internes des entités et grâce auxquelles ces dernières peuvent savoir qui a examiné les données à caractère personnel de ce client, et quand (en mettant, le cas échéant, ces informations à la disposition de l’autorité de contrôle).

Il conviendra au contraire de fournir à la personne concernée par un traitement spécifique les informations nécessaires pour connaître les circonstances pertinentes, aux fins d’évaluer la licéité du traitement et de le contester, si nécessaire, devant l’autorité de contrôle ou, en dernier ressort, devant l’autorité judiciaire.

Conclusion

Eu égard aux considérations qui précèdent, il est proposé à la Cour d’apporter la réponse suivante à l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande) :

« L’article 15, paragraphe 1, RGPD (…) doit être interprété en ce sens que : (…)

Il ne donne pas à la personne concernée le droit de connaître, parmi les informations dont dispose le responsable du traitement (le cas échéant, au moyen de registres d’opérations ou de fichiers journaux), l’identité du salarié ou des salariés qui, sous l’autorité et suivant les instructions du responsable du traitement, ont consulté ses données à caractère personnel ».

(Tiré de CJUE, Conclusions de l’avocat général Campos Sanchez-Bordona dans l’affaire JM (C‑579/21, EU:C:2022:1001 ; https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62021CC0579)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s