J.M. était salarié et client d’un établissement bancaire finlandais. En 2014, il a appris que ses propres données de client avaient été consultées par des membres du personnel de cet établissement, à plusieurs reprises, au cours de l’année 2013. En 2018, ayant des doutes sur la licéité de ces consultations, J.M., qui avait entre-temps été licencié de son emploi au sein de cet établissement, a demandé à ce dernier de lui communiquer l’identité des personnes ayant consulté ses données de client, les dates exactes des consultations ainsi que les finalités du traitement de ces données.

L’établissement bancaire, en sa qualité de responsable du traitement des données, a refusé de lui communiquer l’identité des salariés ayant procédé aux opérations de consultation au motif que ces informations constituaient des données à caractère personnel de ces salariés. Il a précisé que les opérations de consultation avaient été effectuées, sur ses instructions, par son service d’audit interne, dans le cadre d’une enquête concernant un potentiel conflit d’intérêts entre J. M. et un autre client.

Par la suite, J. M. a saisi l’autorité de contrôle finlandaise d’une demande visant à lui communiquer l’identité des personnes ayant consulté ses données de client. À la suite du rejet de cette demande au motif que les fichiers journaux des salariés ayant traité ses données constituaient des données à caractère personnel de ces salariés, J. M. a saisi la juridiction de renvoi. Celle-ci s’interroge sur le fait de savoir si la communication des fichiers journaux générés à l’occasion des opérations de traitement, qui contiennent des informations relatives aux finalités du traitement et aux destinataires des données ainsi qu’à l’identité des personnes ayant procédé à ces opérations – en l’espèce, les salariés du responsable du traitement -, est couverte par l’article 15 du RGPD.

Par son arrêt du 22 juin 2023 dans l’affaire C‑579/21 (demande de décision préjudicielle, introduite par l’Itä-Suomen hallinto-oikeus ; https://curia.europa.eu/juris/document/document.jsf?docid=274867&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=FR&cid=309580), la CJUE se prononce sur l’application dans le temps de l’article 15 du RGPD, dans le contexte d’une demande d’accès aux informations visées par cette disposition introduite après l’entrée en vigueur de ce règlement. Elle précise en outre l’étendue du droit de la personne concernée d’obtenir du responsable du traitement l’accès aux données traitées la concernant ainsi qu’aux informations relatives à ces données.

En premier lieu, la Cour dit pour droit que l’article 15 du RGPD est applicable à une demande d’accès aux informations visées par cette disposition lorsque les opérations de traitement concernées par cette demande ont été effectuées avant la date d’entrée en application de ce règlement, mais que la demande a été présentée après cette date. En effet, l’article 15, paragraphe 1, du RGPD ne concerne pas les conditions de licéité du traitement dont font l’objet les données à caractère personnel de la personne concernée, il se contente de préciser l’étendue du droit d’accès de cette personne aux données et aux informations qu’elle vise. Partant, cette disposition confère aux personnes concernées un droit de nature procédurale consistant à obtenir des informations sur le traitement de leurs données à caractère personnel. En tant que règle procédurale, elle s’applique aux demandes d’accès introduites dès l’entrée en application de ce règlement, telles que la présente demande.

En deuxième lieu, la Cour souligne que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement des données en vertu de l’article 15, paragraphe 1, du RGPD.

Tout d’abord, il découle de l’analyse textuelle de cette disposition et des notions qu’elle comporte que le droit d’accès qu’elle reconnaît à la personne concernée se caractérise par la large portée des informations que le responsable du traitement des données doit fournir à cette personne.

Ensuite, il ressort du contexte dans lequel cette disposition s’insère que celle-ci est destinée à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée sans laquelle cette dernière ne serait pas en mesure d’apprécier la licéité du traitement de ses données.

Enfin, cette interprétation de l’étendue du droit d’accès prévu à l’article 15, paragraphe 1, du RGPD est corroborée par les objectifs que poursuit ce règlement, dont font partie le besoin d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que celui de permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite.

S’agissant des informations sollicitées par J.M., la Cour relève, dans un premier temps, que les opérations de consultation dont ont fait l’objet les données à caractère personnel de J. M. constituent un « traitement », de sorte qu’elles ouvrent à celui-ci un droit d’accès à ces données ainsi qu’un droit à se voir communiquer les informations en lien avec ces opérations. Elle souligne à cet égard que la communication des dates des opérations de consultation permettrait à la personne concernée d’obtenir la confirmation que ses données à caractère personnel ont effectivement fait l’objet d’un traitement tandis que la date de celui-ci lui permettrait de vérifier sa licéité. En outre, elle précise que l’information relative aux finalités des traitements est expressément prévue par le RGPD et que ce dernier prévoit que le responsable du traitement informe la personne concernée des destinataires auxquels ont été communiquées ses données.

En ce qui concerne la communication de l’ensemble de ces informations par la fourniture des fichiers journaux relatifs aux opérations de traitement en cause, la Cour spécifie, dans un second temps, que la communication d’une copie des informations figurant dans ces fichiers peut s’avérer nécessaire afin qu’il soit satisfait à l’obligation incombant au responsable du traitement de fournir à la personne concernée l’accès à l’ensemble des informations visées par l’article 15, paragraphe 1, du RGPD et de garantir un traitement équitable et transparent de ses données.

D’une part, ces fichiers révèlent non seulement l’existence d’un traitement des données (7), mais ils renseignent également sur la fréquence et l’intensité des opérations de consultation. Ils permettent ainsi à la personne concernée de s’assurer que le traitement effectué est effectivement motivé par les finalités avancées par le responsable du traitement.

D’autre part, ces fichiers contiennent les informations relatives à l’identité des personnes ayant procédé aux opérations de consultation. En l’occurrence, si la personne concernée a le droit d’obtenir du responsable du traitement les informations relatives aux destinataires ou aux catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, les salariés du responsable du traitement ne sauraient être considérés comme étant des « destinataires » lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions. Ainsi, à supposer que la communication des informations relatives à l’identité de ces salariés à la personne concernée soit nécessaire pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés, dans la mesure où ces informations contiennent elles-mêmes les données à caractère personnel de ces derniers. Dans cette hypothèse, une mise en balance du droit d’accès de la personne concernée et des droits et des libertés d’autrui est nécessaire. Partant, la Cour conclut que l’article 15, paragraphe 1, du RGPD ne consacre pas un droit de la personne dont les données font l’objet d’un traitement d’obtenir du responsable du traitement un accès aux informations relatives à l’identité des salariés de ce responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés.

En troisième et dernier lieu, la Cour constate que la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable, est, en principe, sans incidence sur l’étendue du droit dont bénéficie cette personne en vertu de l’article 15, paragraphe 1, du RGPD. En effet, s’agissant du champ d’application de ce droit, le règlement n’opère pas de distinction en fonction de la nature des activités du responsable du traitement ou de la qualité de la personne dont les données à caractère personnel font l’objet d’un traitement.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)