CONTACT

Droit d’accès : l’employeur doit-il communiquer l’identité des salariés ayant consulté les données de la personne concernée ?

07 juillet 2023 | Derriennic associés|

Dans un arrêt du 22 juin 2023, la CJUE s’est prononcée sur les limites du droit d’accès en confirmant qu’on ne peut, en principe, pas d’obtenir l’identité des personnes ayant consulté ses données.

Un salarié d’une banque a appris que ses données de client avaient été consultées par des membres du personnel, et ce à plusieurs reprises sur une période de deux mois. Ayant des doutes sur la licéité de ces consultations, ce salarié, licencié entre temps, a, sur le fondement de l’article 15 du RGPD, exercé une demande de droit d’accès afin que la banque lui communique (i) l’identité des personnes ayant consulté ses données de client, (ii) les dates exactes de ces consultations et (iii) les finalités de ce traitement.

La banque a refusé de communiquer l’identité des salariés concernés au motif que ces informations constituaient des données personnelles. Toutefois, elle a expliqué que ces consultations avaient été réalisées dans le cadre d’un audit interne dans l’optique de lever un doute au sujet d’une éventuelle relation de conflit d’intérêts entre un client et le salarié, alors conseiller de clientèle de la banque.

C’est dans ce contexte que l’ancien salarié a saisi, sans succès, l’autorité de contrôle finlandaise afin qu’il soit enjoint à la banque de transmettre les fichiers journaux des salariés ayant traités ses données. Un recours a été introduit devant la juridiction de renvoi, qui a décidé de surseoir à statuer et de poser la question préjudicielle suivante à la CJUE :

« Le droit d’accès (…) doit-il être interprété en ce sens que les informations collectées par le responsable du traitement qui font apparaitre qui a traité les données à caractère personnel de la personne concernée (…) ne constituent pas des informations auxquelles la personne concernée aurait le droit d’accès, au motif, notamment, de ce qu’il s’agit de données concernant des salariés du responsable du traitement ? »

Selon la CJUE, s’il résulte des termes de l’article 15-1 du RGPD que la personne concernée a le droit d’obtenir du responsable du traitement les informations relatives aux destinataires auxquels les données ont été communiquées, « les salariés du responsable du traitement ne sauraient être considérés comme étant des « destinataires » au sens de l’article 15 (…) lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions ».

Cela étant dit, la Cour ajoute que les informations contenues dans les fichiers journaux relatives aux personnes ayant procédé aux consultations litigieuses des données de la personne concernée pourraient constituer des informations « susceptibles de lui permettre de vérifier la licéité du traitement (…) et, notamment, de s’assurer que les opérations de traitement ont effectivement été réalisées sous l’autorité du responsable du traitement et conformément à ses instructions ». Néanmoins, précise la Cour, à supposer que la communication de telles informations soit nécessaire au regard de l’objectif susvisé, « elle est (…) susceptible de porter atteinte aux droits et aux libertés de ces salariés ». Dans ces conditions, il y a lieu de mettre « en balance » les droits et libertés en question.

Ainsi, et pour conclure, la CJUE indique que :

« (…) l’article 15, paragraphe 1, du RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition.

En revanche, ladite disposition ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés du responsable du traitement ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés ».

Source : ici