L’autorité de contrôle maltaise a sanctionné une banque qui avait répondu de manière incohérente à une demande de droit d’accès.
1/ L’exercice du droit d’accès et la réponse du responsable du traitement
Une personne concernée avait exercé son droit d’accès auprès de sa banque en vue d’obtenir une copie de l’intégralité de ses données à caractère personnel, y compris les courriels internes échangés entre les employés et tous les documents internes la concernant.
La banque a répondu favorablement à cette demande en transmettant la copie de nombreuses données. Toutefois, la réponse était, selon la requérante, incomplète dans la mesure où il manquait la copie des courriels internes échangés entre les employés et tous les documents internes la concernant.
Malgré l’insatisfaction de la requérante, la banque a refusé de transmettre ces éléments au motif que leur transmission porterait atteinte au secret professionnel et au secret bancaire (exception posée à l’article 15(4) du RGPD).
La personne concernée a réitéré sa demande, considérant que cette exception ne lui était pas opposable.
En réponse, la banque lui a indiqué avoir transmis l’intégralité des données personnelles dont elle disposait et qu’elle ne compléterait pas sa réponse initiale.
Face à cette incohérence, la personne concernée a déposé une plainte auprès de l’autorité de contrôle maltaise.
2/ La sanction pour réponse incohérente à la demande de droit d’accès
L’autorité a considéré que la banque avait manqué au principe de transparence, posé à l’article 5(1)a du RGPD, en n’indiquant pas, dès la première réponse, qu’elle s’était fondée sur l’article 15(4) du RGPD pour refuser de transmettre certains éléments. En effet, si la personne concernée n’avait pas insisté, elle n’aurait jamais su que la réponse initiale était incomplète.
L’autorité de contrôle maltaise a également ajouté que la réponse de la banque était contraire au RGPD. En effet, selon l’autorité, le responsable du traitement ne peut pas, d’un côté, prétendre avoir fourni toutes les données à caractère personnel d’une personne et, de l’autre côté, invoquer l’article 15(4) du RGPD pour refuser l’accès à certaines données.
En conséquence, l’autorité de contrôle a adressé un avertissement à la banque et lui a ordonné de répondre à la demande de droit d’accès de la personne concernée.
Source : IDPC (Malte), 14 janvier 2025, n° CDP/COMP/332/2024