Actualité
4 min de lecture
20 juillet 2023
La CJUE précise l’étendue du droit d’accès en énonçant que « toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées » dans la limite du respect des données personnelles d’autrui.

Dans cette affaire, une ex-salariée d’une institution bancaire établie en Finlande désirait que lui soient communiquées certaines informations relatives à des opérations de consultation de ses données à caractère personnel. Elle a saisi le délégué adjoint à la protection des données finlandais qui a rejeté sa demande ; puis, elle a saisi le tribunal administratif d’un recours contre cette décision. Le tribunal décide de surseoir à statuer et de poser des questions préjudicielles à la CJUE. Il souhaite notamment :

  • savoir si le RGPD est applicable alors qu’il est entré en application postérieurement au déroulement des faits mais antérieurement aux démarches d’accès effectuées par l’ex-salariée (Règl. (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016 : JOUE n° L 119, 4 mai) ;
  • avoir des précisions sur l’étendue du droit d’accès quand la personne concernée a été à la fois salariée et cliente du responsable du traitement et qu’elle souhaite accéder aux informations portant sur la consultation de ses données par les employés de l’établissement.

Sur l’application du RGPD

La Cour rappelle tout d’abord que contrairement aux règles de fond, les règles de procédure s’appliquent généralement à la date à laquelle elles entrent en vigueur. La question est donc celle de savoir si les dispositions de l’article 15, § 1 relatif au droit d’accès sont de nature procédurale ou non.

Pour la Cour, la règle posée confère un droit de nature procédural car elle « se contente de préciser l’étendue du droit d’accès aux données et aux informations » que la personne vise. Elle confère ainsi aux personnes concernées « un droit consistant à obtenir des informations sur le traitement » de leurs données. De ce fait, l’article 15, § 1 s’applique aux demandes d’accès introduites dès l’entrée en application du RGPD, sans considération de la date des opérations de traitement des données. L’ex-salariée était donc tout à fait recevable à exercer le droit d‘accès qu’elle détenait en vertu du RGPD.

Sur l’étendue du droit d’accès

La Cour devait également déterminer si les informations relatives à des opérations de consultation des données à caractère personnel d’une personne - portant sur les dates et les finalités de ces opérations, ainsi que sur l’identité des personnes physiques ayant procédé à ces opérations - constituaient des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de son droit d’accès.

Pour répondre à cette question, la Cour commence par analyser le droit d’accès au regard des éléments de définition fournis par le RGPD, des éléments contextuels et de la finalité de ce droit. L’ensemble de ces critères l’amène à considérer que le droit d’accès doit être appréhendé largement car il participe « à garantir la transparence des modalités de traitement » et, ce faisant, la capacité de la personne concernée à « apprécier la licéité du traitement ». Le droit d’accès est nécessaire à l’exercice d’autres droits reconnus par le RGPD, en particulier le droit de rectification.

Limites

Elle s’attache ensuite à appliquer la limite de ce droit, ce dernier ne devant pas porter atteinte aux droits ou libertés d’autrui (RGPD, consid. 63). Un arbitrage doit être opéré pour concilier le droit de la personne concernée à accéder aux données la concernant et les droits et libertés d’autrui. Sur cette base, la Cour décide que « les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement ». Elle juge en revanche, que l’article 15, § 1 ne permet pas à la personne concernée d’obtenir « des informations relatives à l’identité des salariés dudit responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés » (point 83).

Avec cette décision, le droit d’accès est appréhendé largement, tout en n’étant pas absolu, et sans que la qualité du demandeur n’ait d’effet sur son étendue. La Cour décide en ce sens que « la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable est, en principe, sans incidence sur l’étendue du droit dont bénéficie cette personne » (point 89).

Complexité

En définitive, la décision adoptée par la CJUE, si elle est claire en théorie, risque d’être complexe à mettre en œuvre en pratique. Le responsable se retrouve à devoir opérer des arbitrages complexes et chronophages pour déterminer dans quels cas l’information demandée est indispensable à l’exercice de ses droits par la personne concernée, tout en ayant pris en compte les droits et libertés des tiers impliqués. Cette situation est d’autant plus problématique que le droit d’accès se révèle être un fondement intéressant pour celui qui souhaite obtenir des informations et porter un litige en justice à l’encontre de son ex-employeur.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica Eynard, maître de conférences HDR en droit à l’université de Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Aller plus loin
Code de la cybersécurité 2024 annoté et commenté
Prévenir le risque cyber, défendre son activité et son patrimoine immatériel.
79,00 € TTC
Code de la cybersécurité 2024 annoté et commenté