CJUE – Pankki S – C-579/21

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-579/21

Nom:

Pankki S

Date:

22 juin 2023

Pays:

Finlande

Lien:

Cliquer ici

Contexte

Au cours de l’année 2014, J.M., alors salarié et client de Pankki S, a appris que ses propres données de client avaient été consultées par des membres du personnel de la banque, à plusieurs reprises, au cours de la période comprise entre le 1er novembre et le 31 décembre 2013. Ayant des doutes sur la licéité de ces consultations, J.M. qui, entretemps, avait été licencié de son emploi au sein de Pankki S a, le 29 mai 2018, demandé à celle-ci de lui communiquer l’identité des personnes ayant consulté ses données de client, les dates exactes des consultations ainsi que les finalités du traitement desdites données.

Dans sa réponse du 30 août 2018, Pankki S a, en sa qualité de responsable du traitement au sens de l’article 4, point 7, du RGPD, refusé de communiquer l’identité des salariés ayant procédé aux opérations de consultation au motif que ces informations constituaient des données à caractère personnel de ces salariés. Toutefois, dans cette réponse, Pankki S a apporté des précisions sur les opérations de consultation effectuées, sur ses instructions, par son service d’audit interne. J.M. a saisi le Tietosuojavaltuutetun toimisto (bureau du délégué à la protection des données, Finlande) qui a par décision du 4 août 2020, rejeté la demande. J.M. a alors introduit un recours contre cette décision auprès de la juridiction de renvoi.

Apport(s)
Droit d'accès - 1) Journaux de consultation - Inclusion - 2) Identité des salariés ayant consulté les données - Exclusion en principe Extrait(s) pertinent(s)83. Il résulte des considérations qui précèdent que l’article 15, paragraphe 1, du RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition. En revanche, ladite disposition ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés dudit responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés. Article(s) du RGPD Article 15 – Droit d’accès de la personne concernée Fait référence à > CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18 > CJUE – Österreichische Datenschutzbehörde et CRIF – C-487/21 Autres informations
Droit d'accès - Opérations de traitement antérieures à la date d’entrée en application du RGPD - Application du RGPD - Conditions Extrait(s) pertinent(s)31.Or, en l’espèce, il ressort de la décision de renvoi que les opérations de traitement de données à caractère personnel en cause au principal ont été effectuées entre le 1er novembre 2013 et le 31 décembre 2013, soit antérieurement à la date d’entrée en application du RGPD. Toutefois, il ressort également de cette décision que J.M. a présenté sa demande d’informations à Pankki S postérieurement à cette date, à savoir le 29 mai 2018. 32. À cet égard, il y a lieu de rappeler que les règles de procédure sont généralement censées s’appliquer à la date à laquelle elles entrent en vigueur, à la différence des règles de fond qui sont habituellement interprétées comme ne visant des situations nées et définitivement acquises antérieurement à leur entrée en vigueur que dans la mesure où il ressort clairement de leurs termes, de leur finalité ou de leur économie qu’un tel effet doit leur être attribué (arrêt du 15 juin 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483, point 100 ainsi que jurisprudence citée). Article(s) du RGPD Article 15 – Droit d’accès de la personne concernée Fait référence à Autres informations

Apport(s)

Droit d'accès - 1) Journaux de consultation - Inclusion - 2) Identité des salariés ayant consulté les données - Exclusion en principe

Extrait(s) pertinent(s)83. Il résulte des considérations qui précèdent que l’article 15, paragraphe 1, du RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition. En revanche, ladite disposition ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés dudit responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés.
Article(s) du RGPD Article 15 – Droit d’accès de la personne concernée
Fait référence à > CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18
> CJUE – Österreichische Datenschutzbehörde et CRIF – C-487/21
Autres informations

Droit d'accès - Opérations de traitement antérieures à la date d’entrée en application du RGPD - Application du RGPD - Conditions

Extrait(s) pertinent(s)31.Or, en l’espèce, il ressort de la décision de renvoi que les opérations de traitement de données à caractère personnel en cause au principal ont été effectuées entre le 1er novembre 2013 et le 31 décembre 2013, soit antérieurement à la date d’entrée en application du RGPD. Toutefois, il ressort également de cette décision que J.M. a présenté sa demande d’informations à Pankki S postérieurement à cette date, à savoir le 29 mai 2018.

32. À cet égard, il y a lieu de rappeler que les règles de procédure sont généralement censées s’appliquer à la date à laquelle elles entrent en vigueur, à la différence des règles de fond qui sont habituellement interprétées comme ne visant des situations nées et définitivement acquises antérieurement à leur entrée en vigueur que dans la mesure où il ressort clairement de leurs termes, de leur finalité ou de leur économie qu’un tel effet doit leur être attribué (arrêt du 15 juin 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483, point 100 ainsi que jurisprudence citée).
Article(s) du RGPD Article 15 – Droit d’accès de la personne concernée
Fait référence à
Autres informations