La Cour de justice de l’Union européenne, par une décision du 22 juin 2023, précise l’étendue du droit d’accès aux données à caractère personnel. Cette affaire porte sur la communication des informations relatives aux opérations de consultation de données bancaires effectuées par les agents d’un responsable du traitement. Un ancien salarié d’un établissement bancaire apprend que ses données personnelles furent consultées par plusieurs membres du personnel durant l’année 2013. Le requérant sollicite la communication de l’identité des auteurs, des dates précises et des finalités des opérations de consultation effectuées au sein de l’organisme.
L’établissement bancaire refuse de transmettre l’identité des agents concernés afin de protéger les données personnelles de ses collaborateurs agissant sous ses seules instructions. Le bureau du délégué à la protection des données rejette ensuite la demande d’accès aux fichiers journaux en les qualifiant de données propres aux salariés. Saisi d’un recours, le tribunal administratif de Finlande orientale interroge la Cour sur l’interprétation de l’article 15 du règlement n° 2016/679 relatif à la protection des données. Les juges se demandent si le droit d’accès inclut les informations temporelles, les objectifs du traitement et l’identification précise des personnes physiques intervenantes.
La Cour affirme que le droit d’accès s’applique aux demandes introduites après l’entrée en vigueur du règlement, même pour des traitements réalisés antérieurement. Les juges européens retiennent que les dates et les finalités des consultations doivent être communiquées pour permettre de vérifier la licéité du traitement de données. L’identité des salariés n’est pas transmise de plein droit car ces derniers ne constituent pas des destinataires au sens strict du droit européen. L’étude de cette solution conduit à analyser l’étendue des informations dues à la personne concernée avant d’examiner les limites imposées par la protection d’autrui.
I. La consécration d’un droit d’accès étendu aux métadonnées de traitement
A. L’application immédiate du droit d’accès aux traitements antérieurs
La Cour souligne que l’article 15 du règlement européen instaure une règle de nature procédurale applicable aux demandes formulées dès l’entrée en application. Cette interprétation permet aux justiciables d’exercer leurs prérogatives pour des traitements de données réalisés antérieurement au 25 mai 2018. La juridiction précise que cette disposition « se contente de préciser l’étendue du droit d’accès » sans remettre en cause la licéité initiale des opérations. Le droit d’accès constitue ainsi un outil fondamental destiné à garantir la transparence des opérations pour toute personne physique identifiée ou identifiable.
B. La communication obligatoire des circonstances temporelles et finales
Les juges considèrent que la communication des dates de consultation permet à la personne concernée d’obtenir la confirmation effective que ses données furent traitées. Cette information s’avère indispensable pour vérifier le respect des principes de licéité et de loyauté durant l’exécution des opérations de consultation interne. La Cour rappelle que « l’information relative aux finalités des traitements est expressément visée » par le texte européen afin de permettre un contrôle de conformité. L’accès aux fichiers journaux garantit un traitement équitable en offrant une vision claire de la fréquence et de l’intensité des accès réalisés par l’organisme.
La reconnaissance de ce droit à l’information se heurte néanmoins aux libertés individuelles des agents dont l’identité figure dans les registres de l’établissement.
II. La protection mesurée de l’anonymat des agents agissant sous autorité
A. Le refus de la qualification de destinataire pour les préposés
La juridiction européenne écarte la qualification de destinataire pour les employés traitant des données sous l’autorité du responsable et conformément à ses instructions. Cette analyse distingue les acteurs internes des entités tierces recevant communication d’informations personnelles dans le cadre de l’exercice de leurs missions respectives. La Cour affirme que « les salariés du responsable du traitement ne sauraient être considérés comme étant des destinataires » agissant de manière autonome. Cette distinction restreint le droit à l’obtention automatique de l’identité des personnes physiques ayant accédé aux dossiers sans preuve d’un besoin impérieux.
B. La mise en balance du droit d’accès avec les libertés d’autrui
Le droit à la protection des données ne présente pas un caractère absolu et doit être mis en balance avec d’autres droits fondamentaux comme la vie privée. Le règlement précise que le droit d’obtenir une copie « ne devrait pas porter atteinte aux droits ou libertés d’autrui », incluant ainsi les collaborateurs. En présence d’un conflit d’intérêts, il convient de privilégier des modalités de communication n’attentant pas inutilement à l’anonymat des agents. L’identité des préposés n’est divulguée que si elle demeure strictement indispensable à l’exercice effectif des droits de la personne concernée par le traitement.
