Droit d’accès (art. 15 RGPD)

  • 30/08/2023
Droit d’accès (art. 15 RGPD)

La personne concernée peut-elle obtenir l’identité des salariés qui ont consulté ses données à caractère personnel?.

La question a été soumise à la CJUE (arrêt du 22 06 2023).

Quels sont les faits ?
 
Un salarié (qui est aussi client de son employeur, ici une banque) apprend que ses données à caractère personnel ont été consultées par d’autres membres du personnel de la banque, et ce à plusieurs reprises.
 
Entre-temps licencié, celui-ci a demandé à la banque de lui communiquer l’identité des personnes ayant consulté ses données, les dates de consultation ainsi que les finalités des traitements réalisés.
 
La banque a répondu à cette demande mais a refusé de lui communiquer l’identité des employés ayant procédé aux consultations.
 
Saisie sur demande préjudicielle, la Cour retient que :
➡        Les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable de traitement.
➡       EN REVANCHE, un tel droit n’est pas reconnu s’agissant de l’identité des salariés qui ont procédé à ces opérations … sous l’autorité et conformément aux instructions du responsable de traitement … à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD et à condition qu’il soit tenu compte des droits et libertés de ces salariés.
 
Cette décision rappelle qu’en vertu du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu, puisqu’il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux. Le considérant 63 du RGPD rappelle quant à lui, s’agissant du droit d’accès, que celui-ci « ne devrait pas porter atteinte aux droits ou libertés d’autrui ». Dans ces conditions, en cas de conflit entre l’exercice d’un droit d’accès et les droits ou libertés d’autrui, il y a en effet lieu de mettre en balance les droits et libertés en question.
 
L’identité des salariés, agissant dans le cadre de leur fonction, ne serait donc, en principe, pas communicable.