CJCE, Affai­re C‑579/21 – Requêtes GA : les employés ne sont pas des “béné­fi­ci­ai­res”.

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • L’i­den­ti­té des col­la­bo­ra­teurs de la ban­que qui con­sul­tent les don­nées des cli­ents n’est pas con­sidé­rée com­me une don­née à carac­tère per­son­nel du cli­ent et ne peut donc pas être exi­gée via l’ar­tic­le 15 du RGPD.
  • Les col­la­bo­ra­teurs inter­nes de la ban­que ne sont pas con­sidé­rés com­me des “desti­na­tai­res” au sens de l’ar­tic­le 4, point 9, du RGPD ; en cas de soup­çon d’ac­cès abu­sif, la DPO ou l’au­to­ri­té de sur­veil­lan­ce sont compétentes.

Dans le cad­re d’u­ne deman­de d’ac­cès, le cli­ent d’u­ne ban­que fin­lan­dai­se avait notam­ment deman­dé à savoir quels employés de la ban­que avai­ent eu accès à ses don­nées au cours d’u­ne péri­ode don­née. La ban­que a refusé à juste tit­re de four­nir ces infor­ma­ti­ons, com­me l’a souli­g­né l’a­vo­cat géné­ral de la CJCE dans ses con­clu­si­ons. Con­clu­si­ons dans l’af­fai­re Rs. C‑579/21 de l’entreprise.

D’u­ne part, les Noms de ces employés aucun le cli­ent don­nées per­son­nel­les con­cer­nées:

55. com­me je l’ex­pli­quer­ai plus en détail ci-des­sous, ce qui est important dans la pré­sen­te affai­re, c’est que l’i­den­ti­té des employés qui ont con­sul­té les don­nées de J. M. ne con­sti­tue pas des “don­nées à carac­tère per­son­nel” de J. M.

D’aut­re part, les Les employés de la ban­que ne sont pas des “béné­fi­ci­ai­resLes don­nées à carac­tère per­son­nel ne sont pas des don­nées à carac­tère per­son­nel au sens de l’ar­tic­le 15, para­gra­phe 1, point c), du RGPD. Selon l’ar­tic­le 4, point 9, du RGPD, les “desti­na­tai­res” sont les orga­nis­mes “aux­quels des don­nées à carac­tère per­son­nel sont divul­guées”, qu’il s’a­gis­se ou non d’un tiers […]”. On pour­rait dédui­re de la der­niè­re demi-phra­se que les employés de l’en­ti­té qui com­mu­ni­que les don­nées sont éga­le­ment des “desti­na­tai­res”. Selon l’a­vo­cat géné­ral, cela doit être reje­té, ne serait-ce que par­ce que les employés sont “habi­li­tés à trai­ter les don­nées à carac­tère per­son­nel sous la responsa­bi­li­té direc­te du responsable du trai­te­ment ou du sous-trai­tant”, rai­son pour laquel­le ils ne sont pas des “tiers” au sens de l’ar­tic­le 4, point 10, du RGPD :

Je suis donc d’a­vis que le la noti­on de desti­na­tai­re n’in­clut pas les per­son­nes employées par une per­son­ne mora­leLes respons­ables du trai­te­ment des don­nées sont des per­son­nes qui con­sul­tent les don­nées à carac­tère per­son­nel d’un cli­ent en uti­li­sant le système de trai­te­ment des don­nées de la per­son­ne mora­le et pour le comp­te de ses orga­nes direc­teurs. Si ces employés agis­sent sous la responsa­bi­li­té direc­te du responsable du trai­te­ment, ils ne devi­en­nent pas pour autant des “desti­na­tai­res” des données.

Le résul­tat est con­vain­cant. On ne peut tou­te­fois rien dédui­re de la défi­ni­ti­on du “tiers” à l’ar­tic­le 4, point 10, si le point 9 pré­cise en même temps que les “tiers” ne sont pas les seuls desti­na­tai­res. Quoi qu’il en soit – sous réser­ve d’un trai­te­ment arbi­trai­re par un col­la­bo­ra­teur, qui ferait de celui-ci un responsable à part entiè­re, la per­son­ne con­cer­née ne peut pas deman­der des infor­ma­ti­ons sur les com­mu­ni­ca­ti­ons fai­tes à ses pro­pres employés. S’il dou­te de la léga­li­té des règles d’ac­cès, il ne peut s’adress­er qu’au DPO du responsable du trai­te­ment ou à l’au­to­ri­té de contrôle :

Dans un tel cas, la per­son­ne con­cer­née […] peut s’adress­er au délé­gué à la pro­tec­tion des don­nées (artic­le 38, para­gra­phe 4, du RGPD) ou intro­dui­re une récla­ma­ti­on auprès de l’au­to­ri­té de con­trô­le (artic­le 15, para­gra­phe 1, point f), et artic­le 77 du RGPD). Elle n’a tou­te­fois pas le droit d’ob­te­nir direc­te­ment des infor­ma­ti­ons sur les don­nées à carac­tère per­son­nel (l’i­den­ti­té) d’un employé qui est pla­cé sous l’au­to­ri­té du responsable du trai­te­ment ou du sous-trai­tant et qui agit en prin­ci­pe con­for­mé­ment à ses instructions.

La remar­que fina­le et clai­re de l’a­vo­cat géné­ral à la CJCE n’est pas injustifiée :

À mon avis, il serait il ne serait pas sou­hai­ta­ble que la Cour de justi­ce exer­ce des fonc­tions qua­si-légis­la­ti­ves et modi­fie le RGPDLa Com­mis­si­on a déci­dé d’in­tro­dui­re une nou­vel­le obli­ga­ti­on d’in­for­ma­ti­on qui se super­po­se à l’ob­li­ga­ti­on pré­vue à l’ar­tic­le 15, para­gra­phe 1. Ce serait le cas si le responsable du trai­te­ment était tenu de com­mu­ni­quer à la per­son­ne con­cer­née non seu­le­ment l’i­den­ti­té du desti­na­tai­re auquel les don­nées ont été divul­guées, mais aus­si l’i­den­ti­té de tout employé ou de tou­te per­son­ne appar­tenant au cer­cle inter­ne de l’entre­pri­se qui a eu légiti­me­ment accès aux données.