Fil d'Ariane
La Cour de justice se prononce sur l'étendue du droit d'accès
Dans un arrêt du 22 juin 2023, la Cour de justice a souligné que le droit d'accès ne va pas jusqu'à permettre la divulgation pure et simple d'informations sur l'identité d'autres travailleurs. Selon la Cour, cela n'est possible que si ces informations sont indispensables pour permettre au demandeur d'exercer effectivement son droit d'accès et à condition que les droits et libertés des autres travailleurs soient pris en considération.
1. Les faits
Un ancien travailleur d'une banque (qui était également client de celle-ci) a appris que des collaborateurs de la banque avaient accédé à plusieurs reprises à ses données de client sur une période de deux mois.
Suite à l'entrée en vigueur du Règlement général sur la protection des données (ci-après dénommé « RGPD »), l'ex-travailleur a eu des doutes sur la légalité des consultations effectuées par la banque. Il a dès lors demandé à la banque de l'informer sur l'identité des personnes ayant consulté ses données clients, les dates exactes des consultations et les finalités du traitement de ces données personnelles. Dans sa réponse, la banque avait refusé de divulguer l'identité des travailleurs qui avaient accédé aux données à caractère personnel, au motif que ces informations constituaient des données à caractère personnel de ces travailleurs. Toutefois, la banque avait indiqué qu'elle avait chargé le service d'audit interne de consulter lesdites données à caractère personnel dans le cadre d'une enquête sur un éventuel conflit d'intérêts.
L’ancien travailleur n'était pas d'accord avec la réponse de la banque et a demandé à l'autorité finlandaise de protection des données d'ordonner à la banque de lui fournir des informations sur les consultations des données à caractère personnel. L'autorité finlandaise de protection des données a rejeté la demande de l'ex-travailleur, car elle revenait à accéder aux fichiers journaux des collaborateurs de la banque et, par conséquent, concernait les données à caractère personnel des collaborateurs.
L'ex-travailleur n'a pas accepté la décision de l'autorité finlandaise de protection des données et a porté l'affaire devant le tribunal administratif de Finlande de l'Est. Avant de statuer sur l'affaire, le tribunal a posé quelques questions préjudicielles à la Cour de justice concernant la portée du droit d'accès en vertu de l'article 15 du RGPD.
2. L’arrêt
Avant tout, la Cour confirme qu'il importe peu que les faits soient antérieurs à l'entrée en vigueur du RGPD. Par conséquent, la Cour a estimé que l'article 15 du RGPD s'applique à une demande d'accès, telle que celle introduite par l'ancien travailleur, lorsque la demande a été introduite après la date d'entrée en vigueur du RGPD.
La Cour répond ensuite à la question de savoir si le droit d'accès de l'ex-travailleur en vertu de l'article 15 du RGPD doit être interprété de manière si large qu'il permet à l'ex-travailleur d'obtenir des informations sur les consultations de ses données à caractère personnel, les dates de ces consultations, leurs finalités et l'identité des personnes qui ont procédé à ces consultations. La Cour tient compte du fait que, selon la juridiction finlandaise, la fourniture de ces informations pourrait se faire par le biais du transfert des fichiers journaux.
La Cour reconnaît qu'une copie des fichiers journaux peut s'avérer nécessaire pour respecter l'obligation :
- de donner à l'ex-travailleur l'accès à toutes les informations mentionnées à l'article 15 du RGPD ;
- de garantir un traitement loyal et transparent.
Cependant, ces fichiers contiennent non seulement des informations sur le fait que le traitement a eu lieu, sa fréquence et son intensité, mais aussi l'identité des personnes qui ont effectué le traitement.
L'article 15, paragraphe 1, point c), dispose que la personne concernée a le droit d'être informée sur les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées. Toutefois, les travailleurs du responsable du traitement ne peuvent pas être considérés comme des "destinataires" au sens de l'article 15, paragraphe 1, point c), du RGPD lorsqu'ils traitent des données à caractère personnel sous l'autorité de ce responsable du traitement et conformément à ses instructions. Par conséquent, le travailleur n'a pas le droit d'obtenir des informations sur l'identité des travailleurs sur la base de l'article 15, paragraphe 1, point c).
Étant donné que les informations contenues dans les fichiers journaux permettent d'identifier les travailleurs qui ont procédé aux consultations, elles concernent les données à caractère personnel de ces travailleurs. S'il peut être nécessaire d'informer l'ex-travailleur de l'identité du travailleur pour vérifier la licéité du traitement, cela ne doit pas porter atteinte aux droits et libertés d'autrui. Toutefois, la mise en balance du droit d'accès et des droits et libertés d'autrui ne doit pas aboutir à priver la personne concernée de toute information.
La Cour conclut donc que le droit d'accès de l'article 15 du RGPD doit être interprété en ce sens que l'ex-travailleur a droit aux informations relatives aux consultations de ses données à caractère personnel, aux dates et aux finalités de ces consultations. En revanche, l'ex-travailleur n'a pas droit aux informations relatives à l'identité des travailleurs de la banque, en sa qualité de responsable du traitement, qui ont procédé à ces consultations sous son autorité et conformément à ses instructions, à moins que ces informations ne soient indispensables pour lui permettre d'exercer effectivement les droits que lui confère le RGPD et pour autant que les droits et libertés de ces travailleurs soient pris en compte.
Enfin, la Cour a considéré que le simple fait que le responsable du traitement exerce une activité bancaire et que la personne dont les données à caractère personnel ont été traitées était à la fois un (ex-)travailleur et un client de ce responsable du traitement n'a pas d'incidence sur la portée du droit d'accès prévu à l'article 15 du RGPD.
3. La décision de la Chambre Contentieuse n°89/2023
La Chambre Contentieuse de l'Autorité belge de protection des données a également eu à se prononcer récemment sur un cas similaire.
In casu, le registre national de trois personnes a été consulté jusqu'à 15 fois par une autorité publique. Ces personnes ont demandé à avoir accès à l'identité de la personne qui a consulté le registre national au nom de l'autorité publique ainsi qu'à la finalité de ces consultations. En effet, elles soupçonnaient que les consultations avaient eu lieu à des fins privées. Cependant, l'autorité publique a refusé d'accéder à la demande de divulgation de l'identité du travailleur au nom de la protection des données à caractère personnel de ce dernier.
Dans sa décision, la Chambre Contentieuse s'est référée à l'arrêt précité de la Cour de justice qui, selon elle, montre qu'une personne concernée n'a pas nécessairement le droit d'accéder à l'identité des travailleurs qui ont accédé à des données à caractère personnel.
Il convient de vérifier si le travailleur a traité les données à caractère personnel de la personne concernée sous l'autorité et selon les instructions de son employeur. Cette question est donc liée à la finalité du traitement.
Lorsqu'un travailleur a traité les données à caractère personnel de la personne concernée sous l'autorité et selon les instructions de son employeur, la personne concernée n'a pas automatiquement le droit d'accéder à l'identité du travailleur. L'employeur reste le responsable du traitement et il convient de fournir à la personne concernée les informations pertinentes permettant de juger de la licéité du traitement. Si ces informations s'avèrent insuffisantes, la personne concernée peut s'adresser à l'autorité de protection des données, qui peut effectuer les vérifications nécessaires.
Toutefois, la personne concernée devrait avoir le droit d'accéder à l'identité de ces travailleurs si ces derniers n'ont pas traité les données à caractère personnel sous l'autorité et selon les instructions de leur employeur, mais à leurs propres fins. En effet, le cas échéant, ce n'est pas l'employeur qui est le responsable du traitement, mais le travailleur lui-même.
L'identité d'un travailleur qui agit conformément aux instructions de son employeur bénéficie donc d'une protection plus élevée que celle d'un travailleur qui n'agit pas de la sorte.
Toutefois, ce qui précède ne permet pas de conclure que les droits et libertés du travailleur, agissant sous l'autorité et selon les instructions de son employeur, primeraient sur le droit d'accès de la personne concernée. Selon la Chambre Contentieuse, il doit toujours y avoir une mise en balance entre les droits et libertés de la personne concernée et ceux des travailleurs.
Avant de rejeter la demande d'accès, selon la Chambre Contentieuse, l'autorité publique devait :
- vérifier si le travailleur a consulté les données personnelles de la personne concernée sous son autorité et selon ses instructions (finalité du traitement) ;
- dans l'affirmative, mettre en balance les droits et libertés de la personne concernée et du travailleur.
En ne le faisant pas, elle a violé les dispositions du RGPD. La Chambre Contentieuse a offert à l’autorité publique la possibilité de régulariser la situation en procédant à l'exercice susmentionné de la balance d’intérêts. Il ne s'agit donc pas encore d'une décision au fond de la Chambre Contentieuse.
Point d'attention
Lorsqu'une personne concernée invoque son droit d'accès, il reste essentiel de garantir les droits et libertés des autres travailleurs. Ce n'est que lorsque ces informations sont indispensables pour permettre à la personne concernée d'exercer effectivement ses droits en vertu du RGPD et que les droits et libertés de ces travailleurs sont pris en compte, que la personne concernée peut avoir le droit d'obtenir des informations sur l'identité des autres travailleurs qui ont traité des données à caractère personnel de la personne concernée sous l'autorité et selon les instructions de l'employeur. Un véritable équilibre entre les droits et libertés de la personne concernée et ceux des autres travailleurs est donc attendu de l'employeur.