This document is an excerpt from the EUR-Lex website
Document 62021CJ0579
Judgment of the Court (First Chamber) of 22 June 2023.#Proceedings brought by J.M.#Request for a preliminary ruling from the Itä-Suomen hallinto-oikeus.#Reference for a preliminary ruling – Processing of personal data – Regulation (EU) 2016/679 – Articles 4 and 15 – Scope of the right of access to information referred to in Article 15 – Information contained in log data – Article 4 – Definition of ‘personal data’ – Definition of ‘recipients’ – Temporal application.#Case C-579/21.
Arrêt de la Cour (première chambre) du 22 juin 2023.
Procédure engagée par J.M.
Demande de décision préjudicielle, introduite par l'Itä-Suomen hallinto-oikeus.
Renvoi préjudiciel – Traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 4 et 15 – Étendue du droit d’accès aux informations visées à l’article 15 – Informations contenues dans les fichiers journaux générés par un système de traitement (log data) – Article 4 – Notion de “données à caractère personnel” – Notion de “destinataires” – Application dans le temps.
Affaire C-579/21.
Arrêt de la Cour (première chambre) du 22 juin 2023.
Procédure engagée par J.M.
Demande de décision préjudicielle, introduite par l'Itä-Suomen hallinto-oikeus.
Renvoi préjudiciel – Traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 4 et 15 – Étendue du droit d’accès aux informations visées à l’article 15 – Informations contenues dans les fichiers journaux générés par un système de traitement (log data) – Article 4 – Notion de “données à caractère personnel” – Notion de “destinataires” – Application dans le temps.
Affaire C-579/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2023:501
ARRÊT DE LA COUR (première chambre)
22 juin 2023 ( *1 )
« Renvoi préjudiciel – Traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 4 et 15 – Étendue du droit d’accès aux informations visées à l’article 15 – Informations contenues dans les fichiers journaux générés par un système de traitement (log data) – Article 4 – Notion de “données à caractère personnel” – Notion de “destinataires” – Application dans le temps »
Dans l’affaire C‑579/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande), par décision du 21 septembre 2021, parvenue à la Cour le 22 septembre 2021, dans la procédure engagée par
J.M.
en présence de :
Apulaistietosuojavaltuutettu,
Pankki S,
LA COUR (première chambre),
composée de M. A. Arabadjiev, président de chambre, MM. P. G. Xuereb, T. von Danwitz, A. Kumin et Mme I. Ziemele (rapporteure), juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : Mme C. Strömholm, administratrice,
vu la procédure écrite et à la suite de l’audience du 12 octobre 2022,
considérant les observations présentées :
– |
pour J.M., par lui-même, |
– |
pour l’Apulaistietosuojavaltuutettu, par Mme A. Talus, tietosuojavaltuutettu, |
– |
pour Pankki S, par Mes T. Kalliokoski et J. Lång, asianajajat, ainsi que par Mme E.-L. Hokkonen, oikeustieteen maisteri, |
– |
pour le gouvernement finlandais, par Mmes A. Laine et H. Leppo, en qualité d’agents, |
– |
pour le gouvernement tchèque, par Mme A. Edelmannová, MM. M. Smolek et J. Vláčil, en qualité d’agents, |
– |
pour le gouvernement autrichien, par M. A. Posch, en qualité d’agent, |
– |
pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg et Mme I. Söderlund, en qualité d’agents, |
ayant entendu l’avocat général en ses conclusions à l’audience du 15 décembre 2022,
rend le présent
Arrêt
1 |
La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »). |
2 |
Cette demande a été présentée dans le cadre d’une procédure engagée par J.M. visant l’annulation de la décision de l’Apulaistietosuojavaltuutettu (délégué adjoint à la protection des données, Finlande) rejetant sa demande d’enjoindre à Pankki S, établissement bancaire établi en Finlande, de lui communiquer certaines informations relatives à des opérations de consultation de ses données à caractère personnel. |
Le cadre juridique
3 |
Les considérants 4, 10, 11, 26, 39, 58, 60, 63 et 74 du RGPD énoncent :
[...]
[...]
[...]
[...]
[...]
[...]
[...]
|
4 |
L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 : « Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. » |
5 |
L’article 4 de ce règlement prévoit : « Aux fins du présent règlement, on entend par :
[...]
[...]
[...]
[...] » |
6 |
L’article 5 dudit règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », est rédigé comme suit : « 1. Les données à caractère personnel doivent être :
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). » |
7 |
L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce : « 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, [...] Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. [...] [...] 5. [...] Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut : [...]
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. [...] » |
8 |
L’article 15 de ce règlement, intitulé « Droit d’accès de la personne concernée », dispose : « 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
[...] 3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. [...] 4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. » |
9 |
Les articles 16 et 17 dudit règlement consacrent, respectivement le droit de la personne concernée d’obtenir la rectification des données à caractère personnel qui sont inexactes (droit de rectification), ainsi que le droit, dans certaines circonstances, à l’effacement de ces données (droit à l’effacement ou « droit à l’oubli »). |
10 |
L’article 18 du même règlement, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 : « La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
|
11 |
L’article 21 du RGPD, intitulé « Droit d’opposition », prévoit, à son paragraphe 1 : « La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. » |
12 |
Conformément à l’article 24, paragraphe 1, de ce règlement : « Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. [...] » |
13 |
L’article 29 dudit règlement, intitulé « Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant », est rédigé comme suit : « Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre. » |
14 |
L’article 30 du RGPD, intitulé « Registre des activités de traitement », prévoit : « 1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. [...] [...] 4. Le responsable du traitement [...] et, le cas échéant [son] représentant mettent le registre à la disposition de l’autorité de contrôle sur demande. [...] » |
15 |
L’article 58 de ce règlement, intitulé « Pouvoirs », dispose, à son paragraphe 1 : « Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :
[...] » |
16 |
L’article 77 dudit règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », précise ce qui suit : « 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. 2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. » |
17 |
L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 : « Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. » |
18 |
L’article 82 de ce règlement, intitulé « Droit à réparation et responsabilité », prévoit, à son paragraphe 1 : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. » |
19 |
Conformément à son article 99, paragraphe 2, le RGPD est entré en application le 25 mai 2018. |
Le litige au principal et les questions préjudicielles
20 |
Au cours de l’année 2014, J.M., alors salarié et client de Pankki S, a appris que ses propres données de client avaient été consultées par des membres du personnel de la banque, à plusieurs reprises, au cours de la période comprise entre le 1er novembre et le 31 décembre 2013. |
21 |
Ayant des doutes sur la licéité de ces consultations, J.M. qui, entretemps, avait été licencié de son emploi au sein de Pankki S a, le 29 mai 2018, demandé à celle-ci de lui communiquer l’identité des personnes ayant consulté ses données de client, les dates exactes des consultations ainsi que les finalités du traitement desdites données. |
22 |
Dans sa réponse du 30 août 2018, Pankki S a, en sa qualité de responsable du traitement au sens de l’article 4, point 7, du RGPD, refusé de communiquer l’identité des salariés ayant procédé aux opérations de consultation au motif que ces informations constituaient des données à caractère personnel de ces salariés. |
23 |
Toutefois, dans cette réponse, Pankki S a apporté des précisions sur les opérations de consultation effectuées, sur ses instructions, par son service d’audit interne. Elle a ainsi expliqué qu’un client de la banque dont J.M. était le conseiller à la clientèle était créancier d’une personne portant également le nom patronymique de J.M., de sorte qu’elle avait souhaité clarifier le point de savoir si le requérant au principal et le débiteur en question étaient une seule et même personne et s’il avait pu y avoir une éventuelle relation de conflits d’intérêts inappropriée. Pankki S a ajouté que la clarification de cette question avait exigé de traiter les données de J.M. et que chaque membre du personnel de la banque ayant traité ces données avait fait, auprès du service d’audit interne, une déclaration relative aux motifs de ce traitement de données. En outre, la banque a déclaré que ces consultations avaient permis d’écarter tout soupçon de conflit d’intérêts en ce qui concerne J.M. |
24 |
J.M. a saisi le Tietosuojavaltuutetun toimisto (bureau du délégué à la protection des données, Finlande), l’autorité de contrôle au sens de l’article 4, point 21, du RGPD, afin qu’il soit enjoint à Pankki S de lui transmettre les informations sollicitées. |
25 |
Par décision du 4 août 2020, le délégué adjoint à la protection des données a rejeté la demande de J.M. Il a expliqué qu’une telle demande visait à lui permettre d’accéder aux fichiers journaux des salariés ayant traité ses données, alors que, en vertu de sa pratique décisionnelle, de tels fichiers constituent des données à caractère personnel relatives non pas à la personne concernée, mais aux salariés qui ont traité les données de cette personne. |
26 |
J.M. a introduit un recours contre cette décision auprès de la juridiction de renvoi. |
27 |
Cette juridiction rappelle que l’article 15 du RGPD prévoit le droit de la personne concernée d’obtenir du responsable du traitement l’accès aux données traitées la concernant ainsi que les informations relatives, notamment, aux finalités du traitement et aux destinataires des données. Elle se demande si la communication des fichiers journaux générés à l’occasion des opérations de traitement, qui contiennent de telles informations, notamment l’identité des salariés du responsable du traitement, est couverte par l’article 15 du RGPD, dès lors que ces fichiers pourraient s’avérer nécessaires à la personne concernée pour apprécier la licéité du traitement dont ont fait l’objet ses données. |
28 |
Dans ces conditions, l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
|
Sur les questions préjudicielles
Sur la quatrième question
29 |
Par sa quatrième question, qu’il convient d’examiner d’emblée, la juridiction de renvoi demande, en substance, si l’article 15 du RGPD, lu à la lumière de l’article 99, paragraphe 2, de ce règlement, est applicable à une demande d’accès aux informations visées par la première de ces dispositions lorsque les opérations de traitement concernées par cette demande ont été effectuées avant la date d’entrée en application dudit règlement, mais que la demande a été présentée après cette date. |
30 |
Afin de répondre à cette question, il convient de relever que, en vertu de l’article 99, paragraphe 2, du RGPD, celui-ci est applicable depuis le 25 mai 2018. |
31 |
Or, en l’espèce, il ressort de la décision de renvoi que les opérations de traitement de données à caractère personnel en cause au principal ont été effectuées entre le 1er novembre 2013 et le 31 décembre 2013, soit antérieurement à la date d’entrée en application du RGPD. Toutefois, il ressort également de cette décision que J.M. a présenté sa demande d’informations à Pankki S postérieurement à cette date, à savoir le 29 mai 2018. |
32 |
À cet égard, il y a lieu de rappeler que les règles de procédure sont généralement censées s’appliquer à la date à laquelle elles entrent en vigueur, à la différence des règles de fond qui sont habituellement interprétées comme ne visant des situations nées et définitivement acquises antérieurement à leur entrée en vigueur que dans la mesure où il ressort clairement de leurs termes, de leur finalité ou de leur économie qu’un tel effet doit leur être attribué (arrêt du 15 juin 2021, Facebook Ireland e.a., C‑645/19, EU:C:2021:483, point 100 ainsi que jurisprudence citée). |
33 |
En l’occurrence, il ressort de la décision de renvoi que la demande de J.M. à se voir communiquer les informations en cause au principal se rattache à l’article 15, paragraphe 1, du RGPD, lequel prévoit le droit de la personne concernée d’obtenir l’accès aux données à caractère personnel la concernant qui font l’objet d’un traitement, ainsi qu’aux informations visées par cette disposition. |
34 |
Force est de constater que ladite disposition ne concerne pas les conditions de licéité du traitement dont font l’objet les données à caractère personnel de la personne concernée. En effet, l’article 15, paragraphe 1, du RGPD se contente de préciser l’étendue du droit d’accès de cette personne aux données et aux informations qu’elle vise. |
35 |
Il en résulte, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, que l’article 15, paragraphe 1, du RGPD confère aux personnes concernées un droit de nature procédurale consistant à obtenir des informations sur le traitement de leurs données à caractère personnel. En tant que règle procédurale, cette disposition s’applique aux demandes d’accès introduites dès l’entrée en application de ce règlement, telle que la demande de J.M. |
36 |
Dans ces conditions, il convient de répondre à la quatrième question que l’article 15 du RGPD, lu à la lumière de l’article 99, paragraphe 2, de ce règlement, doit être interprété en ce sens qu’il est applicable à une demande d’accès aux informations visées par cette disposition lorsque les opérations de traitement concernées par cette demande ont été effectuées avant la date d’entrée en application dudit règlement, mais que la demande a été présentée après cette date. |
Sur les première et deuxième questions
37 |
Par ses première et deuxième questions, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, du RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, ainsi que sur l’identité des personnes physiques ayant procédé à ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition. |
38 |
À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie [arrêt du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles), C‑154/21, EU:C:2023:3, point 29]. |
39 |
S’agissant, tout d’abord, des termes de l’article 15, paragraphe 1, du RGPD, cette disposition prévoit que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives, notamment, aux finalités du traitement et aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées. |
40 |
À cet égard, il importe de souligner que les notions qui figurent à l’article 15, paragraphe 1, du RGPD sont définies à l’article 4 de ce règlement. |
41 |
Ainsi, en premier lieu, l’article 4, point 1, du RGPD indique que constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable » et précise qu’« est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». |
42 |
L’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel », figurant à cette disposition, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 23). |
43 |
À cet égard, il a été jugé qu’une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 24). |
44 |
Quant au caractère « identifiable » d’une personne, le considérant 26 du RGPD précise qu’il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage ». |
45 |
Il en résulte que la définition large de la notion de « données à caractère personnel » ne couvre pas seulement les données collectées et conservées par le responsable du traitement, mais inclut également toutes les informations résultant d’un traitement de données à caractère personnel qui concernent une personne identifiée ou identifiable (voir, en ce sens, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 26). |
46 |
En deuxième lieu, en ce qui concerne la notion de « traitement », telle que définie à l’article 4, point 2, du RGPD, il y a lieu de constater que, par l’emploi de l’expression « toute opération », le législateur de l’Union a entendu donner à cette notion une portée large en recourant à une énumération non exhaustive d’opérations appliquées à des données ou à des ensembles de données à caractère personnel, qui couvrent, entre autres, la collecte, l’enregistrement, la conservation ou encore la consultation (voir, en ce sens, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 27). |
47 |
En troisième lieu, l’article 4, point 9, du RGPD précise que, par « destinataire », il y a lieu de comprendre « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ». |
48 |
À cet égard, la Cour a jugé que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées [arrêt du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles), C‑154/21, EU:C:2023:3, point 46]. |
49 |
Partant, il découle de l’analyse textuelle de l’article 15, paragraphe 1, du RGPD et des notions qu’il comporte que le droit d’accès que cette disposition reconnaît à la personne concernée se caractérise par la large portée des informations que le responsable du traitement des données doit fournir à cette personne. |
50 |
En ce qui concerne, ensuite, le contexte dans lequel s’inscrit l’article 15, paragraphe 1, du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel et l’identité des destinataires de ces données à caractère personnel. |
51 |
En deuxième lieu, le considérant 60 du RGPD énonce que le principe du traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités, étant souligné que le responsable du traitement devrait fournir toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. Par ailleurs, conformément au principe de transparence, mentionné par la juridiction de renvoi, auquel fait référence le considérant 58 du RGPD et que consacre expressément l’article 12, paragraphe 1, de ce règlement, toute information adressée à la personne concernée doit être concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples. |
52 |
À cet égard, l’article 12, paragraphe 1, du RGPD précise que les informations doivent être fournies par le responsable du traitement par écrit ou par d’autres moyens, y compris, lorsque c’est approprié, par voie électronique, à moins que la personne concernée ne demande qu’elles soient fournies oralement. Cette disposition, qui est l’expression du principe de transparence, a pour objectif de garantir que la personne concernée soit mise en mesure de pleinement comprendre les informations qui lui sont adressées (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 38 ainsi que jurisprudence citée). |
53 |
Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée. |
54 |
Enfin, cette interprétation de l’étendue du droit d’accès prévu à l’article 15, paragraphe 1, du RGPD est corroborée par les objectifs que poursuit ce règlement. |
55 |
En effet, premièrement, celui-ci a pour finalité, ainsi que l’indiquent ses considérants 10 et 11, d’assurer un niveau cohérent et élevé de protection des personnes physiques au sein de l’Union ainsi que de renforcer et de préciser les droits des personnes concernées. |
56 |
En outre, ainsi qu’il ressort du considérant 63 du RGPD, le droit d’une personne à avoir accès à ses propres données à caractère personnel et aux autres informations visées à l’article 15, paragraphe 1, de ce règlement a pour objectif, tout d’abord, de permettre à cette personne de prendre connaissance du traitement et d’en vérifier la licéité. Il s’ensuit, selon ce considérant et comme indiqué au point 50 du présent arrêt, que toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement, l’identité des destinataires de ces données ainsi que la logique qui sous‑tend leur traitement. |
57 |
À cet égard, il convient de rappeler, deuxièmement, que la Cour a déjà jugé que le droit d’accès prévu à l’article 15 du RGPD doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 34). |
58 |
En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli ») et son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16 à 18 du RGPD, son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, ainsi que son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 35 ainsi que jurisprudence citée). |
59 |
Partant, l’article 15, paragraphe 1, du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée [arrêt du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles), C‑154/21, EU:C:2023:3, point 42], transparence sans laquelle celle-ci ne serait pas en mesure d’apprécier la licéité du traitement de ses données et d’exercer les prérogatives prévues notamment aux articles 16 à 18, 21, 79 et 82 de ce règlement. |
60 |
En l’occurrence, il ressort de la décision de renvoi que J.M. a demandé à Pankki S de lui communiquer des informations relatives aux opérations de consultation dont ont fait l’objet ses données à caractère personnel entre le 1er novembre 2013 et le 31 décembre 2013, informations portant sur les dates de ces consultations, leurs finalités et l’identité des personnes ayant procédé auxdites consultations. La juridiction de renvoi indique que la transmission des fichiers journaux générés à l’occasion desdites opérations permettrait de répondre à la demande de J.M. |
61 |
En l’occurrence, il n’est pas contesté que les opérations de consultation dont ont fait l’objet les données à caractère personnel du requérant au principal constituent un «traitement », au sens de l’article 4, point 2, du RGPD, de sorte qu’elles ouvrent à celui-ci, en vertu de l’article 15, paragraphe 1, de ce règlement, non seulement un droit à l’accès à ces données à caractère personnel, mais également un droit à se voir communiquer les informations en lien avec ces opérations, telles qu’elles sont mentionnées par cette dernière disposition. |
62 |
S’agissant des informations telles que celles sollicitées par J.M., la communication, tout d’abord, des dates des opérations de consultation est de nature à permettre à la personne concernée d’obtenir la confirmation que ses données à caractère personnel ont effectivement fait l’objet d’un traitement à un moment donné. En outre, les conditions de licéité prévues aux articles 5 et 6 du RGPD devant être remplies au moment du traitement même, la date de celui-ci constitue un élément permettant de vérifier sa licéité. Ensuite, il importe de relever que l’information relative aux finalités des traitements est expressément visée à l’article 15, paragraphe 1, sous a), de ce règlement. Enfin, l’article 15, paragraphe 1, sous c), dudit règlement prévoit que le responsable du traitement informe la personne concernée des destinataires auxquels ont été communiquées ses données. |
63 |
En ce qui concerne, plus particulièrement, la communication de l’ensemble de ces informations par la fourniture des fichiers journaux relatifs aux opérations de traitement en cause au principal, il y a lieu de relever que l’article 15, paragraphe 3, première phrase, du RGPD énonce que le responsable du traitement « fournit une copie des données à caractère personnel faisant l’objet d’un traitement ». |
64 |
À cet égard, la Cour a déjà jugé que la notion de « copie » ainsi employée désigne la reproduction ou la transcription fidèle d’un original, de sorte qu’une description purement générale des données faisant l’objet d’un traitement ou un renvoi à des catégories de données à caractère personnel ne correspondrait pas à cette définition. En outre, il ressort des termes de l’article 15, paragraphe 3, première phrase, de ce règlement que l’obligation de communication se rattache aux données à caractère personnel faisant l’objet du traitement en cause (voir, en ce sens, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 21). |
65 |
La copie que le responsable du traitement est tenu de fournir doit contenir toutes les données à caractère personnel faisant l’objet d’un traitement, présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits au titre dudit règlement et, par conséquent, reproduire intégralement et fidèlement ces données (voir, en ce sens, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, points 32 et 39). |
66 |
Afin de garantir que les informations ainsi fournies soient faciles à comprendre, comme l’exige l’article 12, paragraphe 1, du RGPD, lu en combinaison avec le considérant 58 de ce règlement, la reproduction d’extraits de documents, voire de documents entiers ou encore d’extraits de bases de données, qui contiennent, entre autres, les données à caractère personnel faisant l’objet d’un traitement peut s’avérer indispensable dans le cas où la contextualisation des données traitées est nécessaire pour en assurer l’intelligibilité. En particulier, lorsque des données à caractère personnel sont générées à partir d’autres données ou lorsque de telles données résultent de champs libres, à savoir une absence d’indication révélant une information sur la personne concernée, le contexte dans lequel ces données font l’objet d’un traitement est un élément indispensable pour permettre à la personne concernée de disposer d’un accès transparent et d’une présentation intelligible de ces données (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, points 41 et 42). |
67 |
En l’occurrence, ainsi que l’a relevé M. l’avocat général aux points 88 à 90 de ses conclusions, les fichiers journaux, qui contiennent les informations sollicitées par J.M., correspondent à des registres d’activités, au sens de l’article 30 du RGPD. Il doit être considéré qu’ils relèvent des mesures, mentionnées au considérant 74 de ce règlement, mises en œuvre par le responsable du traitement aux fins de démontrer la conformité des activités de traitement audit règlement. L’article 30, paragraphe 4, du même règlement précise en particulier qu’ils doivent être mis à la disposition de l’autorité de contrôle sur sa demande. |
68 |
Pour autant que ces registres d’activités ne contiennent pas d’information concernant une personne physique identifiée ou identifiable au sens de la jurisprudence rappelée aux points 42 et 43 du présent arrêt, ceux-ci permettent uniquement au responsable du traitement de satisfaire à ses obligations à l’égard de l’autorité de contrôle qui en solliciterait la fourniture. |
69 |
S’agissant plus particulièrement des fichiers journaux du responsable du traitement, la communication d’une copie des informations figurant dans ces fichiers peut s’avérer nécessaire afin qu’il soit satisfait à l’obligation de fournir à la personne concernée l’accès à l’ensemble des informations visées à l’article 15, paragraphe 1, du RGPD et pour garantir un traitement équitable et transparent, lui permettant ainsi de faire pleinement valoir les droits qu’elle tire de ce règlement. |
70 |
En effet, premièrement, de tels fichiers révèlent l’existence d’un traitement de données, information à laquelle la personne concernée doit avoir accès en vertu de l’article 15, paragraphe 1, du RGPD. En outre, ils renseignent sur la fréquence et l’intensité des opérations de consultation, permettant ainsi à la personne concernée de s’assurer que le traitement effectué est effectivement motivé par les finalités avancées par le responsable du traitement. |
71 |
Deuxièmement, ces fichiers contiennent les informations relatives à l’identité des personnes ayant procédé aux opérations de consultation. |
72 |
En l’occurrence, il ressort de la décision de renvoi que les personnes ayant procédé aux opérations de consultation en cause au principal sont des salariés de Pankki S ayant agi sous son autorité et conformément à ses instructions. |
73 |
S’il résulte de l’article 15, paragraphe 1, sous c), du RGPD que la personne concernée a le droit d’obtenir du responsable du traitement les informations relatives aux destinataires ou aux catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, les salariés du responsable du traitement ne sauraient être considérés comme étant des « destinataires », au sens de l’article 15, paragraphe 1, sous c), du RGPD, tel que rappelé aux points 47 et 48 du présent arrêt, lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions, ainsi que l’a relevé M. l’avocat général au point 63 de ses conclusions. |
74 |
À cet égard, il importe de souligner que, conformément à l’article 29 du RGPD, toute personne agissant sous l’autorité du responsable du traitement, qui a accès à des données à caractère personnel, ne peut traiter ces données que sur instruction dudit responsable. |
75 |
Cela étant, les informations contenues dans les fichiers journaux relatives aux personnes ayant procédé à des consultations des données à caractère personnel de la personne concernée pourraient constituer des informations relevant de celles visées à l’article 4, point 1, du RGPD, telles que rappelées au point 41 du présent arrêt, susceptibles de lui permettre de vérifier la licéité du traitement dont ont fait l’objet ses données et, notamment, de s’assurer que les opérations de traitement ont effectivement été réalisées sous l’autorité du responsable du traitement et conformément à ses instructions. |
76 |
Néanmoins, premièrement, il résulte de la décision de renvoi que les informations figurant dans des fichiers journaux tels que ceux en cause au principal permettent d’identifier les salariés qui ont procédé aux opérations de traitement et comportent des données à caractère personnel de ces salariés, au sens de l’article 4, point 1, du RGPD. |
77 |
À cet égard, il convient de rappeler que, s’agissant du droit d’accès prévu à l’article 15 du RGPD, le considérant 63 de ce règlement précise que « [c]e droit ne devrait pas porter atteinte aux droits ou libertés d’autrui ». |
78 |
En effet, en vertu du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu, puisqu’il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 172). |
79 |
Or, à supposer que la communication des informations relatives à l’identité des salariés du responsable du traitement à la personne concernée par le traitement soit nécessaire à cette dernière pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés. |
80 |
Dans ces conditions, en cas de conflit entre, d’une part, l’exercice d’un droit d’accès assurant l’effet utile des droits reconnus par le RGPD à la personne concernée et, d’autre part, les droits ou les libertés d’autrui, il y a lieu de mettre en balance les droits et les libertés en question. Dans la mesure du possible, il convient de choisir des modalités qui ne portent pas atteinte aux droits ou aux libertés d’autrui, en tenant compte du fait que ces considérations ne doivent pas « aboutir à refuser toute communication d’informations à la personne concernée », ainsi qu’il ressort du considérant 63 du RGPD (voir, en ce sens, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 44). |
81 |
Cependant, deuxièmement, il résulte de la décision de renvoi que J.M. ne sollicite pas la communication des informations relatives à l’identité des salariés de Pankki S qui ont procédé aux opérations de consultation de ses données à caractère personnel, au motif qu’ils n’auraient pas effectivement agi sous l’autorité et conformément aux instructions du responsable du traitement, mais semble douter de la véracité des informations relatives à la finalité de ces consultations que lui a communiquées Pankki S. |
82 |
Dans de telles circonstances, si la personne concernée devait considérer que les informations communiquées par le responsable du traitement sont insuffisantes pour lui permettre de dissiper les doutes qu’elle éprouve quant à la licéité du traitement dont ont fait l’objet ses données à caractère personnel, elle dispose, sur le fondement de l’article 77, paragraphe 1, du RGPD, du droit de saisir l’autorité de contrôle d’une réclamation, cette autorité détenant le pouvoir, en vertu de l’article 58, paragraphe 1, sous a), de ce règlement, de demander au responsable du traitement de lui communiquer toute information dont elle a besoin pour examiner la réclamation de la personne concernée. |
83 |
Il résulte des considérations qui précèdent que l’article 15, paragraphe 1, du RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition. En revanche, ladite disposition ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés dudit responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés. |
Sur la troisième question
84 |
Par sa troisième question, la juridiction de renvoi demande, en substance, si la circonstance, d’une part, que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et, d’autre part, que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable est pertinente aux fins de la définition de l’étendue du droit d’accès que lui reconnaît l’article 15, paragraphe 1, du RGPD. |
85 |
D’emblée, il importe de souligner que, s’agissant du champ d’application du droit d’accès prévu à l’article 15, paragraphe 1, du RGPD, aucune disposition de ce règlement n’opère de distinction en fonction de la nature des activités du responsable du traitement ou de la qualité de la personne dont les données à caractère personnel font l’objet d’un traitement. |
86 |
S’agissant, d’une part, du caractère réglementé de l’activité de Pankki S, l’article 23 du RGPD permet certes aux États membres de limiter, par la voie de mesures législatives, la portée des obligations et des droits prévus notamment à l’article 15 de ce règlement. |
87 |
Il ne ressort toutefois pas de la décision de renvoi que l’activité de Pankki S fasse l’objet d’une telle législation. |
88 |
S’agissant, d’autre part, de la circonstance que J.M. a été à la fois client et employé de Pankki S, il convient de relever que, eu égard non seulement aux objectifs du RGPD mais aussi à l’étendue du droit d’accès dont bénéficie la personne concernée, tels que rappelés aux points 49 et 55 à 59 du présent arrêt, le contexte dans lequel cette personne demande un accès aux informations visées à l’article 15, paragraphe 1, du RGPD ne saurait exercer une quelconque influence sur l’étendue de ce droit. |
89 |
Par conséquent, l’article 15, paragraphe 1, du RGPD doit être interprété en ce sens que la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable est, en principe, sans incidence sur l’étendue du droit dont bénéficie cette personne en vertu de cette disposition. |
Sur les dépens
90 |
La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement. |
Par ces motifs, la Cour (première chambre) dit pour droit : |
|
|
|
Signatures |
( *1 ) Langue de procédure : le finnois.