1.

Un salarié d’un établissement financier, qui en était également client, a demandé à cet établissement de l’informer de l’identité des personnes qui avaient consulté ses données à caractère personnel dans le cadre d’une enquête interne. Cet établissement ayant refusé de lui fournir ces informations, il a exercé les voies de recours appropriées, en allant jusqu’à l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande).

2.

Cette juridiction a saisi la Cour d’une demande de décision préjudicielle sur l’interprétation du règlement (UE) 2016/679 ( 2 ). En statuant sur cette demande, la Cour devra se prononcer sur le droit d’accès de la personne concernée à certaines informations relatives au traitement de ses données à caractère personnel.

3.

Aux termes du considérant 11 du RGPD :

« Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations. »

4.

L’article 4 (« Définitions ») de ce règlement dispose :

« Aux fins du présent règlement, on entend par :

[...]

[...] »

5.

L’article 15 (« Droit d’accès de la personne concernée »), paragraphe 1, dudit règlement se lit comme suit :

« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

6.

Conformément à l’article 24 (« Responsabilité du responsable du traitement »), paragraphe 1, du même règlement :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

7.

Conformément à l’article 25 (« Protection des données dès la conception et protection des données par défaut »), paragraphe 2, du RGPD :

« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »

8.

L’article 29 (« Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant ») de ce règlement dispose :

« Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre. »

9.

L’article 30 (« Registre des activités de traitement ») dudit règlement prévoit :

« 1.   Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :

[...]

2.   Chaque sous-traitant et, le cas échéant, le représentant du sous‑traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant :

3.   Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4.   Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

5.   Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données [à caractère personnel] ou sur des données à caractère personnel relatives à des condamnations pénales [...] »

10.

L’article 58 (« Pouvoirs »), paragraphe 1, du même règlement est libellé comme suit :

« Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :

[...] »

11.

En vertu de l’article 30 du tietosuojalaki (1050/2018) (loi relative à la protection des données) ( 3 ), le traitement des données à caractère personnel concernant un salarié, les tests et contrôles à effectuer sur un salarié et les exigences qui s’y rapportent, la surveillance technique sur le lieu de travail ainsi que la consultation et l’ouverture du courrier électronique d’un salarié sont régis par le laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

En vertu de l’article 34, premier alinéa, de la loi relative à la protection des données, la personne concernée ne dispose pas du droit visé à l’article 15 du RGPD de consulter les données collectées à son sujet lorsque :

13.

En vertu de l’article 34, deuxième alinéa, de cette loi, si, conformément au premier alinéa de cette disposition, une partie seulement des données concernant la personne concernée ne relève pas du champ d’application du droit visé à l’article 15 du RGPD, la personne concernée a le droit d’être informée des autres données la concernant.

14.

En vertu de l’article 34, troisième alinéa, de ladite loi, les motifs d’une restriction doivent être communiqués à la personne concernée, à moins que cela ne compromette l’objectif de cette restriction.

15.

En vertu de l’article 34, quatrième alinéa, de la même loi, lorsque la personne concernée n’a pas le droit de consulter les données collectées à son sujet, les données visées à l’article 15, paragraphe 1, du règlement 2016/679 doivent être fournies au contrôleur de la protection des données sur demande de la personne concernée.

16.

Selon le chapitre 2, article 4, deuxième alinéa, de cette loi, l’employeur doit informer préalablement le salarié qu’il se procure des informations le concernant dans le but d’établir sa fiabilité. Lorsque l’employeur se procure des données à caractère personnel relatives au crédit d’un salarié, il doit également informer celui-ci du fichier dans lequel il se procure de telles informations. Si des informations concernant un salarié sont recueillies auprès d’une source autre que le salarié lui-même, l’employeur doit informer le salarié des informations qu’il a obtenues avant que celles-ci ne soient utilisées pour prendre une décision concernant le salarié. L’obligation pour le responsable du traitement de fournir des informations à la personne concernée et le droit de celle-ci à accéder aux données sont définis au chapitre III du RGPD.

17.

En 2014, J. M. a appris que ses données à caractère personnel, en sa qualité de client de l’établissement financier Suur-Savon Osuuspankki (ci-après « Pankki »), avaient été consultées entre le 1er novembre et le 31 décembre 2013. Au cours de cette période, J. M. n’était pas seulement client, mais aussi salarié de Pankki.

18.

Éprouvant des doutes quant à l’entière conformité à la loi des motifs de cette consultation, J. M. a demandé à Pankki, le 29 mai 2018, de lui communiquer des informations sur l’identité des personnes qui avaient accédé à ses données au cours de la période susmentionnée, ainsi que sur les finalités du traitement.

19.

Dans l’intervalle, Pankki avait licencié J. M., lequel motivait notamment sa demande par le souhait de clarifier les motifs de son licenciement.

20.

En sa qualité de responsable du traitement, Pankki a refusé, le 30 août 2018, de fournir à J. M. les noms des salariés qui avaient traité ses données à caractère personnel. Elle a fait valoir que le droit prévu à l’article 15 du RGPD ne s’applique pas aux fichiers journaux ou aux registres internes consignant les noms des salariés qui ont eu accès au système informatique comportant les données des clients et le moment auquel cet accès a eu lieu. Les informations demandées porteraient en outre sur les données à caractère personnel de ces salariés et non pas sur celles de J. M.

21.

Afin d’éviter tout malentendu, Pankki a fourni à J. M. les explications supplémentaires suivantes :

22.

J. M. a saisi l’autorité de contrôle nationale (bureau du contrôleur de la protection des données, Finlande), en lui demandant d’ordonner à Pankki de communiquer les informations sollicitées.

23.

Le 4 août 2020, le contrôleur adjoint de la protection des données a rejeté la demande J. M.

24.

J. M. a formé un recours devant l’Itä-Suomen hallinto-oikeus (tribunal administratif de la Finlande orientale), en faisant valoir qu’il était en droit, en vertu du RGPD, d’être informé de l’identité et des fonctions des personnes qui avaient consulté ses données dans l’établissement financier.

25.

C’est dans ce contexte que l’Itä-Suomen hallinto-oikeus (tribunal administratif de la Finlande orientale) a décidé de surseoir à statuer et de poser les questions suivantes à la Cour :

26.

La demande de décision préjudicielle est parvenue à la Cour le 22 septembre 2021.

27.

Des observations écrites ont été présentées par J. M., Pankki, les gouvernements finlandais, tchèque et autrichien, ainsi que par la Commission européenne.

28.

Lors de l’audience, qui s’est tenue le 12 octobre 2022, ont comparu J. M., le bureau du contrôleur de la protection des données, Pankki, le gouvernement finlandais et la Commission.

29.

Étant entendu que la juridiction de renvoi demande l’interprétation de plusieurs dispositions du RGPD, il convient tout d’abord de déterminer si ce règlement est applicable ratione temporis au litige au principal. Ce doute fait l’objet de la quatrième question préjudicielle.

30.

En vertu de son article 99, paragraphe 1, le RGPD est entré en vigueur le 24 mai 2016. Son applicabilité a toutefois été reportée au 25 mai 2018 ( 6 ).

31.

L’examen des données à caractère personnel de J. M. a eu lieu entre le 1er novembre et le 31 décembre 2013, c’est-à-dire avant l’entrée en vigueur et l’applicabilité du RGPD.

32.

La date ici pertinente est toutefois le 29 mai 2018, date à laquelle J. M., en s’appuyant sur l’article 15, paragraphe 1, du RGPD (applicable à partir du 25 mai 2018), a demandé les informations litigieuses.

33.

Comme le souligne le gouvernement autrichien, l’article 15, paragraphe 1, du RGPD confère aux personnes concernées un droit de nature procédurale (droit d’accès) d’obtenir des informations sur le traitement de leurs données à caractère personnel ( 7 ). En tant que règle procédurale, elle s’applique dès son entrée en vigueur ( 8 ). J. M. était donc en droit de l’invoquer lorsqu’il a demandé les informations à Pankki.

34.

Il est certain que la licéité du traitement des données collectées avant l’entrée en vigueur du RGPD doit être appréciée à la lumière des règles de fond en vigueur à l’époque, à savoir celles de la directive 95/46/CE ( 9 ), et, dans la mesure où il est applicable rétroactivement, celles du RGPD ( 10 ).

35.

Dès lors qu’il n’est pas contesté que les informations sollicitées étaient en possession du responsable du traitement lorsque J. M. a demandé à y avoir accès (ce qui est le droit garanti par l’article 15, paragraphe 1, du RGPD), ce règlement était applicable ( 11 ).

36.

Le fait que les données en question ont été traitées avant l’entrée en vigueur du RGPD n’est donc pas pertinent aux fins de l’accès ou du refus d’accès aux informations demandées par la personne concernée en vertu de l’article 15, paragraphe 1, du RGPD.

37.

Les première et deuxième questions peuvent être examinées ensemble. Elles soulèvent, en substance, le point de savoir si les données à caractère personnel de J. M., que Pankki a collectées et traitées, correspondent aux informations que la personne concernée est en droit d’obtenir en vertu de l’article 15, paragraphe 1, du RGPD.

38.

Je rappelle que les informations demandées par J. M. concernaient l’identité des salariés qui avaient consulté les données le concernant en tant que client en 2013, ainsi que le moment où ce traitement avait eu lieu et la finalité de celui-ci.

39.

Lors de l’audience, il a été confirmé que J. M. avait borné sa demande à l’identité de ces salariés. Dans le litige au principal, il n’est pas contesté, spécifiquement, que le traitement de ses données par la banque avait une base licite ( 12 ).

40.

Or :

41.

Le débat se concentre donc uniquement sur les informations relatives à l’identité des salariés de Pankki qui ont traité les données à caractère personnel de J. M.

42.

En réalité, ces informations portent sur un détail des opérations de traitement et non pas, à proprement parler, sur les données à caractère personnel de la personne concernée, au sens de l’article 4, point 1, du RGPD ( 14 ).

43.

Il est clair que la personne dont les données ont fait l’objet de la consultation était J. M. ( 15 ). Après avoir obtenu de Pankki la confirmation que ses données avaient été traitées ( 16 ), les informations auxquelles il avait droit, en vertu de l’article 15, paragraphe 1, du RGPD, sont celles énumérées aux points a) à h) de cette disposition ( 17 ). Fournir ces informations facilite l’exercice des droits de la personne concernée ( 18 ) dans le cadre des mécanismes garantissant la licéité du traitement des données.

44.

Il résulte de l’article 15, paragraphe 1, du RGPD que les informations visées concernent les circonstances entourant le traitement des données.

45.

L’article 15, paragraphe 1, du RGPD donne en effet à la personne concernée le droit d’obtenir du responsable du traitement :

46.

Ladite disposition établit une distinction entre les « données à caractère personnel », d’une part, et les « informations » visées au paragraphe 1, sous a) à h), d’autre part.

47.

Les informations à fournir à la personne concernée en vertu de l’article 15, paragraphe 1, sous a) à h), du RGPD ne sauraient donc être confondues avec les données à caractère personnel de la personne concernée au sens de l’article 4, point 1, du RGPD.

48.

Les points suivants ne constituent certes pas des données, mais bien des informations :

49.

Dans tous ces cas, l’information porte soit sur certains droits de la personne concernée, soit, en particulier, sur des éléments relatifs au traitement effectué, tels que sa finalité (qui est aussi bien sa cause) et son objet (les catégories de données traitées).

50.

Les informations sur les destinataires auxquels les données à caractère personnel de la personne concernée ont été ou seront communiquées [article 15, paragraphe 1, sous c), du RGPD] posent d’autres problèmes conceptuels, que je vais immédiatement aborder.

51.

L’article 15, paragraphe 1, du RGPD établit, en résumé, un droit aux informations relatives au fait même du traitement et aux circonstances qui l’entourent. À ces informations s’ajoutent celles relatives aux droits dont dispose la personne concernée au sujet du traitement dont font l’objet les données en cours, tels que le droit d’introduire une réclamation auprès d’une autorité de contrôle.

52.

La simple existence du traitement et les circonstances qui l’entourent ne constituent pas, à mon sens, des « données à caractère personnel » au sens de l’article 4, point 1, du RGPD.

53.

Le traitement peut certes aboutir à des décisions susceptibles d’avoir une incidence sur la personne concernée, comme l’a souligné la juridiction de renvoi ( 21 ). Ce résultat ne dépendra toutefois pas de la ou des personnes physiques qui, concrètement, ont examiné les données pour le compte et sous la responsabilité de Pankki, éléments qui constituent les informations en cause au principal.

54.

Ainsi, J. M. aurait le droit d’être informé par Pankki, en tant que responsable du traitement, des données à caractère personnel dont elle dispose, qu’elle les ait collectées auprès de J. M. lui-même (article 13 du RGPD), ou qu’elle les ait obtenues par d’autres moyens (article 14 du RGPD). Il aurait également le droit – en vertu, aujourd’hui, de l’article 15 du RGPD – d’obtenir des informations sur l’existence et les circonstances de chaque opération de traitement dont ont fait l’objet ces données, non pas parce que ces dernières constituent en elles-mêmes des « données à caractère personnel », mais en vertu d’un mandat exprès de l’article 15 du RGPD ( 22 ).

55.

Pour anticiper ce que j’exposerai plus longuement ci-dessous, le point pertinent en l’espèce est que l’identité des salariés qui ont consulté les données de J. M. ne constitue pas une « donnée à caractère personnel » de celui-ci.

56.

Il en va autrement si les fichiers journaux ou registres que j’évoquerai ci‑dessous contiennent directement ou indirectement des données à caractère personnel de la personne concernée, distinctes de la mention des salariés qui y ont accédé. Qu’il en aille ainsi ou non dépendra dans une large mesure du contenu des fichiers journaux ou registres pertinents. Je répète toutefois que, si le litige au principal n’a pour objet que d’obtenir des informations sur l’identité des salariés de Pankki, il s’agit non pas de données à caractère personnel de J. M., mais de ces salariés eux-mêmes.

57.

La juridiction de renvoi souhaite savoir si, bien qu’il ne se soit pas agi de données à caractère personnel de J. M., ce dernier aurait le droit, à la lumière de l’article 15, paragraphe 1, sous a) et c), du RGPD, d’obtenir de Pankki qu’elle lui fournisse des informations sur les salariés qui ont traité ses données à caractère personnel.

58.

Conformément au point a), la personne concernée a le droit d’obtenir du responsable du traitement qu’il lui confirme les finalités du traitement. La disposition figurant à ce point a) (qui, en l’espèce, a été respectée, puisque Pankki a informé J. M. de l’objectif du traitement) ne fournit toutefois pas de critères permettant de discerner quels sont les destinataires des données à caractère personnel de celui-ci.

59.

Au contraire, la question prend tout son sens lorsqu’elle nécessite l’interprétation du point c) de l’article 15, paragraphe 1, du RGPD. Je rappelle que, selon cette disposition, la personne concernée a le droit d’obtenir des informations sur les « destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ».

60.

L’article 4, point 9, du RGPD définit, quant à lui, le « destinataire » comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ».

61.

Ce dernier point (« qu’il s’agisse ou non d’un tiers ») pourrait donner lieu à des malentendus quant à la portée subjective de la disposition, ainsi qu’il a été noté lors de l’audience. Une lecture superficielle et, à mon sens, erronée, pourrait accréditer l’idée que le « destinataire » ne serait pas seulement tout tiers auquel Pankki aurait communiqué les données à caractère personnel de J. M., mais aussi chacun des salariés qui, concrètement, consultent ces données au nom et pour le compte de la personne morale qu’est Pankki.

62.

Aux termes de l’article 4, point 10, du RGPD, on entend par « tiers »« une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel » ( 23 ).

63.

À la lumière de ces prémisses, je considère ainsi que la notion de « destinataire » n’inclut pas les salariés d’une personne morale qui, lorsqu’ils utilisent le système informatique de celle-ci, consultent les données à caractère personnel d’un client pour le compte de ses organes de gestion. Lorsque ces salariés agissent sous l’autorité directe du responsable du traitement, ils n’acquièrent pas, de ce seul fait, le statut de « destinataires » des données ( 24 ).

64.

Il peut cependant arriver qu’un salarié ne suive pas les procédures établies par le responsable du traitement et que, de sa propre initiative, il accède illégalement aux données de clients ou d’autres salariés. Dans ce cas, le salarié déloyal n’aurait pas agi au nom et pour le compte du responsable du traitement.

65.

Dans cette mesure, le salarié déloyal pourrait être considéré comme un « destinataire » auquel auraient été « communiquées » (au sens figuré) les données à caractère personnel de la personne concernée ( 25 ), quoique de sa propre initiative, et donc de manière illicite, voire comme un responsable du traitement (indépendant) ( 26 ).

66.

Il ressort de la description des faits figurant dans la décision de renvoi et des arguments avancés à l’audience par Pankki que cette dernière a autorisé, sous sa propre responsabilité, ses salariés à consulter les données à caractère personnel de J. M. Ces salariés ont donc suivi les instructions du responsable du traitement et ont agi pour le compte de celui-ci. Ils ne sauraient donc être qualifiés de destinataires au sens de l’article 15, paragraphe 1, sous c), du RGPD ( 27 ).

67.

Le fait que l’identification de ces salariés et le moment où l’un d’eux a accédé aux données à caractère personnel du client (c’est-à-dire le contenu de ces mentions dans les fichiers ou registres que je vais examiner ci-après) doivent être mis à la disposition des autorités de contrôle, afin de vérifier la régularité de leurs actions, est une tout autre question.

68.

C’est ce que confirme l’article 29 du RGPD en visant les personnes agissant « sous l’autorité du responsable du traitement ou sous celle du sous‑traitant, qui [ont] accès à des données à caractère personnel ». Ces personnes ne peuvent traiter ces données que sur instruction de leur employeur, qui est le véritable responsable (ou le sous-traitant) du traitement.

69.

L’objectif de l’article 15, paragraphe 1, du RGPD est de permettre à la personne concernée d’exercer (de défendre) efficacement ses droits en ce qui concerne ses données à caractère personnel. Aussi la personne concernée doit-elle être informée de l’identité du responsable du traitement et, le cas échéant, des destinataires auxquels les données ont été communiquées. Avec ces informations, la personne concernée peut contacter, outre le responsable du traitement, les destinataires qui ont eu connaissance de ses données.

70.

Certes, la personne concernée peut avoir des doutes quant à la licéité de l’implication de certaines personnes dans la gestion du traitement de ses données pour le compte et sous le contrôle du responsable du traitement ou du sous‑traitant.

71.

Dans cette situation, ainsi que l’indique le gouvernement tchèque et que l’a souligné la Commission lors de l’audience, la personne concernée peut s’adresser au délégué à la protection des données (article 38, paragraphe 4, du RGPD) ou à l’autorité de contrôle pour introduire une réclamation [article 15, paragraphe 1, sous f), et article 77 du RGPD]. Ce qui n’est pas reconnu à la personne concernée, c’est le droit de demander directement une donnée à caractère personnel (identité) auprès du salarié qui, en tant que subordonné du responsable du traitement ou du sous-traitant, agit en principe selon les instructions de ce dernier.

72.

Lors de l’audience, la question a été discutée de savoir si la possibilité de s’adresser au délégué à la protection des données ou à l’autorité de contrôle constituait une garantie suffisante, du point de vue de la défense des droits de la personne concernée dont les données ont été traitées.

73.

Pour trancher ce débat, on peut adopter une position maximaliste, de sorte que toute personne concernée aurait le droit de connaître l’identité des salariés du responsable du traitement qui ont accédé à ses données, même si c’est pour le compte et sous la direction de ce responsable.

74.

Je pense que le RGPD ne comporte pas d’élément permettant de soutenir une telle thèse, sans préjudice de la possibilité pour un État membre de l’adopter dans sa législation nationale, pour un ou plusieurs secteurs spécifiques ( 28 ).

75.

Il ne serait pas raisonnable, selon moi, que la Cour, en exerçant des fonctions quasi législatives, modifie le RGPD pour introduire une nouvelle obligation d’information, superposée à celles de l’article 15, paragraphe 1. Ce serait le cas si le responsable du traitement était obligé, sans distinction, de fournir à la personne concernée l’identité non pas du destinataire auquel les données ont été communiquées, mais de tout salarié, ou personne du cercle restreint de l’entreprise, ayant un accès légitime à ces données ( 29 ).

76.

Comme l’a souligné Pankki lors de l’audience, l’identité des salariés individuels qui ont traité les données d’un client est une information particulièrement sensible du point de vue de la sécurité, du moins dans certains secteurs économiques.

77.

Ces salariés pourraient être exposés à des tentatives de pression et d’influence de la part de ceux qui, en tant que clients de la banque, peuvent avoir intérêt à personnaliser leur interlocuteur, qui ne serait plus tant l’institution financière elle-même, mais un ou plusieurs de ses salariés, en tant que maillon faible de la chaîne commerciale. Il pourrait par exemple en aller ainsi lorsque le suivi des transactions, opéré au moyen de la consultation des données des clients, est réalisé afin de respecter les obligations auxquelles les banques sont soumises en matière de prévention et de lutte contre la criminalité dans le domaine financier.

78.

Il est vrai que le client peut douter de la probité ou de l’impartialité de la personne physique qui est intervenue pour le compte du responsable du traitement dans le traitement de ses données. Ce doute, s’il est raisonnable, pourrait justifier son intérêt à connaître l’identité du salarié, en vue d’exercer son droit de prendre des mesures à l’encontre de celui-ci.

79.

Compte tenu de la sensibilité de ces informations, l’intérêt de connaître l’identité du salarié se heurte à l’intérêt non moins indiscutable des responsables du traitement de préserver la discrétion sur l’identité de leurs salariés, ainsi que le droit de ces derniers à la protection de leurs propres données. C’est l’intermédiation de l’autorité de contrôle, en tant qu’arbitre entre ces deux intérêts contradictoires, qui permet à mon sens d’atteindre le point d’équilibre.

80.

Dans un cas tel que celui en l’espèce, c’est donc l’autorité de contrôle qui, en s’appuyant sur sa position d’impartialité, devra apprécier si les doutes sur les agissements des salariés au service de l’établissement bancaire sont suffisamment fondés et cohérents pour justifier le sacrifice de la réserve concernant leur identité.

81.

La réponse aux première et deuxième questions pourrait s’arrêter là, après avoir précisé que les salariés de l’entité qui agissent pour le compte et sur les instructions de celle-ci ne sont pas, à proprement parler, les destinataires visés à l’article 15, paragraphe 1, sous c), du RGPD.

82.

Toutefois, il convient de compléter la réponse par une analyse du prétendu droit de la personne concernée à connaître l’identité des salariés, lorsque celle-ci est contenue dans les fichiers journaux ou les registres d’opérations d’une entité. Bien que, comme je l’ai déjà mentionné, tous ces fichiers ou registres n’aient pas nécessairement un contenu identique, il est généralement admis qu’ils permettent de savoir qui (parmi les salariés du responsable du traitement) a consulté les données du client, et comment et quand cette consultation a eu lieu.

83.

De tels registres permettent au responsable du traitement de se conformer à son obligation de respecter les principes énoncés à l’article 5, paragraphe 1, du RGPD et de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD (article 24, paragraphe 1, et article 25, paragraphe 2, du RGPD).

84.

S’agissant du domaine spécifique de la directive (UE) 2016/680 ( 30 ), que la Commission mentionne comme exemple ( 31 ) d’un régime particulier de protection des données dans le domaine des infractions pénales, on relève :

85.

Or, conformément à l’article 14 de la directive 2016/680, les informations relatives, notamment, à l’identité du salarié qui a traité les données à caractère personnel ne font pas partie des informations pour lesquelles la personne concernée dispose d’un droit d’accès.

86.

Dans le même ordre d’idées, l’article 30 du RGPD prescrit l’existence de ce qu’il qualifie de « registre des activités de traitement », dont le contenu coïncide – avec un moindre degré de précision quant à la définition des opérations – avec celui de l’article 25 de la directive 2016/680 ( 33 ). Et, comme pour ce dernier, les informations enregistrées sur l’identité du salarié ne font pas non plus partie de celles qui sont accessibles à la personne concernée en vertu de l’article 15 du RGPD.

87.

La raison de cette asymétrie entre les informations enregistrées, d’une part, et le droit d’accès à celles-ci, d’autre part, réside dans la différence des objectifs poursuivis par les dispositions régissant, respectivement, l’enregistrement des activités de traitement et l’accessibilité de leur contenu.

88.

Les registres visés à l’article 30 du RGPD ont pour finalité, je le répète, d’assurer la licéité du traitement et de garantir l’intégrité et la sécurité des données. La responsabilité d’un tel résultat incombe, en règle générale, à l’autorité de contrôle, à laquelle le responsable du traitement et le sous-traitant doivent mettre à disposition les registres des opérations (article 30, paragraphe 4, du RGPD).

89.

Dans le RGPD, le droit d’introduire une réclamation auprès des autorités de contrôle [article 15, paragraphe 1, sous f)], chargées de veiller à la bonne application de ce règlement, vise à protéger les droits des personnes physiques à l’égard du traitement de leurs données. C’est ce que prévoit l’article 51, paragraphe 1, du RGPD, et qui découle de la liste des missions que l’article 57 du RGPD attribue à ces autorités.

90.

La mission générale de contrôle de l’application du RGPD et de protection des droits des personnes physiques justifie les prérogatives de l’autorité de contrôle. Parmi ces prérogatives figure celle de connaître les circonstances dans lesquelles le traitement des données a été effectué par un sous-traitant ou un responsable du traitement. C’est précisément l’une de ces circonstances qui importe ici : l’identité des personnes qui consultent les données à caractère personnel des clients pour le compte du responsable du traitement ou du sous‑traitant.

91.

Or aucune disposition du RGPD n’exige de rendre accessible au client ces mentions relatives à l’identité des salariés qui figurent dans les registres internes des entités et grâce auxquelles ces dernières peuvent savoir qui a examiné les données à caractère personnel de ce client, et quand (en mettant, le cas échéant, ces informations à la disposition de l’autorité de contrôle).

92.

Il conviendra au contraire de fournir à la personne concernée par un traitement spécifique les informations nécessaires pour connaître les circonstances pertinentes, aux fins d’évaluer la licéité du traitement et de le contester, si nécessaire, devant l’autorité de contrôle ou, en dernier ressort, devant l’autorité judiciaire.

93.

Il n’en demeure pas moins que, si ces registres d’opérations contiennent effectivement des données à caractère personnel de la personne concernée (c’est‑à-dire autres que la simple identité des salariés), cette dernière aura logiquement le droit d’obtenir du responsable du traitement la confirmation que ses données à caractère personnel sont traitées. À cette fin, il est sans pertinence que les données à caractère personnel soient contenues dans un registre d’opérations, ou dans tout autre fichier ou base de données interne de l’entité.

94.

La juridiction de renvoi veut savoir s’il « est pertinent en l’espèce qu’il s’agisse d’une banque assumant une mission réglementée ou que J. M. ait en même temps travaillé dans cette banque et en ait été le client ».

95.

À mon sens, le fait que le responsable du traitement exerce une activité réglementée est sans incidence sur les considérations exposées ci-dessus. Que ce responsable soit une banque soumise à la réglementation spécifique applicable à ce type d’entités ( 34 ) peut toutefois avoir une incidence sur la légitimité (la base juridique) du traitement, lorsque celui-ci découle du respect des obligations légales auxquelles il est soumis ( 35 ).

96.

En principe, il est également dénué de pertinence que la personne dont les données ont été consultées ait été un salarié tout en étant un client de cette banque. L’article 15, paragraphe 1, du RGPD ne fait pas de distinction sur la base de l’activité professionnelle de la personne concernée, superposée à son statut de client de l’institution financière ( 36 ).

97.

L’article 23 du RGPD permet certes aux États membres, comme l’a souligné la Commission, de limiter, par la voie de mesures législatives, la portée des obligations et des droits prévus, notamment, à l’article 15 du RGPD, au moyen de dispositions sectorielles pour une catégorie spécifique de personnes concernées. La juridiction de renvoi ne fait toutefois état d’aucune limitation nationale de ce type.

98.

Eu égard aux considérations qui précèdent, je propose à la Cour d’apporter la réponse suivante à l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande) :

L’article 15, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu en combinaison avec l’article 4, point 1, de ce règlement,

doit être interprété en ce sens que :

il est applicable lorsque la demande d’accès aux informations adressée par la personne concernée au responsable du traitement a été présentée après le 25 mai 2018.

Il ne donne pas à la personne concernée le droit de connaître, parmi les informations dont dispose le responsable du traitement (le cas échéant, au moyen de registres d’opérations ou de fichiers journaux), l’identité du salarié ou des salariés qui, sous l’autorité et suivant les instructions du responsable du traitement, ont consulté ses données à caractère personnel.