Précisions de la CJUE sur l’étendue du droit d’accès d’un salarié : il ne permet pas de connaitre l’identité des personnes physiques ayant consulté des données personnelles.
Un salarié d’une banque finlandaise, qui était par ailleurs client de cette banque, avait appris que ses données à caractère personnel avaient été consultées par d’autres membres du personnel de la banque dans le cadre d’une enquête interne.
Ayant des doutes sur la licéité de ces consultations, le salarié avait demandé à la banque que lui soit communiquée l’identité des collaborateurs qui avaient consulté ses données, les dates des consultations ainsi que les finalités du traitement. La banque a indiqué les raisons de ces opérations mais a refusé la demande de communiquer l’identité des salariés.
La CJUE (22 juin 2023, C-579/21), saisie d’une question préjudicielle, interprète le RGPD en ce qu’il ne consacre pas de tel droit à connaitre l’identité des salariés qui ont consulté des données. La CJUE indique que les salariés du responsable du traitement ne sont pas considérés comme étant des « destinataires » au sens du RGPD lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions.
Elle ajoute qu’à supposer que la communication des informations relatives à l’identité de ces salariés à la personne concernée soit nécessaire pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés, dans la mesure où ces informations contiennent elles-mêmes les données à caractère personnel de ces derniers.
