Arrêt Pankki : poursuite de la recherche des frontières du droit d’accès devant la Cour de justice de l’Union européenne

Le droit d’accès consacré à l’article 15 du RGPD est un outil puissant pour assurer la transparence des traitements de données à caractère personnel. Il est aujourd’hui de plus en plus utilisé par les personnes concernées. Cette montée en puissance s’accompagne d’une jurisprudence de plus en plus abondante, particulièrement au niveau de la Cour de justice de l’Union européenne qui a rendu le 22 juin 2023 son troisième arrêt sur ce droit depuis le début de l’année (CJUE 22 juin 2023, J.M. en présence de Apulaistietosuojavaltuutettu et Pankki S, aff. C-579/21, Dalloz IP/IT 2023. 384, obs. G. Bouanane ).

Dans cette affaire, un salarié et client de l’établissement financier finlandais Suur-Savon Osuuspankki (ou Pankki) avait appris que des données à caractère personnel le concernant en tant que client avaient été consultées par d’autres salariés de Pankki entre le 1^er novembre et le 31 décembre 2013.

S’interrogeant sur la conformité de cette consultation, il a demandé à Pankki le 29 mai 2018 de lui communiquer des informations sur l’identité des personnes qui avaient consulté ses données, ainsi que sur les finalités de cette consultation.

Pankki a accédé partiellement à sa demande en lui indiquant ces finalités. Ce traitement avait été réalisé dans le cadre d’une enquête interne visant à vérifier l’absence de relations pouvant donner lieu à un conflit d’intérêts entre le requérant et un autre client de Pankki dont il était le conseiller clientèle.

En revanche, Pankki a refusé de lui communiquer l’identité des salariés qui avaient procédé à cette enquête au motif, d’une part, que l’article 15 du RGPD ne s’applique pas aux fichiers journaux ou aux registres internes consignant les noms des salariés qui ont eu accès aux données et le moment auquel cet accès a lieu et, d’autre part, que les informations demandées portent sur les données à caractère personnel de ces autres salariés, et non du requérant.

Insatisfait, le requérant a saisi le bureau du délégué à la protection des données de Finlande (Tietosuojavaltuutetun toimisto pour les intimes). Cette demande a été rejetée et le plaignant a donc formé un recours devant le tribunal administratif de la Finlande orientale. S’interrogeant sur l’interprétation à donner à plusieurs dispositions du RGPD, ce tribunal a saisi la Cour de justice de l’Union européenne de plusieurs questions préjudicielles.

C’est dans ce contexte que le 22 juin 2023, la Cour de justice de l’Union européenne a continué de définir les contours du droit d’accès, tout en apportant des précisions sur l’application du RGPD dans le temps.

Application du RGPD dans le temps

En premier lieu, la question même de l’applicabilité du RGPD se posait. En effet, si la demande d’accès avait été formée par le requérant le 29 mai 2018, quatre jours après l’entrée en application du RGPD (25 mai 2018), elle portait sur des opérations de traitement réalisées bien avant cette date (du 1^er nov. au 31 déc. 2013). Le tribunal finlandais interrogeait donc les juges européens sur les règles à appliquer.

Pour lui répondre, la Cour opère une distinction entre les règles de fond, qui sont habituellement interprétées comme n’étant pas rétroactives et applicables à des situations nées et définitivement acquises avant leur entrée en vigueur sauf exception, et les règles procédurales qui sont généralement censées s’appliquer à la date à laquelle elles entrent en vigueur.

Pour la Cour, l’article 15, § 1^er, du RGPD prévoyant le droit d’accès de la personne concernée aux informations sur le traitement de ses données est un droit de nature procédurale et, en tant que tel, il doit...