Opinion of Advocate General Campos Sánchez-Bordona delivered on 15 December 2022.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• ECLI: ECLI:EU:C:2022:1001
• Date: 15 December 2022

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 15 décembre 2022(1)

Affaire C‑579/21

JM

en présence de :

Apulaistietosuojavaltuutettu,

Pankki S

[demande de décision préjudicielle formée par l’Itä-Suomen hallinto‑oikeus (tribunal administratif de Finlande orientale, Finlande)]

« Renvoi préjudiciel – Traitement des données à caractère personnel – Règlement (UE) 2016/169 – Données figurant dans un registre d’opérations – Droit d’accès – Notion de données à caractère personnel – Notion de destinataire – Personnel au service du responsable du traitement »

1. Un salarié d’un établissement financier, qui en était également client, a demandé à cet établissement de l’informer de l’identité des personnes qui avaient consulté ses données à caractère personnel dans le cadre d’une enquête interne. Cet établissement ayant refusé de lui fournir ces informations, il a exercé les voies de recours appropriées, en allant jusqu’à l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande).

2. Cette juridiction a saisi la Cour d’une demande de décision préjudicielle sur l’interprétation du règlement (UE) 2016/679 (2). En statuant sur cette demande, la Cour devra se prononcer sur le droit d’accès de la personne concernée à certaines informations relatives au traitement de ses données à caractère personnel.

I. Cadre réglementaire

A. Le droit de l’Union. Le RGPD

3. Aux termes du considérant 11 :

« Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations. »

4. L’article 4 (« Définitions ») dispose :

« Aux fins du présent règlement, on entend par :

1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ; [...]

9) “destinataire”, la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. [...] ».

5. L’article 15 (« Droit d’accès de la personne concernée »), paragraphe 1, se lit comme suit :

« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

a) les finalités du traitement ;

b) les catégories de données à caractère personnel concernées ;

c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;

d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;

f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous‑jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. »

6. Conformément à l’article 24 (« Responsabilité du responsable du traitement »), paragraphe 1 :

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

7. Conformément à l’article 25 (« Protection des données dès la conception et protection des données par défaut »), paragraphe 2 :

« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »

8. L’article 29 (« Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant ») dispose :

« Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre. »

9. L’article 30 (« Registre des activités de traitement ») prévoit :

« 1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;

b) les finalités du traitement ;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;

[...]

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

2. Chaque sous-traitant et, le cas échéant, le représentant du sous‑traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant :

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale [...]

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

5. Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 salariés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données [à caractère personnel] ou sur des données à caractère personnel relatives à des condamnations pénales [...]. »

10. L’article 58 (« Pouvoirs »), paragraphe 1, est libellé comme suit :

« Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :

a) ordonner au responsable du traitement et au sous-traitant, et, le...