Le règlement (UE) 2016/679 (dit « RGPD ») confère aux personnes le droit d’obtenir les informations relatives aux opérations de consultation de leurs données à caractère personnel, telles que la date et les raisons de celles-ci (22 juin)
Arrêt Pankki S, aff. C-579/21
Saisie d’un renvoi préjudiciel par l’Itä-Suomen hallinto-oikeus (Finlande), la Cour de justice de l’Union européenne rappelle tout d’abord que le RGPD est applicable à une demandée présentée après le 25 mai 2018, date d’entrée en application du RGPD, si cette demande porte sur des opérations de traitement de données personnelles faites avant cette date. Ensuite, s’agissant des informations relatives à des opérations de consultation des données à caractère personnel d’une personne, en particulier les dates et finalités de ces opérations, elle considère que ce sont des informations que la personne est en droit d’obtenir du responsable de traitement. Cependant, il n’est consacré aucun droit d’obtenir les informations relatives à l’identité des salariés ayant effectués ces opérations, sous les ordres du responsable, sauf si elles sont nécessaires pour que la personne exerce les droits qui lui sont conférés par le RGPD et si les droits et libertés du salarié sont respectés. En l’espèce, la Cour relève que le responsable de traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne ayant eu ses données traitées en sa qualité de cliente, est également l’employée du responsable. Toutefois, elle estime que cela n’a aucune incidence sur le droit de la personne à obtenir des informations relatives aux opérations de consultation des données à caractère personnel. (LT)