« Toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées »
Tel est le titre retenu par la CJUE pour son communiqué de presse n° 107/23, relatif à l’arrêt Pankki S. Il se bornerait donc à reprendre l’arrêt Österreichische Post AG, qui imposait la transmission de la liste des destinataires des données.
Mais à bien lire la décision, il s’agirait plutôt d’une précision, voire d’une restriction de l’arrêt relatif à la poste autrichienne : l’identité des salariés agissant dans le cadre de leur fonction ne serait pas communicable. A contrario, un « abus de fonction » imposerait la transmission de leur identité. Sur ce point l’arrêt Pankki S semble en cohérence avec l’interprétation des APD. Celles-ci considèrent classiquement le salarié excédant sa mission comme un responsable de traitement (APD belge, 28 février 2023, n° 16/2023 ; Guidelines 07/2020), là où celui utilisant des moyens personnels pour l’accomplir resterait une personne le mettant en oeuvre (APD belge, 12 juin 2023, n° 73/2023).
D’aucuns s’interrogeront alors quant à la conformité de cette précision à la lettre de l’article 4, 9). Le RGPD ne distingue pas selon que le destinataire est interne ou externe, ce qui imposerait alors de communiquer l’identité des salariés du responsable de traitement ayant eu connaissance des données, à raison de leurs fonctions. Cette analyse littérale repose sur une interprétation a contrario du texte.
Or, l’adage « La loi cesse là où cessent les motifs » tend à la réfuter. L’obligation d’identifier les destinataires permet directement d’assurer à la personne la maîtrise des données la concernant. Idem pour les salariés excédant leur mission. En revanche, en interne, cela ne change rien à l’affaire. Sauf abus de fonction d’un salarié, effectivement
Peut-être est-ce pour cette raison que certaines autorités ont mis en oeuvre différentes stratégies pour réduire le champ de la notion de destinataire? En 2021, la CNIL reprenait ainsi sa notion de « service mettant en oeuvre le traitement ». En 2022, elle usait du terme « accédant ». Cette même année, le Conseil d’Etat excluait du droit d’accès la possibilité de connaître l’identité des agents publics ou des salariés ayant consulté les données dans l’exercice de leurs fonctions (CE, 24 février 2022, n° 447495).
In fine, la position du Conseil d’Etat, de la CJUE, du CEPD et des CNIL européennes ne se justifierait-elle pas au regard de la locution « personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel », employée pour définir un « tiers »?