Demande de décision préjudicielle présentée par l’Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande) le 22 septembre 2021 – JM
(Affaire C-579/21)
Langue de procédure : le finnois
Juridiction de renvoi
Itä-Suomen hallinto-oikeus (tribunal administratif de Finlande orientale, Finlande)
Parties dans la procédure au principal
Partie requérante : JM
Autres parties : Délégué adjoint à la protection des données, Banque S
Questions préjudicielles
1. Le droit d’accès de la personne concernée consacré à l’article 15, paragraphe 1, du règlement 2016/679 1 , lu en combinaison avec la [notion de] « données à caractère personnel » définie à l’article 4, point 1, de ce règlement, doit-il être interprété en ce sens que les informations collectées par le responsable du traitement qui font apparaître qui a traité les données à caractère personnel de la personne concernée, quand celles-ci ont été traitées et avec quelle finalité ne constituent pas des informations auxquelles la personne concernée aurait le droit d’accéder, au motif, notamment, de ce qu’il s’agit de données concernant des salariés du responsable du traitement ?
2. Si la réponse à la première question est affirmative et que la personne concernée ne dispose pas, sur le fondement de l’article 15, paragraphe 1, du règlement 2016/679, du droit de consulter les informations visées dans cette question, au motif que celles-ci ne doivent pas être considérées comme des « données à caractère personnel » de la personne concernée au sens de l’article 4, point 1, de ce règlement, il convient encore de préciser la question des informations que la personne concernée a le droit d’obtenir sur le fondement de l’article 15, paragraphe 1, [sous a) à h),] dudit règlement :
a. Comment la « finalité du traitement » visée à l’article 15, paragraphe 1, sous a), du règlement 2016/679 doit-elle être interprétée au regard de l’étendue du droit de regard de la personne concernée, en d’autres termes, cette finalité peut-elle justifier un droit de regard sur les fichiers journaux de l’utilisateur collectés par le responsable du traitement, tels que les données à caractère personnel des personnes ayant traité les données à caractère personnel de la personne concernée, le moment où les données à caractère personnel ont été traitées et la finalité de ce traitement ?
b. Dans ce contexte, les personnes qui ont traité les données de client de J. M. auprès de la banque peuvent-elles être définies, sur la base de certains critères, comme des « destinataires » de données à caractère personnel au sens de l’article 15, paragraphe 1, sous c), du règlement 2016/679, dont la personne concernée aurait le droit d’être informée ?
3. Est-il pertinent en l’espèce qu’il s’agisse d’une banque assumant une mission réglementée ou que J. M. ait en même temps travaillé dans cette banque et en ait été le client ?
4. Pour apprécier les questions énoncées ci-dessus, est-il pertinent que les données de J. M. aient été traitées avant l’entrée en vigueur du règlement 2016/679 ?
____________
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).