La CJUE estime que le RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement.
En d’autres termes, toute personne a le droit de connaître la date et les raisons pour lesquelles ses données à caractère personnel ont été consultées (et ce même si comme en l’espèce nous sommes dans un monde particulier, à savoir le secteur bancaire).
En revanche, le RGPD ne consacre pas un tel droit à savoir par qui et quand nos données sont consultées… s’agissant des informations relatives à l’identité des salariés, qui ont procédé à ces opérations conformément aux instructions du responsable du traitement, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et libertés de ces salariés. En effet, en cas de conflit entre, d’une part, l’exercice d’un droit d’accès assurant l’effet utile des droits reconnus par le RGPD à la personne concernée et, d’autre part, les droits ou les libertés d’autrui, il y a lieu de mettre en balance les droits et les libertés en question, pose la CJUE.
Source :
