Dans un arrêt du 22 juin 2023, la CJUE a eu à se prononcer sur un litige concernant le RGPD.
En l’espèce, des traitements de données personnelles ont été opérés sur des informations bancaires d’un client; celui-ci souhaitant connaître l’origine des ces traitements, et leurs motifs, en fait la demande auprès de sa banque, laquelle refuse.
La cour de justice européenne saisie de cette affaire, s’attache à « renforcer et préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel ».
Elle définit les données personnelles comme « toutes information se rapportant à une personne physique identifiée ou identifiable ». Cette définition est volontairement large, pour que la personne détenant des données personnelles soit protégée intégralement. Le terme « toutes informations » inclut donc des informations autant objectives que subjectives.
Néanmoins, en contrepartie, elle étend le champ de définition du « traitement », pour assurer l’effectivité des droits des personnes effectuant ces traitements. Ainsi, le traitement englobe la collecte, l’enregistrement ou bien la consultation.
La cour de justice de l’Union européenne se conforme ici à sa jurisprudence antérieure qui a toujours protégée les données à caractère personnel, notamment via l’article 8 de la charte des droits fondamentaux de l’Union Européenne qui démontre la nécessité du « traitement loyal » des données, « à des fins déterminées et sur la base du consentement de la personne concernée ».
Elle en déduit que la consultation des données personnelles portant sur les dates et les finalités de ces opérations, ainsi que l’identification des personnes physiques utilisant ces traitements fait partie du droit de ces personnes.
Cependant, la cour de justice européenne assure les droits de chacun de façon casuistique, pour assurer une meilleure garantie du respect des libertés de tous.
CJUE 22 juin 2023 aff. C-579/21