La CJUE valide le « droit de connaître la date et les raisons » de consultation de ses données personnelles

L’affaire opposait la banque Pankki S à un ancien salarié qui était aussi un client. Ayant appris que ses données personnelles avaient été consultées par d’autres employés entre le 1er novembre et le 31 décembre 2013, et « ayant des doutes sur la licéité de ces consultations », le salarié de la banque a « demandé à celle-ci de lui communiquer l’identité des personnes ayant consulté ses données, les dates exactes des consultations ainsi que les finalités du traitement desdites données ». Pankki S refuse.

Dans sa conclusion, la « Cour constate que le RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement ».

Elle ajoute que « la circonstance que le responsable du traitement exerce une activité bancaire est sans incidence sur l’étendue de ce droit ».

Le communiqué succinct est disponible par ici, le texte intégral par là.

Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.