L’affaire opposait la banque Pankki S à un ancien salarié qui était aussi un client. Ayant appris que ses données personnelles avaient été consultées par d’autres employés entre le 1er novembre et le 31 décembre 2013, et « ayant des doutes sur la licéité de ces consultations », le salarié de la banque a « demandé à celle-ci de lui communiquer l’identité des personnes ayant consulté ses données, les dates exactes des consultations ainsi que les finalités du traitement desdites données ». Pankki S refuse.
Dans sa conclusion, la « Cour constate que le RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement ».
Elle ajoute que « la circonstance que le responsable du traitement exerce une activité bancaire est sans incidence sur l’étendue de ce droit ».
Le communiqué succinct est disponible par ici, le texte intégral par là.
Commentaires (23)
#1
Je suis perplexe. Invoquer le RGPD (adopté en 2016 pour une entrée en application en 2018) pour des actions datant de 2013, donc antérieures à son adoption ?
C’est pas légèrement problématique quand même ?
#1.1
Bonne remarque.
Bonne réponse (par la CJUE).
Donc, s’ils avaient purgé les données d’accès aux données personnelles, ils n’auraient pas eu à répondre. À supposer que la législation nationale permette cette purge.
#1.2
La demande du salarié porte sur des données que l’entreprise est susceptible de posséder au moment de la demande, peu importe que ces données datent d’avant ou après l’entrée en vigueur du RGPD.
Il y aurait rétroactivité si le salarié pouvait porter plainte contre l’utilisation qui a été faite avant l’entrée en vigueur du RGPD. Il sera par contre possible de porter plainte contre les gens qui ont accédé aux données si c’était illégal selon la loi au moment des faits.
Et les banques sont les pires en matière d’accès aux informations, car elles se réfugient systématiquement derrière le “secret bancaire”
#2
Le RGPD n’est pas une loi d’amnistie pour tous les actes commis avant 2018.
#2.1
En théorie, une loi n’est pas sensée être rétroactive
#2.2
Curieusement, dans ce cas c’est rétroactif. Extrait du communiqué succinct linké dans l’article:
Dans son arrêt de ce jour, la Cour observe, tout d’abord, que le RGPD, applicable depuis le 25 mai 2018, s’applique à une demande présentée après cette date dès lors que cette demande porte sur des opérations de traitement de données à caractère personnel effectuées avant la date d’entrée en application du RGPD.
Édit: Grillé
#3
Elle ne l’est pas.
Ce que dit le RPGD c’est qu’une fois la loi en application (2018), une entreprise est soumise à des obligations d’information et de réponses à l’exercice individuel des droits.
Ces informations et des réponses, c’est ce que demande le plaignant.
Le RGPD ne fixe pas de limite sur la date des informations => Si le plaignant demande des informations et si l’entreprise les possède, elle doit les communiquer. Même si les informations datent de 2013.
C’est ce que rappelle la CJUE:
#4
Mais c’est bien sûr !! Quel idiot je suis. L’entreprise a déjà les données. Donc oui, à la date de la demande, elle est sensée répondre favorablement au demandeur.
Je ne sais pas pourquoi, j’étais parti du principe qu’elle ne les avait pas et que la loi imposait donc de manière rétroactive une traçabilité des accès avant l’entrée en vigueur du RGPD…
#5
techniquement parlant, ils auraient du purger toutes les données auxquelles ils n’étaient plus censés avoir accès (données personnelles d’ancien employé = 5 ans max selon la CNIL)…
#5.1
On est dans les 5 ans par rapport à sa demande en 2018.
Par contre, les 5 ans que tu cites sont un exemple cité par la CNIL pour les bulletins de paie. Ils ne sont pas applicables ici puisqu’il était aussi client et que ce sont ses données en tant que client plus qu’en tant qu’employé qui sont concernées ici.
Les banques ont des durées de conservations assez longues il me semble.
#6
C’est en Finlande, faudrait voir la législation locale.
#7
comme quoi j’aurai du tourner 7 fois mes doigts dans mon clavier avant d’écrire
#8
Les lois sur les plus values des ventes de résidence principale ou secondaires ont changé au cours des années et la rétroacticité s’est appliquée.
( on achète un bien immoboilier , on n’est ps supposé payer d’impots sur la plus value au bout d’un certain nombre d’années ( 15 ans par exemple) , une loi change cette durée à 22 ans et paf tu payes sur la plus value pace que tu revends trop tot , une autre loi te passe cela à 30 ans et paf encore perdu)
Si le taux d’imposition change c’est aussi rétroactif
J’en sais quelque chose , j’ai donné
Donc les lois spposées ne pas être rétroactives , c’est du pipeau quand ce sont les impots
#8.1
Les exemples que tu cites ne sont pas de la rétroactivité : on applique la loi en vigueur au moment de la vente.
Et un changement de règle fiscale s’applique généralement au moment où il est annoncé (projet de loi), donc sans rétroactivité non plus.
Pour les taux d’imposition, je ne vois pas à quoi tu fais allusion.
#8.2
C’est peut être une histoire de vocabulaire
J’achète un bien immobilier que j’ai décidé de vendre dans exactement x années sans payer d’impots pour disons ma retraite.
Sauf qu’au bout de x années on me dit : maintenant c’est 10 années de plus pour ne rien payer, et le jour de ma retraite je paye de la plus value
moi j’appelle cela de la rétroacticité
Un peu comme si un PEA avantageux après 6 ans passait à 10 ans ou qu’une assurance vie passait à 15 ans au lieu de 8.
Faire un choix en fonction de la loi devient impossible.
Que la loi s’applique à un nouvel achat , un nouveau contrat je le conçois parfaitement mais si on change les règles en cours avant la fin des échéances de départ, je vois cela comme de la rétroactivité
A tort peut-être mais c’est comme ça que je le vois.
#8.3
Pour le coup non c’est pas de la rétroactivité. L’acte de vente que tu as voulu faire 10 ans après est en relation avec le contexte réglementaire du moment. Ou alors dans l’acte d’achat il y avait des clauses qui stipulaient quelque chose relatif à ton projet ?
Imagine l’arrachage de cheveux sinon pour les maisons très anciennes comme les bicoques 1930 dans le Nord/Pas de Calais voire plus vieux ?
L’exemple du PEA/Assurance Vie pour le coup t’as un engagement contractuel, c’est donc différent et ce que la loi peut changer de façon “rétroactive” (perçue comme tel) c’est éventuellement des clauses de désengagement (cf Chatel et Hamon).
Faire un choix en pariant sur le contexte légal ne m’a jamais paru être une bonne chose, celui-ci pouvant changer justement. Typiquement sur la vente immobilière, j’ai aussi une clause non spéculative sur mon appartement. Elle est inscrite dans l’acte notarié et chiffrée à hauteur d’un pourcentage des subventions de la ville pour le remboursement au prorata si je ne l’occupe plus en tant que résidence principale avant 10 ans. Et comme c’est justement le cas puisque je vais vendre, j’ai du prendre en compte ce calcul qui dépend en plus de ne je sais plus quel indice de valeur locative.
(c’est pas grand chose non plus, quelques 4k€ qui seront compensés par la plus-value, mais avec les prix qui ont baissé ça fait quand même chier)
#8.4
Oui en effet vous avez raison ce ne sont pas des lois rétroactives mais simplement des conséquences “rétroactives” après changement de loi .
Mais bon m’étant fait b….. l’année de ma retraite , j’ai encore les boules
#8.5
Ca se comprend
#8.6
Mais ça ne change pas qu’il y a bel et bien eu des lois réellement rétroactive en France.
#8.7
Tu peux en citer ?
L’article 2 du code civil dispose que :
Edit : en fait, ça existe quand la loi nouvelle est profitable à celui à qui elle s’applique. Moindre peine par exemple.
#9
[connerie on]
Eh, vous avez pas fait le rapprochement ? Si vous mettez le S avant Pankki et que vous liez le tout, ça fait spanky
Apparemment ils aiment bien punir dans cette banque…
hhhmmm… ouiiii… encore… 
[/connerie off] [Salle 42 on]
#10
B4
#10.1
Pour l’instant salle B4 car NextINpact est basée à Bordeaux.
Mais avec la vente de NextINpact, est-ce que le siège de NextINpact restera à Bordeaux ??