Le règlement général sur la protection des données (RGPD) confère aux personnes (personnes concernées) un certain nombre de droits. Celles-ci sont énumérées au chapitre III du RGPD et comprennent, entre autres, le droit d’être informé du traitement des données à caractère personnel (articles 13 et 14 du RGPD), le droit d’accès (article 15 du RGPD), le droit de rectification (article 16 du RGPD), droit à l’effacement (article 17 du RGPD) etc. Mi-janvier 2023, la Cour de justice dans l’affaire C-154/21 Österreichische Post a répondu à une question concernant l’un de ces droits, à savoir le droit d’accès.
Comme indiqué à l’article 15, paragraphe 1, du RGPD « La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant font ou non l’objet d’un traitement et, le cas échéant, l’accès aux données à caractère personnel et aux informations suivantes : […]
(c) les destinataires ou catégories de destinataires à qui les données personnelles ont été ou seront divulguées, en particulier des destinataires dans des pays tiers ou des organisations internationales ; […].
Le litige portait sur le fait que la personne concernée demandé au responsable du traitement l’identité réelle des destinataires à qui il divulguait ses données personnelles. Toutefois, le responsable du traitement n’a pas révélé l’identité des destinataires, mais a informé la personne concernée des « catégories de destinataires », en indiquant qu’ils étaient « Les clients, y compris les annonceurs qui vendent par correspondance et les points de vente fixes, les sociétés informatiques, les fournisseurs de listes de diffusion et les associations telles que les organisations caritatives, les organisations non gouvernementales (ONG) ou les partis politiques » (paragraphe 20).
En effet, des doutes surgissent lors de l’application pratique de l’article 15, paragraphe 1, du RGPD. La principale question est de savoir s’il est nécessaire d’informer sur les destinataires particuliers des données, ou serait-il suffisant de se renseigner sur les catégories générales de ces destinataires ? Des doutes similaires surgissent dans le cadre des articles 13(1e) et 14(1e) du RGPD, qui obligent le responsable du traitement, dans le cadre de ses obligations d’information exécutées lors de la collecte des données, à informer sur « les destinataires ou catégories de destinataires des données personnelles, le cas échéant ».
Selon la Cour, l’article 15, paragraphe 1, du RGPD donne le droit d’être informés des destinataires précis des données personnelles et ainsi connaître leur identité réelle. La Cour cite plusieurs arguments à cet égard :
(1) Les personnes concernées devraient se voir garantir le droit de connaître et d’être informées sur le traitement de leurs données à caractère personnel, en particulier sur les destinataires auxquels les données sont mises à disposition. Ceci est souligné dans le considérant 63 du RGPD, qui, nota benene se réfère pas au droit à l’information sur les « catégories de destinataires des données », mais généralement au droit à l’information sur les « destinataires des données personnelles » (par. 33).
(2) Le responsable du traitement doit traiter les données à caractère personnel conformément au principe de transparence, qui, du point de vue de la personne concernée, signifie que les informations sur la manière dont ses données à caractère personnel sont traitées doivent être facilement accessibles et compréhensibles (paragraphe 35).
(3) « L’article 15 du RGPD établit un véritable droit d’accès pour la personne concernée, de sorte que la personne concernée doit avoir la option d’obtenir soit des informations sur les destinataires spécifiques auxquels les données ont été ou seront divulguées, si possible, soit des informations sur les catégories de destinataires » (par. 36).
(4) Le droit d’accès est souvent exercé pour vérifier l’exactitude des données ou la licéité du traitement. En ce sens, le droit d’accès détermine souvent d’autres actions de la personne concernée, c’est-à-dire l’exercice d’autres droits en vertu du RGPD, par exemple le droit à l’effacement ou le droit de s’opposer au traitement. Par conséquent, l’exercice complet et diligent du droit d’accès est essentiel pour garantir l’effectivité des droits de la personne concernée (par. 38).
Toutefois, la Cour a rappelé que le droit à la protection des données personnelles n’est pas un droit absolu et est soumis à des limitations. Le responsable du traitement, malgré une demande expresse de la personne concernée, n’est pas tenu de fournir des informations sur l’identité des destinataires des données si « dans des circonstances spécifiques, il n’est pas possible de fournir des informations sur des destinataires spécifiques » (par exemple lorsqu’il n’est pas possible d’identifier ces destinataires – paragraphe 51), et en outre lorsque la demande de la personne concernée présente un caractère injustifié ou excessif [as stated in Article 12(5b) GDPR].
En pratique, cela signifie que chaque demande devra être soigneusement analysée. Il est certainement plus facile pour les responsables du traitement de fournir des informations générales sur les catégories de destinataires plutôt que des informations précises sur l’identité des destinataires. Pour les contrôleurs disposant de grands ensembles de données, qui partagent des données avec de nombreuses entités et reçoivent de nombreuses demandes d’accès aux données, un examen détaillé des flux de données peut s’avérer fastidieux. Ce qui manque à l’arrêt, selon moi, c’est une clarification de ce que pourraient être les «circonstances particulières» qui justifieraient un refus de divulguer l’identité des destinataires des données.
Il ressort du raisonnement de la CJ qu’une telle circonstance particulière peut être la méconnaissance des futurs destinataires (par. 48). La question est de savoir si une telle circonstance pourrait être la difficulté d’indiquer tous les destinataires des données en raison de leur grand nombre. En pratique, il s’agit d’un problème courant pour les contrôleurs. Pourtant, une telle interprétation ne semble pas acceptable. On peut dire que la Cour a étendu un parapluie protecteur sur les personnes concernées, obligeant les responsables du traitement à être plus précis, transparents dans leur traitement et à fournir des informations fiables et complètes aux personnes concernées. C’est un bon signal pour les personnes concernées, en particulier les consommateurs de divers services en ligne, car l’arrêt fournit des motifs clairs pour exiger des informations détaillées sur le traitement des données à caractère personnel.
La chronique a été générée de la manière la plus fidèle qui soit. Vous pouvez écrire en utilisant les coordonnées indiquées sur notre site internet afin d’apporter des explications sur ce contenu traitant du thème « Jeunes avocats ». Beaucoup de réponses sont livrées par cet article relayé par uja-nantes.fr qui parle du thème « Jeunes avocats ». La vocation journalistique de uja-nantes.fr est de parler de Jeunes avocats dans la transparence en vous offrant la visibilité de tout ce qui est en lien avec ce sujet sur le net D’ici peu, on mettra en ligne d’autres infos sur le sujet « Jeunes avocats ». Par conséquent, visitez régulièrement notre site.