À cette occasion, la CJUE a également précisé les contours des obligations d’un responsable de traitement de données personnelles, notamment lorsqu’une personne concernée exerce son droit d’accès au sens de l’article 15 du Règlement Général sur la Protection des Données (RGPD).
Que s’est-il passé ?
- Le 15 janvier 2019, un citoyen s’est adressé à la Poste autrichienne afin d’obtenir l’accès à ses données personnelles ; il demande également l’identité des destinataires qui reçoivent communication de ses données ;
- Dans un premier temps, l’Österreichische Post a seulement indiqué transférer ses données à des « partenaires commerciaux », sans préciser leur identité ;
- Le citoyen a assigné la société devant les juridictions autrichiennes aux fins d’obtenir l’identité desdits destinataires ;
Les juges de première instance et d’appel ont débouté le citoyen au motif qu’un responsable de traitement est seulement tenu d’indiquer les catégories des destinataires sans pour autant les nommer. Insatisfait, le citoyen introduit un pourvoi en révision devant la Cour Suprême autrichienne ;
- Le 18 février 2021, la Cour Suprême s’interroge sur l’interprétation de l’article 15 paragraphe 1 du RGPD, et pose une question préjudicielle à la CJUE afin de savoir si cet article peut être interprété comme une obligation pour le responsable de traitement de fournir à la personne concernée l’identité concrète des destinataires.
Quelle est la réponse de la CJUE ?
Dans sa décision du 12 janvier 2023, la CJUE confirme l’existence d’un doute gravitant autour de l’interprétation de l’article 15 paragraphe 1 du RGPD en ce qu’il ne précise pas spécifiquement si la communication des informations concerne l’identité ou la catégorie des destinataires.
Pour répondre à la question posée par la Cour suprême autrichienne, la CJUE analyse l’article 15 du RGPD au regard des autres dispositions du RGPD et il en ressort que :
- Le RGPD ne mentionne nulle part que le droit d’accès est limité aux catégories de destinataires ;
- Le droit d’accès doit être conforme au principe de transparence [1]. Autrement dit, la personne concernée doit obtenir des informations sur le traitement de données le concernant de façon claire et intelligible ;
- Le droit d’accès permet à la personne concernée d’exercer les autres droits dont il bénéficie au regard du RGPD [2]. Dès lors, pour que ces droits puissent être correctement exercés, ces personnes doivent obtenir toutes les informations nécessaires, notamment l’identité des destinataires ;
- Le droit d’accès des personnes concernées coïncide avec l’obligation pour le responsable de traitement de notifier les destinataires de toute rectification, limitation ou suppression des données des personnes concernées, en ce qu’il doit leur fournir des informations sur ces destinataires à leur demande [3].
Par conséquent, lorsque des données personnelles sont communiquées à des tiers, le responsable de traitement doit fournir à la personne concernée, à sa demande, l’identité concrète de ces destinataires.
Toutefois, le responsable de traitement peut décider de communiquer seulement les catégories des destinataires dans deux cas précis :
- Lorsqu’il est impossible pour lui d’identifier les destinataires ;
- Lorsqu’il démontre que la demande d’accès est excessive ou infondée.
En quoi cette solution est-elle porteuse de changements ?
La CJUE, à travers cet arrêt, renforce non seulement le droit des personnes concernées, mais également les obligations du responsable de traitement.
En effet, la Cour reste alignée aux principes du droit à la protection des données : accorder le droit aux personnes concernées d’accéder aux données personnelles le concernant qui ont été collectées et en vérifier la licéité.
Sans grande surprise, les juges européens ne font qu’appliquer les dispositions du considérant 63 du RGPD, qui explicitent que les personnes concernées doivent être en mesure de connaître et de se faire communiquer l’identité des destinataires de leurs données personnelles.
La CJUE reste toutefois vigilante, et rappelle que le droit d’accès n’est pas absolu, étant donné qu’il doit être mis en balance avec d’autres droits fondamentaux.
Cette solution représente donc un certain intérêt pour les personnes concernées, dans un contexte où la CNIL se voit plus souvent sollicitée pour des demandes liées à l’exercice d’un droit et une contrainte supplémentaire à prendre en compte par les responsables de traitement.
Que faut-il retenir ?
Dans le cadre du droit d’accès, les personnes concernées peuvent demander au responsable de traitement l’identité des destinataires de leurs données personnelles.
Nous recommandons aux responsables de traitement de prendre en compte cette exigence dans les contrats qu’ils signent avec leur prestataire, en particulier les contrats d’hébergement, SaaS ou Cloud.