Droit d’accès : communiquer l’identité des destinataires de données

Dans une décision du 12 janvier dernier, la Cour de justice de l’Union Européenne clarifie l’étendue des informations auxquelles les personnes concernées peuvent obtenir en application de leur droit d’accès, sur le fondement de l’article 15 du RGPD.  

Les faits

Un particulier avait exercé son droit d’accès auprès de La Poste autrichienne et, dans ce cadre, avait demandé l’identité des destinataires des données personnelles le concernant, dans le cas où celles-ci avaient été communiquées à des tiers.

La Poste autrichienne a alors refusé de lui communiquer l’identité exacte des destinataires des données. Elle a toutefois indiqué, de façon assez générale, qu’elle partage les données avec des partenaires à des fins marketing. 

Question préjudicielle

Dans ce contexte, la Cour suprême autrichienne a interrogé la Cour de justice de l’Union Européenne sur le fait de savoir si le droit d’accès prévu à l’article 15 du RGPD :

  • laisse le choix au responsable du traitement de communiquer à la personne concernée uniquement les catégories de destinataires ; ou
 
  • si le responsable du traitement a l’obligation de fournir l’identité concrète des destinataires si la personne concernée le demande.

Le droit d'accès

Le droit d’accès est défini à l’article 15 du RGPD, selon lequel : 

« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes: 

  • les finalités du traitement;
  • les catégories de données à caractère personnel concernées;
  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
  • lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
  • l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
  • l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
[…]

Sauf exception, le responsable du traitement doit communiquer l'identité des destinataires des données personnelles concernant une personne qui en fait la demande

La Cour souligne que l’interprétation à privilégier est celle qui est de nature à sauvegarder son effet utile à la disposition légale.

Or, il ressort du considérant 10 du RGPD que ce règlement vise à assurer un niveau élevé de protection des personnes physiques de l’Union Européenne. L’objectif du RGPD est d’appliquer les exigences qui découlent du droit fondamental à la protection des données à caractère personnel défini à l’article 8 de la charte des droits fondamentaux de l’Union Européenne.

Ainsi, « l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celle concernant les catégories de destinataires ».

La Cour relève que cette interprétation est confortée par les dispositions de l’article 19 du RGPD selon lequel « Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

 

Pour autant, le Cour admet que le droit d’accès n’est pas absolu et pose deux limites à la communication de l’identité même des destinataires :

 

  • dans le cas où il est matériellement impossible de fournir des informations sur des destinataires concrets
  • le responsable du traitement démontre que la demande présente un caractère manifestement infondé ou excessif.

 

Dans ces circonstances spécifiques, le responsable du traitement peut limiter sa communication aux catégories de destinataires.

Ce qu'il faut retenir

Il convient de rappeler que la réponse à toute demande d’accès à des données personnelles doit intervenir dans un délai d’un mois à compter de la demande.

En conséquence, il est primordial de disposer de process permettant la gestion efficace des demandes d’exercice de leurs droits par les personnes concernées.

Vous souhaitez déployer des process de gestion des droits des personnes?

Dernières actualités

Nouvel indice SYNTEC : conséquences pour les contrats en cours

Depuis septembre 2022, la Fédération SYNTEC a remplacé l’indice SYNTEC ancien par un nouvel indice dénommé l’indice SYNTEC révisé. Cela n’est pas sans conséquence

Digital Service Act – Etes-vous concerné?

Le règlement sur les services numérique (Digital Services Act en anglais, ou « DSA ») est un règlement européen dans la même veine que le Règlement

Aucun cookie publicitaire

Nous utilisons uniquement des traceurs strictement nécessaires au fonctionnement du site. Ces traceurs ne nécessitent pas de consentement de votre part. Des réglages du navigateur peuvent vous permettre de les bloquer  mais cela pourra impacter le fonctionnement du site.