Le 12 janvier 2023, la Cour de justice de l’Union Européenne (ou CJUE) a rendu un arrêt venant préciser la portée de l’information due à la personne exerçant son droit d’accès à ses données à caractère personnel que lui confère l’article 15 du RGPD, en particulier s’agissant de l’information relative aux destinataires de ses données.
* *
*
Le 15 janvier 2019, l’Österreichische Post (la Poste autrichienne) a reçu, de la part d’un utilisateur, une demande de droit d’accès aux données à caractère personnel le concernant et étant actuellement conservées par l’entité ou l’ayant été par le passé, fondée sur l’article 15 du RGPD.
Il souhaitait également obtenir l’identité des destinataires de ses données en cas de communication de celles-ci à des tiers, cette faculté lui étant offerte par l’article 15, paragraphe 1, sous c) du RGPD.
En réponse, l’Österreichische Post s’est contentée de lui indiquer que l’utilisation des données était faite dans la mesure autorisée par le droit au regard de son activité, et qu’elle proposait ces données à des partenaires commerciaux à des fins de marketing. Le plaignant était renvoyé à un site internet pour obtenir davantage d’informations, sans que l’identité des destinataires concrets de ses données ne lui soit fournie.
Le plaignant a alors assigné l’Österreichische Post devant les juridictions autrichiennes afin qu’il lui soit fait injonction de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel.
Au cours de la procédure, l’Österreichische Post a informé le plaignant que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, sans indiquer leur identité mais seulement leurs secteurs d’activités (annonceurs, entreprises informatiques, éditeurs d’adresses, associations…).
Le plaignant a été débouté de son recours par les juridictions de première instance et d’appel au motif que la formulation de l’article 15, paragraphe 1, sous c) du RGPD qui se réfère aux « destinataires ou aux catégories de destinataires » des données accorderait au responsable de traitement la possibilité d’indiquer uniquement à la personne concernée les catégories de destinataires, sans avoir à les désigner nommément.
Le plaignant a alors introduit un pourvoi en révision auprès de la Cour suprême autrichienne.
La juridiction, considérant que la formulation de l’article 15 du RGPD ne permet pas de déterminer si cette disposition accorde à la personne concernée un droit d’accès aux informations portant sur les destinataires concrets de ses données, ou s’il confère au responsable du traitement un choix discrétionnaire quant aux informations qu’il fournit dans le cadre d’une demande d’accès, a décidé de poser à la Cour de justice de l’Union Européenne (ou CJUE) la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
1. L’interprétation de l’article 15, paragraphe 1, sous c) du RGPD par la CJUE
La CJUE commence par énoncer les informations pouvant être obtenues par la personne concernée de la part du responsable du traitement :
– la confirmation que des données à caractère personnel la concernant sont traitées, ou qu’elles ne le sont pas ;
– lorsque de telles données font l’objet d’un traitement, l’accès auxdites données ;
– ainsi qu’un certain nombre d’informations sur les caractéristiques du traitement et notamment les informations portant sur les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées.
Elle constate que le libellé de cet article ne permet pas de caractériser, de manière univoque, un droit d’information de la personne concernée portant sur l’identité concrète des destinataires de ses données.
Toutefois, la CJUE relève que le RGPD accorde à la personne concernée le droit de connaître et d’obtenir communication de l’identité des destinataires de ses données à caractère personnel. Les juges relèvent également que le RGPD ne prévoit pas que ce droit puisse être limité à leurs seules catégories.
En outre, tout traitement de données à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD, au nombre desquels figure le principe de transparence qui implique que la personne doit disposer d’informations aisément accessibles et compréhensibles sur la manière dont ses données sont traitées.
La Cour lie également l’information sur les destinataires des données fournie au titre du droit d’accès aux droits à l’effacement, à la rectification et à la limitation du traitement. Elle considère, en effet, que la garantie de leur effet utile dépend du droit de la personne concernée à être informée de l’identité des destinataires concrets de ses données. Les juges européens constatent, en ce sens, que l’article 19 du RGPD impose au responsable du traitement de fournir à la personne concernée des informations sur les destinataires de ses données si elle en fait la demande dans le cadre de l’exercice de son droit de rectification, ou à l’effacement.
Face à l’importance de ces informations, la CJUE considère qu’elles doivent être les plus exactes possibles lorsqu’elles sont fournies au titre du droit d’accès.
Cela implique que la personne concernée puisse avoir le choix dans ses demandes au responsable de traitement. Elle peut ainsi lui demander des informations sur les destinataires spécifiques de ses données ou, alternativement, ne demander que des précisions sur les catégories de destinataires.
Les juges européens achèvent leur analyse en constatant que le droit de la personne concernée d’obtenir des informations sur le destinataire concret de ses données rejoint l’un des objectifs fondateurs du RGPD : assurer un niveau élevé de protection des personnes physiques au sein de l’Union.
La CJUE pose cependant deux limites à la communication à la personne concernée d’informations sur l’identité des destinataires de ses données à caractère personnel.
Ainsi, le droit d’accès pourra être limité à l’information sur les catégories de destinataires :
– s’il s’avère impossible de communiquer l’identité des destinataires concrets, en particulier s’ils ne sont pas encore connus, ou ;
– si les demandes de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5 du RGPD. Dans ce cas, les juges précisent qu’il incombera au responsable de traitement de démontrer le caractère manifestement infondé ou excessif des demandes.
2. La réponse de la CJUE à la question préjudicielle
La Cour répond à la question préjudicielle posée par la Cour suprême autrichienne dans ces termes :
« Le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause ».
Ce qu’il faut retenir :
Le droit d’accès conféré à la personne concernée par l’article 15, paragraphe 1, sous c) du RGPD doit être interprété comme mettant à la charge du responsable de traitement une obligation de lui communiquer l’identité des destinataires de ses données à caractère personnel.
La communication pourra se limiter aux seules catégories de destinataires si le responsable de traitement est confronté à une impossibilité de communiquer leur identité, ou si les demandes de la personne concernée s’avèrent être manifestement excessives ou mal fondées.
Les situations dans lesquelles l’identité des destinataires peut ne pas être fournie à la personne concernée sont donc limitées et strictement encadrées.
Le responsable de traitement devra motiver le refus de communication de l’identité des destinataires, en démontrant le caractère manifestement mal fondé ou excessif des demandes de la personne concernée.
En outre, lorsqu’il est en pratique impossible d’identifier les destinataires des données, la réponse apportée à la personne concernée devrait en apporter la preuve au titre d’une bonne pratique du responsable de traitement.
Cette décision est l’occasion de rappeler que :
- le responsable de traitement doit tenir à jour la liste précise du détail des destinataires des données des personnes concernées qu’il traite et communique à des tiers (dans son registre des traitements version « responsable de traitement » par exemple) ;
- l’élaboration d’une procédure de gestion des demandes d’exercice de droits, et en particulier des demandes fondées sur le droit d’accès, est capitale pour assurer un traitement des données à caractère personnel respectant les droits des personnes concernées et le RGPD, une documentation accrue de la gestion des droits des personnes concernées étant indispensable pour fournir les informations requises lorsque le responsable de traitement en a l’obligation ;
- la tenue d’un registre des demandes d’exercice de leurs droits par les personnes concernées et la conservation de la preuve de ces demandes (et des réponses à y apporter) est également essentielle.
Le Pôle « IT, Data protection & Cybercriminalité » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel, et notamment sur les actions à déployer en amont et lors de demandes d’exercice de leurs droits de la part des personnes concernées.
Par AGIL’IT – Pôle IT, Data protection & Cybercriminalité
Laure LANDES-GRONOWSKI, Avocate associée
Kassandra BERTRAND-BOURDON, Avocate
