RGPD : Obligation de communiquer l’identité des destinataires des données personnelles

Le responsable de traitement est-il dans l’obligation de communiquer aux personnes concernées qui le demandent l’identité des destinataires auxquels les données personnelles ont été transférées ?

Telle est la question à laquelle la Cour de justice de l’Union européenne (CJUE) a dû répondre.

A cette occasion la CJUE a également précisé les contours des obligations d’un responsable de traitement de données personnelles, notamment lorsqu’une personne concernée exerce son droit d’accès au sens de l’article 15 du Règlement Général sur la Protection des Données (RGPD).

Que s’est-il passé ?

Le 15 janvier 2019, un citoyen s’est adressé à la Poste autrichienne afin d’obtenir l’accès à ses données personnelles ; il demande également l’identité des destinataires qui reçoivent communication de ses données ;
Dans un premier temps, l’Österreichische Post a seulement indiqué transférer ses données à des « partenaires commerciaux », sans préciser leur identité ;
Le citoyen a assigné la société devant les juridictions autrichiennes aux fins d’obtenir l’identité desdits destinataires ;
Les juges de première instance et d’appel ont débouté le citoyen au motif qu’un responsable de traitement est seulement tenu d’indiquer les catégories des destinataires sans pour autant les nommer. Insatisfait, le citoyen introduit un pourvoi en révision devant la Cour Suprême autrichienne ;
Le 18 février 2021, la Cour Suprême s’interroge sur l’interprétation de l’article 15 paragraphe 1 du RGPD, et pose une question préjudicielle à la CJUE afin de savoir si cet article peut être interprété comme une obligation pour le responsable de traitement de fournir à la personne concernée l’identité concrète des destinataires.

Quelle est la réponse de la CJUE ?

Dans sa décision du 12 janvier 2023, la CJUE confirme l’existence d’un doute gravitant autour de l’interprétation de l’article 15 paragraphe 1 du RGPD en ce qu’il ne précise pas spécifiquement si la communication des informations concerne l’identité ou la catégorie des destinataires.

Pour répondre à la question posée par la Cour suprême autrichienne, la CJUE analyse l’article 15 du RGPD au regard des autres dispositions du RGPD et il en ressort que :

Le RGPD ne mentionne nulle part que le droit d’accès est limité aux catégories de destinataires ;
Le droit d’accès doit être conforme au principe de transparence[1]. Autrement dit, la personne concernée doit obtenir des informations sur le traitement de données le concernant de façon claire et intelligible ;
Le droit d’accès permet à la personne concernée d’exercer les autres droits dont il bénéficie au regard du RGPD [2]. Dès lors, pour que ces droits puissent être correctement exercés, ces personnes doivent obtenir toutes les informations nécessaires, notamment l’identité des destinataires ;
Le droit d’accès des personnes concernées coïncide avec l’obligation pour le responsable de traitement de notifier les destinataires de toute rectification, limitation ou suppression des données des personnes concernées, en ce qu’il doit leur fournir des informations sur ces destinataires à leur demande [3].

Par conséquent, lorsque des données personnelles sont communiquées à des tiers, le responsable de traitement doit fournir à la personne concernée, à sa demande, l’identité concrète de ces destinataires.

Toutefois, le responsable de traitement peut décider de communiquer seulement les catégories des destinataires dans deux cas précis :

Lorsqu’il est impossible pour lui d’identifier les destinataires ;
Lorsqu’il démontre que la demande d’accès est excessive ou infondée

En quoi cette solution est-elle porteuse de changements ?

La CJUE, à travers cet arrêt, renforce non seulement le droit des personnes concernées, mais également les obligations du responsable de traitement.

En effet, la Cour reste alignée aux principes du droit à la protection des données : Accorder le droit aux personnes concernées d’accéder aux données personnelles le concernant qui ont été collectées et en vérifier la licéité.

Sans grande surprise, les juges européens ne font qu’appliquer les dispositions du considérant 63 du RGPD, qui explicitent que les personnes concernées doivent être en mesure de connaître et de se faire communiquer l’identité des destinataires de leurs données personnelles.

La CJUE reste toutefois vigilante, et rappelle que le droit d’accès n’est pas absolu, étant donné qu’il doit être mis en balance avec d’autres droits fondamentaux.

Cette solution représente donc un certain intérêt pour les personnes concernées, dans un contexte où la CNIL se voit plus souvent sollicitée pour des demandes liées à l’exercice d’un droit [4] et une contrainte supplémentaire à prendre en compte par les responsables de traitement.

Que faut-il retenir ?

Dans le cadre du droit d’accès, les personnes concernées peuvent demander au responsable de traitement l’identité des destinataires de leurs données personnelles ;

Nous recommandons aux responsables de traitement de prendre en compte cette exigence dans les contrats qu’ils signent avec leur prestataire, en particulier les contrats d’hébergement, SaaS ou Cloud.

Claudia Weber, avocat fondateur et Philippe Zanon, stagiaire élève avocat | ITLAW Avocats

Besoin d’accompagnement pour négocier votre contrat d’hébergement, SaaS ou Cloud ? ou pour gérer un litige relatif aux données à caractère personnel ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle ainsi que sa connaissance de l’écosystème IT pour vous accompagner dans la sécurisation de vos projets, la gestion des dérapages et votre compliance.