Lettre de la DAJ – L’identité des destinataires des données à caractère personnel doit être communiquée

Le droit d’accès de la personne concernée aux données à caractère personnel la concernant prévu par le RGPD implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité de ces destinataires.

La Cour de justice de l’Union européenne (CJUE) a été saisie d’une question préjudicielle dans le cadre d’un litige relatif à une demande d’accès à des données à caractère personnel.

Dans l’affaire C154/21 du 12 janvier 2023 est abordée la question de l’interprétation de l’article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus communément connu sous l’appellation règlement général sur la protection des données (RGPD).

En application de ces dispositions, la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales.

La question est, en l’espèce, de savoir si l’article 15 du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité de ces destinataires.

La CJUE rappelle qu’elle avait déjà affirmé que l’exercice du droit d’accès octroyé par le RGPD doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite, notamment qu’elles ont été communiquées à des destinataires autorisés.

Ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, à l’effacement et à la limitation du traitement, reconnus par les articles 16, 17 et 18 du RGDP, ainsi que son droit dopposition au traitement de ses données à caractère personnel (article 21 du RGPD) et son droit de recours en cas de dommage subi (articles 79 et 82 du RGPD).

Ainsi, afin de garantir l’effet utile de l’ensemble de ces droits, la Cour estime que la personne concernée doit pouvoir disposer d’un droit à être informée de l’identité des destinataires dans le cas où ses données à caractère personnel ont déjà été communiquées.

La Cour précise que les informations fournies à la personne concernée au titre du droit d’accès doivent être les plus exactes possibles tout en laissant à la personne concernée le choix d’obtenir de la part du responsable du traitement soit des informations sur les destinataires spécifiques soit des informations concernant les catégories de destinataires.

Cependant, la CJUE apporte une nuance, si le droit d’accès de la personne concernée aux données à caractère personnel la concernant prévu par le RGPD implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, c’est à la condition qu’il ne soit pas impossible d’identifier ces destinataires ou que ledit responsable du traitement n’ait pas démontré que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, auquel cas il pourra se contenter d’indiquer les catégories de destinataires en cause.

Télécharger l'article (pdf - 79,8Ko)

Image du logo de la Lettre de la DAJ