Par une décision datant du 12 janvier 2023, la CJUE vient préciser l’étendue du droit d’accès des personnes concernées prévu par l’article 15 du RGPD qui impose au responsable de traitement de communiquer les informations sur l’identité de tout destinataire auquel il communique les données ou, le cas échéant, de la catégorie des destinataires de leurs données personnelles.
En l’espèce, un citoyen autrichien (ci-après le demandeur autrichien) s’est rapproché de l’Österreichische Post, une entreprise d’acheminement postal autrichienne (ci-après le responsable de traitement) afin que celle-ci lui donne accès, sur le fondement de l’article 15 du RGPD[1], à ses données personnelles, ainsi qu’à l’identité des destinataires auxquels lesdites données ont pu être communiquées.
Pour rappel, selon l’article 15 du RGPD, le droit d’accès comprend « (…) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ».
Le responsable de traitement s’est contenté d’indiquer au demandeur autrichien les activités pour lesquelles il a traité les données personnelles, sans lui communiquer l’identité des destinataires concrets des données.
Insatisfait de cette réponse, le demandeur a assigné le responsable de traitement aux fins de l’enjoindre à lui fournir l’identité des destinataires de ses données personnelles. Les juridictions autrichiennes ont rejeté ces demandes aux motifs que l’article 15 du RGPD « accordait au responsable de traitement la possibilité d’indiquer seulement à la personne seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel » [2].
Le demandeur autrichien a formé un pourvoi auprès de la Cour suprême autrichienne et celle-ci s’est interrogée sur l’interprétation de l’article 15 du RGPD, dans la mesure où « le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires. ». Compte tenu des divergences d’interprétation, la Cour suprême a posé à la Cour de Justice de l’Union européenne une question préjudicielle portant sur l’interprétation de l’article 15 du RGPD.
En substance, il s’agit de de savoir si le droit d’accès prévu à l’article 15§1, c) du RGPD s’interprète de façon large ou restrictive : le responsable de traitement est-il obligé de fournir à la personne concernée l’identité concrète des destinataires auxquels lesdites données ont été communiquées ?
La CJUE a affirmé que le droit d’accès de la personne concernée implique l’obligation pour le responsable de traitement de lui fournir l’identité même des destinataires, sous réserve de deux exceptions : la méconnaissance des destinataires par le responsable de traitement, ou la démonstration d’une demande manifestement infondée ou excessive.
En effet, la CJUE a confirmé que l’article 15§1 c) du RGPD laisse littéralement le choix, à la personne concernée, et non au responsable de traitement, de demander et surtout d’obtenir, soit des informations sur les destinataires soit sur la catégorie des destinataires à qui ses données personnelles ont été communiquées.
La CJUE a rappelé que l’interprétation d’une telle disposition légale « requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel il s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont il fait partie»[3] et que « lorsqu’une disposition peut faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile » [4].
La CJUE a ensuite souligné que la connaissance de l’identité exacte des destinataires est indispensable pour permettre à la personne concernée de pouvoir exercer ses autres droits tels que son droit à l’effacement, son droit à la rectification ou encore son droit à la limitation. La Cour de Justice vient enfin justement rappeler et confirmer l’objectif du RGPD qui est d’ « assurer un niveau élevé de protection des personnes physiques au sein de l’Union et donc de leurs données personnelles » (Pt 44 de l’arrêt).
Partant, la CJUE a considéré que la personne concernée est en droit d’obtenir du responsable de traitement des informations sur les destinataires concrets.
Toutefois, la CJUE a précisé que le droit d’accès « n’est pas un droit absolu ». Un tel droit doit être exercé en application du principe de proportionnalité et être ainsi « mis en balance avec d’autres droits fondamentaux » (pt 47 de l’arrêt).
A cet égard, la CJUE vient expliquer qu’un responsable de traitement peut être dans l’impossibilité de satisfaire ce droit d’accès :
- parce que le ou les destinataires des données en cause ne sont pas encore connus,
- parce que la demande de la personne concernée est « manifestement infondée ou excessive », auquel cas, le responsable de traitement devra être en mesure de le justifier.
Dans ces hypothèses, la CJUE considère qu’il n’est pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories des destinataires.
Soucieuse de veiller au respect et à la bonne application du RGPD, la CJUE tient à affirmer que le droit d’accès a pour finalité de permettre l’exercice des autres droits offerts par le RGPD, tels que le droit de rectification, d’effacement, à la limitation du traitement, d’opposition. Le droit d’accès, ayant pour objectif d’assurer la transparence sur le traitement et les actions menées sur les données personnelles en cause, doit donc permettre à la personne concernée, sans difficulté, d’exercer ses droits et de contrôler a minima l’utilisation de ses données personnelles.
En pratique, cette décision vient donc confirmer la vigilance particulière qui doit être portée à l’information des personnes concernées. Les responsables de traitement devront prendre toutes les mesures, notamment via la tenue d’un registre des activités de traitement régulièrement mis à jour, pour être en capacité de fournir la liste des destinataires en cas de demande de la personne concernée. Une attention particulière devra en outre être portée à la rédaction des politiques de confidentialité et à la liste des destinataires y figurant.
[1] Article 15 du RGPD intitulé « Droit d’accès de la personne concernée »
[2] CJUE, 12 janvier 2023, C-154/21, Point 21
[3] Pt 29 de l’arrêt (arrêt du 15 mars 2022, Autorité des marché financiers ; C-320/20).
[4] CJUE, 7 mars 2018, C-31/17).