Cour de Justice de l'Union Européenne
Arrêt du 12 janvier 2023 | Première Chambre | Affaire C-154/21 «Österreichische Post»
| Informations sur les destinataires de données personnelles vendues aux fins de publicité |
Toute personne a le droit de savoir le plus précisément à qui ses données personnelles ont été communiquées.
” Lorsque les données à caractère personnel ont été ou seront communiquées à des destinataires, le responsable du traitement est obligé de fournir à la personne concernée, sur sa demande, l’identité même de ces destinataires. Ce n’est que lorsqu’il n’est pas (encore) possible d’identifier ces destinataires que celui-ci peut se limiter à indiquer uniquement les catégories de destinataires en cause. C’est également le cas lorsque le responsable démontre que la demande est manifestement infondée ou excessive.
La Cour souligne que ce droit d’accès de la personne concernée est nécessaire pour lui permettre d’exercer d’autres droits qui lui sont reconnus par le RGDP, à savoir le droit à la rectification, le droit à l’effacement (« droit à l’oubli »), le droit à la limitation du traitement, le droit d’opposition au traitement ou encore le droit de recours en cas de dommage subi”
| Question préjudicielle de la Cour Suprême d’Autriche | RW c. Poste Autrichienne | ECLI:EU:C:2023:3 |
DESTINATAIRES DES DONNEES PERSONNELLES – ARTICLE 15 (1)(c) RGPD
Dans cette affaire, le requérant avait fait usage auprès de la poste Autrichienne de “son droit d’accès”, aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci, et, en cas de communication des données à des tiers, l’identité de ces derniers.
En réponse, l’Österreichische Post s’est limitée à indiquer, qu’elle utilisait des données dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle proposait ces données à caractère personnel à des partenaires commerciaux à des fins de marketing, renvoyant le requérant pour le surplus, à un site Internet pour obtenir davantage d’information sur les autres finalités, et ne communiquant aucune information précise sur l’identité des destinataires de ses données.
Le requérant a alors assigné la Poste devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité distincte de l’ensemble des destinataires de ses données ainsi communiquées.
En effet, le requérant avait appris dans le cadre de sa demande, que ses données avaient été transmises à des clients de la poste autrichienne, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
Débouté en première instance et en cause d’appel, le requérant s’est pourvu devant la Cour Suprême Autrichienne (Oberster Gerichtshof) et celle-ci a sollicité la CJUE par voie préjudicielle aux fins d’interprétation des dispositions de l’article 15 (1) (c) “dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives à l’identité concrète des destinataires des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires”.
Suivant en grande partie les conclusions de l’avocat général et aux termes d’une analyse textuelle et contextuelle visant à promouvoir la plus grande des transparences dans les modalités de traitement des donnéesà caractère personnel au profit des personnes concernées, la Cour, sur les fondements combinés des considérants 4, 9, 10, 39, 63 et 74, et des articles 1, 5, 12, 13, 14, 15, 16, 17, 18, 19, 21, 79 et 82 du RGPD, dit pour droit que l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 doit être interprété en ce sens que :
«Le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause» .
Par ses attendus qui feront vraisemblablement date et seront sources de débats doctrinaux et jurisprudentiels sur les plans nationaux, la Cour vient de se prononcer clairement en faveur d’une interprétation “radicale” de l’obligation de communiquer l’identité précise des destinataires de données à caractère personnel communiquées à des tiers par un responsable de traitement, faisant peser sur ces derniers une charge conséquente et contraignante, sur les plans organisationnel et économique, à première demande d’une personne concernée.
La Cour souligne que ce droit d’accès de la personne concernée est nécessaire pour lui permettre d’exercer d’autres droits qui lui sont reconnus par le RGPD, à savoir le droit à la rectification, le droit à l’effacement (« droit à l’oubli »), le droit à la limitation du traitement, le droit d’opposition au traitement ou encore le droit de recours en cas de dommage subi“.
La position de la Cour pourra apparaître contraignante pour les responsables de traitement, pour le moins et en pratique, obligeant ce dernier à être parfaitement diligent en renseignant en temps et en heure son registre des traitements.
Cela va, d’ailleurs, dans le sens de la “transparence” des traitements de données personnelles, pierre angulaire du RGPD: à ce propos, là où le bât blesse, c’est que l’exigence de la CJUE dans l’effectivité de cette “transparence” peut être sinon contraignante – sur le plan de la gestion – du moins, “préjudiciable” aux intérêts du responsable de traitement qui ne souhaiterait pas révéler “à n’importe quelle personne concernée” – à savoir, en particulier, à un concurrent agissant sous couvert d’une demande de droit d’accès aux informations détaillées concernant les destinataires des données- la liste complète de ses partenaires commerciaux…
La Cour – tout en suivant ses conclusions – se montre ainsi plus radicale encore que son Avocat Général, à savoir, qu’à la différence de ce dernier (qui n’imposait la communication détaillée de la liste des destinataires qu’à la condition que la personne concernée en fasse spécialement la demande) elle impose, par principe, une communication détaillée des informations concernant chacun des destinataires, même si ce niveau de détail n’a pas été sollicité par la personne concernée.