Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées.
Source
L’article 15 du RGPD relatif à l’exercice du droit d’accès dispose que :
« La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
(…) c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées… »
Faisant usage de cette disposition, un citoyen autrichien avait demandé au principal opérateur des services postaux de son pays de lui communiquer l’identité des destinataires auxquels ses données personnelles avaient été communiquées.
En réponse, ledit opérateur s’était limité à indiquer qu’il utilisait des données à caractère personnel dans le cadre de ses activités et dans le respect des textes en vigueur, sans autre précision si ce n’est que ces mêmes données étaient également transmises à ses partenaires commerciaux à des fins marketing.
Assignée en justice, l’Österreichische Post se limitait toujours à informer ce client que ses données avaient notamment été transmises à des annonceurs dans le secteur de la vente par correspondance et le commerce physique, à des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales ou des partis politiques, sans les désigner nommément.
Saisie en dernier ressort, la Cour suprême autrichienne interrogeait la CJUE par voie préjudicielle quant à l’interprétation qui devait être donnée au RGPD s’agissant de laisser ou non le choix au responsable du traitement de communiquer l’identité réelle des destinataires visés à l’article 15 précité, ou de limiter sa réponse à désigner simplement les catégories de ces destinataires.
Dans son arrêt du 12 janvier 2023 (affaire C-154/21), la Cour répond sans ambiguïté que le responsable du traitement est obligé de fournir à la personne concernée, sur sa demande, l’identité précise des destinataires lorsque des données à caractère personnel ont été ou leur seront communiquées.
La Cour précise ensuite le champ des exceptions à ce principe :
- Lorsque l’identification des destinataires n’est pas encore possible. Dans ce cas, le responsable du traitement peut se limiter à indiquer uniquement les catégories en cause ;
- Lorsque le responsable démontre que la demande est manifestement infondée ou excessive.
La CJUE en profite pour rappeler que le droit d’accès de la personne concernée est nécessaire pour lui permettre d’exercer d’autres droits qui lui sont reconnus par le RGPD tels que le droit à la rectification, à l’effacement, à la limitation du traitement ou encore à l’opposition au traitement.