Dans un arrêt du 12 janvier 2023, la Cour de justice de l’Union européenne (ci-après « CJUE », ou « la Cour ») précise l’étendue du droit d’accès, consacré par l’article 15 du Règlement Général sur la Protection des Données (ci-après « RGPD »).
Plus précisément, l’article 15 paragraphe 1, c), du RGPD prévoit que la personne dont les données à caractère personnel font l’objet d’un traitement, et ont été communiquées à des tiers, a le droit d’obtenir du responsable de traitement les informations relatives « aux destinataires ou catégories de destinataires » en cause.
Comment le droit d’accès doit-il être interprété au regard de l’article 15 paragraphe 1, c) du RGPD ?
Le responsable de traitement doit-il communiquer aux personnes concernées l’identité exacte des destinataires auxquels leurs données personnelles ont été communiquées ? Ou peut-il choisir de communiquer seulement la catégorie de destinataires ?
Le droit à la protection des données à caractère personnel est-il un droit absolu ?
Quels sont les faits ?
Un citoyen autrichien demande à un opérateur de services postaux et logistiques de lui communiquer, sur le fondement de l’article 15 du RGPD, les données à caractère personnel traitées le concernant. En outre, il souhaite obtenir, si ses données ont été communiquées à des tiers, l’identité de ces destinataires.
A cela, l’opérateur répond tout d’abord qu’il traite des données à caractère personnel le concernant dans le cadre de son activité d’éditeur d’annuaires téléphoniques. De plus, il précise qu’il propose ces données à des partenaires commerciaux à des fins de marketing, sans communiquer l’identité exacte de ces partenaires.
Le citoyen assigne l’opérateur devant les juridictions autrichiennes, en demandant qu’il soit fait injonction à ce dernier de lui fournir l’identité des destinataires auxquels ses données ont été communiquées. Il se fonde sur l’article 15 du RGPD, paragraphe 1, c).
Les juridictions de première instance et d’appel le déboutent de son recours, au motif que l’article 15 paragraphe 1, c) du RGPD autorise le responsable de traitement à indiquer seulement à la personne concernée les catégories de destinataires, et non leur identité précise.
Le citoyen introduit alors un pourvoi en révision auprès de la Cour suprême d’Autriche.
Cette juridiction s’interroge quant à l’interprétation de l’article 15 paragraphe 1, c), dans la mesure où le libellé de cette disposition ne précise pas clairement si le responsable de traitement est libre de choisir s’il communique, ou non, l’identité exacte des destinataires des données personnelles aux personnes concernées.
Pour cette raison, la Cour suprême d’Autriche a saisi la CJUE d’un renvoi préjudiciel, et l’interroge sur la juste interprétation à avoir, concernant l’article 15 para 1 c) du RGPD par une question pouvant être reformulée comme suit :
Devons-nous considérer que lorsque des données à caractère personnel n’ont pas encore été communiquées à des tiers, le responsable du traitement peut, en réponse à un droit d’accès, se limiter aux catégories de destinataires mais que si une communication a eu lieu alors le responsable du traitement a l’obligation de fournir aux personnes concernées par le traitement, l’identité concrète des destinataires ?
Quelle est la réponse de la Cour ? Quelle étendue donne t-elle au droit d’accès ?
La Cour de justice répond à la question préjudicielle en affirmant que, lorsque des données à caractère personnel ont été – ou seront – communiquées à des tiers, le responsable du traitement doit fournir à la personne concernée, sur sa demande, l’identité même de ces destinataires.
La Cour prévoit deux exceptions à ce principe. En effet, le responsable de traitement peut décider de communiquer seulement les catégories de destinataires en cause à la personne concernée si :
- Il est impossible d’identifier lesdits destinataires ;
- Le responsable de traitement parvient à démontrer que la demande d’accès est excessive ou infondée.
Sur quels arguments la CJUE fonde t-elle son interprétation ?
Tout d’abord, la CJUE relève qu’il existe bien un doute quant à l’interprétation de l’article 15 paragraphe 1, c) du RGPD. En effet, les termes de « destinataires » ou « catégories de destinataires » sont utilisés sans qu’il soit possible de déduire un ordre de priorité entre les deux.
A la lecture de cet article, il est impossible de déterminer si la personne concernée, dont les données personnelles ont été – ou seront – communiquées à des tiers, a le droit d’exiger que le responsable de traitement l’informe sur l’identité concrète des destinataires.
La Cour de justice décide alors d’interpréter cet article à la lumière de différentes considérations :
- La première a été mise en avant par Monsieur l’avocat général dans ses conclusions. La Cour s’en inspire, et rappelle que le considérant 63 du RGPD prévoit que la personne concernée doit avoir le droit d’obtenir du responsable de traitement l’identité des destinataires auxquels ses données à caractère personnel ont été communiquées. Il n’est nullement mentionné que ce droit pourrait être limité aux seules catégories de destinataires.
- Par ailleurs, la Cour précise que l’exercice du droit d’accès doit être conforme aux principes énoncés à l’article 5 du RGPD, comprenant notamment le principe de transparence. Or, ce principe de transparence implique que la personne concernée ait accès, de façon claire et compréhensive, aux informations relatives à la manière dont ses données sont traitées. L’identité exacte des destinataires est sans aucun doute comprise dans ces informations.
- La CJUE rappelle que plusieurs droits découlent de l’exercice de ce droit d’accès, à savoir : le droit à la rectification (article 16 RGPD), le droit à l’effacement (article 17), le droit à la limitation du traitement (article 18) ou encore le droit d’opposition au traitement de ses données à caractère personnel (article 21). Ainsi, afin que l’ensemble de ces droits puisse être correctement exercé, il est nécessaire que la personne concernée soit informée de l’identité concrète des destinataires auxquels ses données personnelles ont été communiquées.
- Enfin, la Cour rappelle qu’une telle interprétation du droit d’accès coïncide avec la lecture de l’article 19 du RGPD, qui prévoit, en sa deuxième phrase, que « le responsable de traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande ».
Pour les raisons ci-dessus exposées, la Cour de justice considère que l’article 15, paragraphe 1, c) du RGPD est destiné à garantir la transparence des modalités de traitement de données à caractère personnel. Pour cela, les informations sur l’identité des tiers auxquels les données ont été – ou seront – communiquées doivent être les plus exactes possibles. L’identité de ces destinataires doit alors être transmise à toute personne concernée qui en fait la demande.
Le droit à la protection des données personnelles : un droit absolu ?
En dernier lieu, la Cour rappelle que le droit à la protection des données à caractère personnel n’est pas un droit absolu. Au contraire, conformément au principe de proportionnalité, ce droit doit être mis en balance avec d’autres droits fondamentaux.
Dans certaines situations, il ne pourra être reproché au responsable de traitement de ne fournir à la personne concernée que des catégories de destinataires. Tel est le cas, par exemple, quand l’identité exacte des destinataires n’est pas encore connue.
Par ailleurs, le responsable de traitement peut aussi refuser de transmettre l’identité des destinataires lorsqu’il considère – et qu’il parvient à démontrer – que la demande de la personne concernée qui souhaite obtenir l’identité des destinataires est manifestement infondée ou excessive.
Par cet arrêt, la CJUE consolide le droit d’accès de la personne concernée, et renforce les obligations du responsable de traitement à son égard.