Droit d’accès : faut-il communiquer le nom des destinataires des données ?
Publié le 05/07/2022 par Etienne Wery
Selon le RGPD, lors d’un droit d’accès, il faut communiquer « les destinataires ou catégories de destinataires » des données. Que signifie ce « ou » ? Dans un récent avis, l’avocat général plaide pour une application protectrice : sauf rares exceptions, le responsable doit communiquer la liste spécifique (les noms) des destinataires.
Selon l’article 15 du RGPD, le droit d’accès comprend « (…) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales (…) »
Deux écoles s‘affrontent :
- La première thèse considère que le « ou » bénéficie au responsable de traitement : ce dernier a le choix de communiquer les « catégories de destinataires », ou de donner la liste spécifique (les noms) des destinataires.
- La seconde thèse considère que le « ou » bénéficie à la personne concernée : elle peut se contenter de demander les « catégories de destinataires » mais elle peut aussi décider d’en demander la liste spécifique.
C’est exactement ce qui s’est passé en Autriche où un citoyen exerce son droit d’accès vis-à-vis de la poste (Österreichische Post) qui répond, en substance, qu’elle utilise des données, dans la mesure autorisée par la loi, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle les propose à des partenaires commerciaux à des fins de marketing. Elle a ensuite renvoyé à un site Internet duquel il était possible de déduire des informations générales sur les finalités du traitement des données concernant la personne concernée et qui renvoyait à un autre site Internet. Ce second site Internet contenait, quant à lui, des informations générales sur la protection des données et permettait également de déterminer de manière générale certaines catégories de destinataires auxquels l’Österreichische Post communiquait les données à caractère personnel. Toutefois, à aucun moment l’Österreichische Post n’a révélé à RW les destinataires spécifiques auxquels ses données sont communiquées.
La personne concernée introduit un recours : elle exige davantage d’informations en application de l’article 15 du RGPD, notamment les destinataires spécifiques auxquels ses données à caractère personnel ont été ou seront communiquées.
L’affaire aboutit à la CJUE et l’avocat général vient de rendre son avis, dans lequel il prend la défense de la personne concernée : « le droit d’accès de la personne concernée (…) doit nécessairement s’étendre, si elle le demande, à l’indication des destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives au sens de l’article 12, paragraphe 5, du règlement (UE) 2016/679 ».
Le premier argument invoqué est lié à l’objectif et au contexte de l’article 15 : « il convient d’interpréter cet article en ce sens qu’il prévoit le droit pour la personne concernée de demander, lorsque c’est possible, l’accès aux informations relatives aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. »
L’AG relève aussi que le considérant 63 va dans le même sens : la personne concernée doit « avoir le droit de connaître et de se faire communiquer […] l’identité des destinataires de ces données à caractère personnel ». Pour l’AG, ce considérant « ne mentionne en aucune manière que ce droit pourrait être limité, à la discrétion du responsable du traitement, aux seules catégories de destinataires ».
C’est encore la finalité du RGPD qui est invoquée par l’AG : il faut assurer « un niveau élevé de protection des personnes physiques au sein de l’Union », ce qui implique de privilégier le choix laissé à la personne concernée de demander une liste spécifique de noms.
L’AG fait également un lien avec les autres droits (rectification, effacement, etc.) : comment les exercer vis-à-vis des destinataires si l’on ne peut en connaitre la liste spécifique ?
Pour autant, il y a deux limites que l’AG admet :
Premièrement, dans le cas où il est matériellement impossible de fournir des informations sur les destinataires spécifiques, par exemple parce que ceux-ci ne sont pas encore effectivement connus, il ne saurait, à l’évidence, être exigé du responsable du traitement qu’il communique des informations qui n’existent pas encore.
Deuxièmement, l’exercice du droit d’accès de la personne concernée, et l’accomplissement de l’obligation correspondante incombant au responsable du traitement, doivent être examinés au regard des principes de loyauté et de proportionnalité. L’AG vise l’exercice déraisonnable du droit d’accès.
La Cour est libre de suivre son AG (ce qu’elle fait le plus souvent), mais si elle va dans le même sens il faut s’attendre à de gros soucis car peu de responsables de traitement sont aujourd’hui en capacité de fournir une information aussi précise. Ils devront donc fournir un effort significatif pour adapter leurs systèmes.
Plus d’infos ?
En lisant les conclusions de l’AG, disponibles en annexe.