Du nouveau sur le droit d’accès aux données personnelles : CJUE, 12 janvier 2023, C 154/21

Désormais, l’identité des personnes destinataires des données doit être fournie à une personne exerçant son droit d’accès.

En effet, en vertu de l’article 15 du RGPD, toute personne dispose d’un droit d’accès aux données personnelles qu’une entité détient le concernant.

Ce droit d’accès permet plus précisément, à toute personne d’obtenir du responsable du traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi que les informations liées aux modalités de traitement et notamment les destinataires ou catégories de destinataires auxquels ces données ont été ou seront communiquées.

La CJUE, sur question préjudicielle, vient de souligner que le droit d’accès doit être interprété en ce sens que celui-ci impose au responsable de traitement de fournir l’identité des destinataires des données de la personne concernée, sauf impossibilité ou demandes infondées ou excessives au sens de l’article 12, paragraphe 5 du RGPD, auquel cas, les seules catégories de destinataires peuvent être fournies à la personne exerçant son droit d’accès.

« Le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition,implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.» (CJUE, 12 janvier 2023, C 154/21)

Dans cette affaire, le principal opérateur des services postaux autrichien s’était contenté d’indiquer, à la personne exerçant son droit d’accès, « que ses données avaient été traitées à des fins marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques » et n’avait donc pas fourni l’identité des destinataires concrets des données.

Les juridictions de première instance et d’appel avaient débouté la personne de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.

C’est dans ce contexte que la Cour suprême autrichienne saisie du litige a interrogé la CJUE afin de savoir si le droit d’accès prévu par le RGPD implique, lorsque des données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à la personne concernée l’identité concrète de ces destinataires.

Tout en rappelant que l’exercice de ce droit d’accès doit permettre à la personne concernée d’exercer ses autres droits reconnus par le RGDP (tels que le droit à la rectification, le droit à l’effacement, le droit d’opposition), la Cour consacre donc ici l’obligation pour le responsable de traitement d’informer la personne concernée de l’identité des destinataires de ses données personnelles, sauf impossibilité ou demandes manifestement infondées ou excessives de la personne.

L’on peut regretter ici que la Cour n’ait pas plus mis en balance son affirmation avec la protection des données personnelles des tiers, même si elle indique que « le droit à la protection des données à caractère personnel n’est pas un droit absolu ».

Selon nous, il convient de déduire seulement de cette décision que dans le cadre d’une réponse à une demande de droit d’accès, un organisme doit citer le nom des entreprises auxquelles il transfère des données, et non l’identité exacte des personnes physiques qui les traitent.

A cet égard, le Conseil d’Etat a considéré que l’article 15 du RGPD n’a « ni pour objet, ni pour effet d’autoriser une personne à connaître l’identité des agents publics ou des salariés ayant consulté les données à caractère personnel la concernant dans l’exercice de leurs fonctions au sein de la personne morale ou du service destinataire » (CE, 24 février 2022, n°447495).

Dans cette affaire, un allocataire avait, dans le cadre de l’exercice de son droit d’accès auprès de la CAF, demandé la communication du journal des connexions de l’outil CAFPRO/CDAP, afin de connaitre l’identité des agents qui avaient eu accès à son dossier d’allocataire.

Face au refus de la CAF de faire droit à sa demande, l’allocataire a déposé une plainte auprès de la CNIL.

Par une décision du 10 juillet 2020, la CNIL a refusé de faire droit à la demande de l’allocataire, au motif que « la transmission des données identifiantes du journal des connexions porterait atteinte aux droits et libertés des agents ».

L’idée sous-jacente est donc de ne pas divulguer de données personnelles de tiers (personnes physiques) à une personne exerçant ses droits RGPD.

Le Conseil d’Etat, saisi par l’allocataire d’un recours pour excès de pouvoir contre la décision de la CNIL,  a ainsi relevé que le droit d’accès aux données personnelles prévu par l’article 15, RGPD ne doit pas porter atteinte aux droits et libertés d’autrui.

« le droit pour une personne, dont les données à caractère personnel sont traitées, d’obtenir une copie de ces dernières, ne doit pas porter atteinte aux droits et libertés d’autrui »

En ce sens, le Conseil d’Etat a considéré que le droit d’accès ne peut permettre la divulgation de l’identité des agents ou salariés ayant consulté des données personnelles dans l’exercice de leurs fonctions au sein de la personne morale ou du service destinataire.

A retenir :

  • Le droit d’accès aux données personnelles inclut le droit d’accès aux destinataires ou aux catégories de destinataires auxquels les données ont été ou seront communiquées : c’est à la personne de bien préciser sa demande ;
  • Le responsable de traitement est ainsi tenu de fournir l’identité concrète des destinataires de ces données ;
  • Le responsable de traitement peut seulement fournir les catégories de destinataires de ces données, en cas d’impossibilité d’identifier ces destinataires (identité non connue par exemple) ou de demandes manifestement infondées ou excessives (demandes à caractère répétitif notamment) ou pour ne pas dévoiler les activités d’autre personnes physiques
  • Il peut être considéré qu’il existe une différence entre l’identité exacte des personnes morales destinataires des données et l’identité exacte des personnes physiques ayant accès à ces données dans le cadre de leur fonction au sein de la personne morale ou du service destinataire ;
  • Il est recommandé au responsable du traitement de tenir une liste complète et à jour des sociétés destinataires de données à caractère personnel afin de pouvoir répondre, le cas échéant, de façon précise aux demandes d’exercice de droit d’accès ;
  • Les mentions imprécises des destinataires de données, telles que « annonceurs dans le secteur de la vente à distance », « entreprises informatiques », « associations », « agences de recrutement »,  etc. sont insuffisantes et il convient désormais de les nommer ;
  • Concernant la rédaction des « politiques de confidentialité », il appartient au responsable de traitement de décider s’il opte pour une liste détaillée ou s’il opte pour les catégories de destinataires.   

Charlotte GALICHET

Marie MUNICCHI

Bookmark the permalink.

Comments are closed