Dans un arrêt rendu le 12 janvier dernier, la CJUE a tranché l’épineuse question de savoir si le responsable de traitement doit, dans le cadre d’une demande de droit d’accès, communiquer l’identité exacte des destinataires des données qu’il traite ou bien seulement les catégories de ces destinataires.
Selon l’article 15 1. b) du RGPD, la personne concernée peut avoir accès à plusieurs informations dont celles concernant « les destinataires ou catégories de destinataires »auxquels les données le concernant ont été communiquées.
Au visa de cet article, un citoyen autrichien a demandé à un opérateur de services postaux et logistiques de lui communiquer l’identité des destinataires auxquels ledit opérateur avait transmis ses données personnelles.
L’opérateur s’étant contenté de lui communiquer les catégories de destinataires, le citoyen a saisi la juridiction autrichienne pour obtenir l’identité exacte desdits destinataires.
La juridiction autrichienne a alors interrogé la CJUE sur le point de savoir si le RGPD laisse au responsable de traitement le libre choix de communiquer (i) l’identité des destinataires ou (ii) seulement les catégories de destinataires.
La CJUE a adopté une position claire : le responsable de traitement à l’obligation de fournir à la personne concernée l’identité même des destinataires auxquelles des données à caractère personnel la concernant sont communiquées.
La CJUE apporte, toutefois, deux exceptions à cette obligation :
1. Si le responsable de traitement ne peut pas (ou pas encore) identifier les destinataires, seules les catégories de destinataires peuvent être indiquées ;
2. Si la demande est manifestement infondée ou excessive.
Pour justifier une telle solution, les juges européens ont notamment souligné que le droit d’accès est nécessaire pour l’exercice d’autres droits par la personne concernée (droit d’opposition, droit à la limitation, droit de recours, etc.).
Tout responsable de traitement doit donc être particulièrement vigilant dans la réponse à apporter aux demandes de droits d’accès, les informations sur les destinataires de données devant, par principe, être plus précises (identité concrète des destinataires) que celles devant être fournies pour respecter l’obligation d’information prévues par les articles 13 et 14 du RGPD (pouvant se limiter, par principe, aux catégories des destinataires).
Lien vers la décision : ici