RGPD : les entreprises doivent fournir l’identité des destinataires des données personnelles

0

Dans un arrêt du 12 janvier, la Cour de justice de l’Union européenne a confirmé qu’un utilisateur était en droit de demander au responsable de traitement la transmission de l’identité des destinataires de ses données personnelles. Une clarification du RGPD assortie de quelques limites. (Photo : JC)

Le RGPD a plus de 4 ans d’application, mais son interprétation reste source de conflit. Régulièrement, la Cour de justice de l’Union européenne peaufine sa jurisprudence autour de ce texte. C’est le cas de l’affaire C-154/21 opposant la poste autrichienne (österreichische Post) à un citoyen qui souhaitait connaître l’identité des destinataires de ses données personnelles au nom du RGPD. En réponse, le service postal lui a simplement rappelé qu’il « propose ces données à des partenaires commerciaux à des fins marketing », sans lui donner leur identité.

L’utilisateur a alors saisi la justice autrichienne. Après quoi, la Poste l’a informé avoir transféré ses données personnelles à « des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques ». Il n’avait cependant toujours obtenu l’identité exacte des destinataires. La justice autrichienne a lancé une procédure de question préjudicielle auprès de la CJUE pour savoir si le RGPD « obligeait » le responsable de traitement à transmettre l’identité exacte des partenaires commerciaux.

Respect des autres droits couverts par le RGPD

Et la réponse de la juridiction communautaire est sans ambiguïté. « Lorsque les données à caractère personnel ont été ou seront communiquées à des destinataires, le responsable du traitement est obligé de fournir à la personne concernée, sur sa demande, l’identité même de ces destinataires ». Cette obligation est rendue nécessaire selon la Cour pour que l’utilisateur puisse exercer d’autres droits couverts aussi par le RGPD. Elle cite par exemple le droit d’opposition, à l’oubli ou de recours en cas de dommage subi.

Pour autant, l’obligation est assortie de limitations, comme le rappelle la CJUE. Elle fixe deux cas : quand il n’est pas encore possible d’identifier les destinataires ou quand la demande est jugée excessive ou infondée. Sur le premier point, le responsable de traitement peut alors indiquer uniquement les catégories des destinataires. Elle se garde bien cependant de juger sur le bienfondé des ces deux cas laissant les juridictions nationales statuer.

Jacques Cheminat 

Retrouvez l’article original sur le site de notre publication sœur Le Monde Informatique

Partager