Juridique

RGPD : les destinataires des données personnelles doivent être identifiés

La Cour de justice de l'UE est intervenue dans un litige entre un particulier et les postes autrichiennes portant sur la transmission de données à des tiers. (Photo : D.R.)

En réponse à une demande d'accès, les entreprises doivent fournir la liste nominative des partenaires à qui elles ont cédé des données personnelles, tranche la Cour de justice de l'UE, levant une ambiguïté du RGPD.

PublicitéUn RGPD qui s'étend à la communication de données à des tiers. La décision prise par la Cour de justice de l'UE (CJUE), portant sur un litige entre un particulier et les postes autrichiennes, est lourde de répercussions pour nombre d'entreprises européennes. Sur le fondement de l'article 15 portant sur le droit d'accès aux traitements relatifs à ses données personnelles, un particulier a demandé à l'Österreichische Post l'identité des tiers à qui ses données avaient été communiquées. En réponse, la société s'est bornée à répliquer qu'effectivement, « elle propose ces données à caractère personnel à des partenaires commerciaux », sans dévoiler les noms desdits partenaires, mais uniquement la catégorie dont relève leurs activités.
Débouté en première instance et en appel - l'article 15 du RGPD se référant en effet à des « destinataires ou catégories de destinataires » -, le plaignant a persévéré et porté sa procédure devant la Cour suprême autrichienne, qui s'est interrogée sur l'interprétation de cet article, afin de clarifier quel niveau de détail est en droit de solliciter un individu sur les accès à ses données personnelles. Saisie du sujet, la CJUE tranche en faveur du plaignant en relevant, notamment, qu'une interprétation restrictive de l'article 15 revient à priver les demandeurs d'autres droits prévus par le règlement européen (en particulier des droits à rectification ou à l'oubli).

Cette lecture conduit la Cour à écrire que le droit d'accès « implique, lorsque ces données ont été ou seront communiquées à des destinataires, l'obligation pour le responsable du traitement de fournir [au demandeur] l'identité même de ces destinataires ». Donc il n'est plus possible de répondre à une demande d'accès en se contentant de fournir des catégories de prestataires à qui lesdites données ont été revendues ou fournies dans le cadre de partenariats. A moins, précise la Cour, « qu'il ne soit impossible d'identifier ces destinataires » - ce qui paraît pour le moins surprenant au regard des autres dispositions du RGPD - ou que les demandes d'accès soient infondées ou excessives, au sens de l'article 12 de ce même règlement.