Le 12 janvier 2023, dans un affaire opposant la Poste autrichienne à un individu, la Cour de justice de l'Union européenne a répondu à une question préjudicielle concernant l'étendue de l'obligation d'information sur le traitement de données à caractère personnel dans le cadre d'une demande d'accès aux données personnelles.
💡 La question était de savoir si le RGPD laisse au responsable du traitement des données le libre choix de communiquer soit l’identité concrète des destinataires, soit uniquement les catégories de destinataires, ou bien s’il offre à la personne concernée le droit de connaître leur identité concrète.
L'obligation d'informer sur l'identité précise des destinataires
L'article 15 du RGPD oblige les responsables de traitement à fournir aux personnes concernées les informations relatives aux destinataires ou aux catégories de destinataires des données à caractère personnel.
Cela permet à la personne concernée par le traitement d'exercer ses autres droits découlant du RGPD (limitation, suppression, rectification).
La Cour de justice considère, comme le recommande le CEPD dans ses lignes directrices sur la transparence, qu'il faut indiquer l'identité concrète des destinataires. . En effet, cela garantit la transparence et la sécurité des données. Ces destinataires peuvent être des fournisseurs de services, des prestataires de services, des partenaires commerciaux ou des autorités compétentes.
Par exemple, quand les données sont transmises à des partenaires commerciaux à des fins de prospection, la personne concernée doit pouvoir contacter ces partenaires pour exercer son droit d'opposition.
Elle précise néanmoins que le responsable du traitement peut se limiter à indiquer les catégories de destinataires à certaines conditions.
Les exceptions à cette obligation
D'après la CJUE, le responsable de traitement doit donc indiquer l'identité des destinataires, et ne peut se contenter d'indiquer leurs catégories.
Il peut cependant ne pas communiquer l'identité des destinataires dans deux cas :
- l'identification n’est pas possible, ou
- la demande de la personne concernée est manifestement infondée ou excessive.
Dans tous les cas, il est quand même tenu de fournir des informations sur les catégories de destinataires à la personne concernée.
La nécessité de connaître et piloter les destinataires
L'obligation d'indiquer les destinataires des données personnelles est l'une des obligations principales du RGPD pour assurer la transparence.
Les responsables de traitement doivent prendre des mesures pour s'assurer que les informations sur les destinataires des données personnelles sont précises, complètes et à jour afin de respecter leurs obligations en matière de protection des données.
Il est ainsi absolument nécessaire de pouvoir cartographier précisément tous les destinataires des données personnelles.
Profitez d'un logiciel RGPD de pilotage et de supervision des données pour identifier les destinataires des données personnelles et mettre à jour leurs informations facilement. Dastra vous permet de facilement gérer et surveiller le traitement des données personnelles.