Le Quotidien du 16 janvier 2023 : Données personnelles

[Brèves] Données personnelles : obligation de fournir l’identité des destinataires auxquels les données ont été communiquées

Réf. : CJUE, 12 janvier 2023, aff. C‑154/21 N° Lexbase : A7262874

Lecture: 3 min

N3954BZH

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Données personnelles : obligation de fournir l’identité des destinataires auxquels les données ont été communiquées. Lire en ligne : https://www.lexbase.fr/article-juridique/92345321-breves-donnees-personnelles-obligation-de-fournir-lidentite-des-destinataires-auxquels-les-donnees-o
Copier

par Vincent Téchené

le 16 Janvier 2023

► Le droit d’accès de la personne concernée aux données à caractère personnel la concernant implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives.

Faits et procédure. Un citoyen autrichien a demandé à l’Österreichische Post (le principal opérateur de services postaux et logistiques en Autriche) de lui communiquer l’identité des destinataires auxquels elle avait communiqué ses données personnelles. Il s’est fondé sur le RGPD (Règlement (UE) n° 2016/679, du 27 avril 2016 N° Lexbase : L0189K8I). Ce texte prévoit qu’une personne concernée a le droit d’obtenir du responsable du traitement les informations relatives aux destinataires ou catégories de destinataires auxquels ses données à caractère personnel ont été ou seront communiquées.

En réponse à la demande du citoyen, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données à caractère personnel, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à des partenaires commerciaux à des fins de marketing. Le citoyen a alors assigné l’Österreichische Post devant les juridictions autrichiennes. Au cours de la procédure judiciaire, l’Österreichische Post a encore informé le citoyen que ses données avaient été transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.

Dans le cadre d'un renvoi préjudiciel, l’Oberster Gerichtshof (Cour suprême, Autriche), saisie du litige en dernier ressort, a donc souhaité savoir si le RGPD laisse au responsable du traitement des données le libre choix de communiquer soit l’identité concrète des destinataires, soit uniquement les catégories de destinataires, ou bien s’il offre à la personne concernée le droit de connaître leur identité concrète.

Décision. La Cour de justice répond que, lorsque les données à caractère personnel ont été ou seront communiquées à des destinataires, le responsable du traitement est obligé de fournir à la personne concernée, sur sa demande, l’identité même de ces destinataires. Ce n’est que lorsqu’il n’est pas (encore) possible d’identifier ces destinataires que celui-ci peut se limiter à indiquer uniquement les catégories de destinataires en cause.

C’est également le cas lorsque le responsable démontre que la demande est manifestement infondée ou excessive. La Cour souligne que ce droit d’accès de la personne concernée est nécessaire pour lui permettre d’exercer d’autres droits qui lui sont reconnus par le RGDP, à savoir le droit à la rectification, le droit à l’effacement (« droit à l’oubli »), le droit à la limitation du traitement, le droit d’opposition au traitement ou encore le droit de recours en cas de dommage subi.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:483954

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.