Selon le RGPD, lors d’un droit d’accès, il faut communiquer « les destinataires ou catégories de destinataires » des données. A qui appartient le choix : au responsable ou à la personne concernée ? Dans un récent avis, l’avocat général plaide pour une application large : sauf rares exceptions, le responsable doit communiquer la liste spécifique (les noms) des destinataires.
Selon l’article 15 du RGPD, le droit d’accès comprend « (…) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales (…) »
Deux écoles s‘affrontent :
C’est exactement ce qui s’est passé en Autriche où un citoyen exerce son droit d’accès vis-à-vis de la poste (Österreichische Post) qui répond, en substance, qu’elle utilise des données, dans la mesure autorisée par la loi, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle les propose à des partenaires commerciaux à des fins de marketing. Elle a ensuite renvoyé à un site Internet duquel il était possible de déduire des informations générales sur les finalités du traitement des données concernant la personne concernée et qui renvoyait à un autre site Internet. Ce second site Internet contenait, quant à lui, des informations générales sur la protection des données et permettait également de déterminer de manière générale certaines catégories de destinataires auxquels l’Österreichische Post communiquait les données à caractère personnel. Toutefois, à aucun moment l’Österreichische Post n’a révélé à RW les destinataires spécifiques auxquels ses données sont communiquées.
La personne concernée introduit un recours : elle exige davantage d’informations en application de l’article 15 du RGPD, notamment les destinataires spécifiques auxquels ses données à caractère personnel ont été ou seront communiquées.
L’affaire aboutit à la CJUE et l’avocat général vient de rendre son avis, dans lequel il prend la défense de la personne concernée : « le droit d’accès de la personne concernée (…) doit nécessairement s’étendre, si elle le demande, à l’indication des destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives au sens de l’article 12, paragraphe 5, du règlement (UE) 2016/679 ».
Le premier argument invoqué est lié à l’objectif et au contexte de l’article 15 : « il convient d’interpréter cet article en ce sens qu’il prévoit le droit pour la personne concernée de demander, lorsque c’est possible, l’accès aux informations relatives aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. »
L’AG relève aussi que le considérant 63 va dans le même sens : la personne concernée doit « avoir le droit de connaître et de se faire communiquer […] l’identité des destinataires de ces données à caractère personnel ». Pour l’AG, ce considérant « ne mentionne en aucune manière que ce droit pourrait être limité, à la discrétion du responsable du traitement, aux seules catégories de destinataires ».
C’est encore la finalité du RGPD qui est invoquée : il faut assurer « un niveau élevé de protection des personnes physiques au sein de l’Union ».
L’AG fait également un lien avec les autres droits (rectification, effacement, etc.) : comment les exercer vis-à-vis des destinataires si l’on ne peut en connaitre la liste spécifique ?
Pour autant, il y a deux limites que l’AG admet :
En lisant les conclusions de l’AG, disponibles en annexe.