Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées, à moins qu'il soit impossible pour le responsable du traitement d’identifier les destinataires concernés ou que la demande soit manifestement infondée ou excessive.Se fondant sur le règlement 2016/679 du 27 avril 2016 (règlement général sur la protection des données - RGPD), un citoyen autrichien a demandé à l’Österreichische Post, principal opérateur de services postaux et logistiques du pays, de lui communiquer l’identité des destinataires auxquels elle avait communiqué ses données personnelles.
Ce règlement prévoit en effet qu’une personne concernée a le droit d’obtenir du responsable du traitement les informations relatives aux destinataires ou catégories de destinataires auxquels ses données à caractère personnel ont été ou seront communiquées.
L’Österreichische Post s'étant limitée à indiquer qu’elle propose des données à caractère personnel à des partenaires commerciaux à des fins de marketing, le citoyen l'a assigné en justice.Au cours de la procédure, l’opérateur a informé le citoyen que ses données avaient été transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
Saisie du litige en dernier ressort, la Cour suprême autrichienne a souhaité savoir si le RGPD laissait au responsable du traitement des données le libre choix de communiquer soit l’identité concrète des destinataires, soit uniquement les catégories de destinataires.
Dans son arrêt rendu le 12 janvier 2023 (affaire C-154/21), la CJUE répond que lorsque les données à caractère personnel ont été ou seront communiquées à des destinataires, le responsable du traitement est obligé de fournir à la personne concernée, sur sa demande, l’identité même de ces destinataires.Ce n’est que lorsqu’il n’est pas (encore) possible d’identifier ces destinataires que celui-ci peut se limiter à indiquer uniquement les catégories de destinataires en cause. C’est également le cas lorsque le responsable démontre que la demande est manifestement infondée ou excessive.
SUR LE MEME SUJET :
CJUE : étendue du droit d’accès aux données personnelles - Legalnews, 26 juillet 2022
