Depuis l’entrée en vigueur du RGPD, il a été à l’origine de nombreux débats et conflits quant à son interprétation et sa mise en application. Régulièrement, la Cour de justice de l’Union européenne peaufine sa jurisprudence autour de ce texte pour clarifier certaines de ses dispositions.
RGPD destinataires données personnelles identifiés
C’est le cas de l’affaire C-154/21 opposant la poste autrichienne (österreichische Post) à un citoyen qui souhaitait connaître l’identité des destinataires de ses données personnelles au nom du RGPD. En réponse, le service postal lui a simplement rappelé qu’il « propose ces données à des partenaires commerciaux à des fins marketing », sans lui donner leur identité précise.
L’utilisateur a alors saisi la justice autrichienne et a pu obtenir que ses informations personnelles avaient été transmises à « des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques ». Mais toujours pas l’identité exacte des destinataires. La justice autrichienne a alors lancé une procédure de question préjudicielle auprès de la CJUE pour savoir si le RGPD « obligeait » le responsable de traitement à transmettre l’identité exacte des partenaires commerciaux.
Et la réponse de la juridiction communautaire est sans ambiguïté. « Lorsque les données à caractère personnel ont été ou seront communiquées à des destinataires, le responsable du traitement est obligé de fournir à la personne concernée, sur sa demande, l’identité même de ces destinataires ». Cette obligation est rendue nécessaire selon la Cour pour que l’utilisateur puisse exercer d’autres droits couverts aussi par le RGPD. Elle cite par exemple le droit d’opposition, à l’oubli ou de recours en cas de dommage subi.
Cependant, l’obligation est assortie de limitations, comme lorsqu’il n’est pas encore possible d’identifier les destinataires ou quand la demande est jugée excessive ou infondée. Dans ce cas, le responsable de traitement peut indiquer uniquement les catégories des destinataires. La CJUE laisse cependant aux juridictions nationales le soin de statuer sur le bien-fondé de ces cas.
RGPD destinataires données personnelles identifiés
Il est important de noter que cette décision de la CJUE renforce les droits des individus en matière de protection de leurs données personnelles. Elle permet aux personnes concernées de connaître l’identité des destinataires de leurs données personnelles, ce qui leur permet d’exercer leurs autres droits tels que le droit d’opposition ou de recours en cas de dommage subi. Cela permettra aux personnes concernées de mieux comprendre comment leurs données sont utilisées et d’avoir un meilleur contrôle sur la façon dont leurs informations personnelles sont utilisées.
Cependant, il est important de souligner que cette décision ne s’applique qu’aux cas où les données personnelles ont été ou seront communiquées à des destinataires. Pour les autres cas, c’est aux juridictions nationales de statuer sur l’application de cette disposition.
En outre, cette décision montre l’importance de choisir des partenaires commerciaux qui respectent les normes de confidentialité et de sécurité des données, et de s’assurer que les politiques de confidentialité de ces partenaires sont transparentes et compréhensibles pour les utilisateurs. Les entreprises doivent également s’assurer qu’elles ont une bonne compréhension de leurs obligations en vertu du RGPD et qu’elles prennent les mesures appropriées pour protéger les données personnelles de leurs utilisateurs.
