RGPD : les destinataires des données personnelles doivent être identifiés
logo site
icon recherche
INFO FLASH
Une mini-hausse pour le SP98 jeudi au Luxembourg
Société

RGPD : les destinataires des données personnelles doivent être identifiés

La Cour de justice de l’Union européenne vient de décider dans un arrêt du 12 janvier 2023 qu’un particulier a le droit de connaître l’identité précise des destinataires de ses données personnelles.

Publié par EddyThaux le 24/01/2023

RGPD
Image Gerd Altman

Qui ne s’est jamais vu soumettre en signant un contrat d’accepter que ses données soient communiquées à des “partenaires commerciaux” sans autre précision ?

Que s’est-il passé ?

Ce fut le cas d’un Autrichien qui a voulu en savoir davantage quand son éditeur d’annuaire téléphonique (Osterreichische Post) l’a informé que ses données personnelles seraient proposées à des partenaires commerciaux à des fins de marketing. Le professionnel s’était contenté de répondre que ces datas seraient traitées dans les limites de la loi et de la réglementation générale sur la protection des données (RGPD).

Le particulier n’ayant pas eu de réponse satisfaisante à son goût a saisi les juridictions autrichiennes. En cours de procédure, l’Osterreichische Post précisait que ces données personnelles avaient été transmises à  “des clients, dont des annonceurs du secteur de la vente par correspondance et du commerce physique, des entreprises informatiques, des éditeurs d’adresses, des associations caritatives, des ONG ou encore des partis politiques”.

Or ces dernières précisions ne permettaient toujours pas d’identifier les destinataires de ces datas. L’affaire a fait son chemin, jusqu’en dernier ressort, à la Cour suprême du pays.  Celle-ci a interrogé les juges européens sur la marge de manœuvre d’un délégué à la protection des données (DPO). 

Le DPO obligé de fournir l’identité du destinataire 

Le responsable du traitement des données doit-il offrir d’emblée le droit de connaître l’identité concrète des destinataires ? A-t-il le libre choix de communiquer l’identité concrète des destinataires ? ou seulement la catégorie de destinataires comme a pu le faire la Osterreichische Post ?

Les juges européens ont estimé que le responsable du traitement est obligé de fournir à la personne concernée qui le demande l’identité des destinataires, sauf quand il n’est pas (encore) possible de les identifier, dans ce cas la catégorie des destinataires sera donnée. Le DPO a toujours la possibilité de ne pas donner droit à cette demande à condition de démontrer que la demande est manifestement infondée ou excessive.

Un droit à l’identification essentiel

La Cour fait valoir que ce droit d’accès à l’identité des destinataires de ses données personnelles est un moyen permettant une bonne application du RGPD en permettant d’exercer pleinement le droit d’opposition au traitement, le droit à la rectification, le droit à l’effacement, droit à la limitation du traitement ou encore le droit de recours en cas de préjudice.

Cette décision fait jurisprudence et lie les juges autrichiens qui ont posé cette question, comme pour les autres juridictions nationales des Etats membres de l’Union Européenne.

Obs : Les DPO seraient donc bien inspirés de se préparer en constituant des listes exhaustives et précises de l’identité des destinataires des données personnelles communiquées à des fins commerciales

Article rédigé par :

Maître Saliha DEKHAR -ETUDE SD LAW : contact@sdlaw.lu  / via signal : 00352.661.129.005

Lire : Séisme du côté de la sous-location commerciale

Suivez-nous sur Instagram

Ailleurs sur le web