[RGPD] : Selon la CJUE, la réponse à une demande d’accès doit inclure l’identité concrète des destinataires de données à caractère personnel

Newsflash Castegnaro
17 janvier 2023 par
Legitech, LexNow

Par un arrêt daté du 12 janvier 2023, la Cour de justice de l’Union Européenne (« CJUE ») est venue apporter une précision concernant la portée du droit d’accès dans le cadre du traitement des données à caractère personnel des personnes physiques.

Cette décision présente un intérêt certain pour les employeurs luxembourgeois, lesquels sont de plus en plus souvent confrontés à des (anciens) salariés exerçant leur droit d’accès sur le fondement de l’article 15 du Règlement Général pour la Protection des Données (« RGPD »)[1].

Pour rappel, en vertu de cette disposition du RGPD, toute personne, dont les données à caractère personnel font l’objet d’un traitement, a le droit d'obtenir du responsable du traitement, l’information concernant les destinataires ou les catégories de destinataires auxquels ses données ont été ou seront communiquées.

Dans l’arrêt du 12 janvier 2023, la CJUE devait répondre à la question de savoir si, dans le cadre de l’exercice du droit d’accès fondé sur l’article 15 du RGPD, le responsable de traitement peut se contenter de communiquer uniquement les catégories de destinataires auxquelles les données ont été ou seront communiquées ou si, comme l’exigeait la personne concernée, cette information doit inclure l’identité concrète desdits destinataires.

La CJUE retient que l’article 15 paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée implique l’obligation pour le responsable du traitement de fournir à cette personne l’identité même des destinataires auxquels ses données personnelles seront ou ont été communiquées.

Les seules exceptions reprises dans cet arrêt sont : l’impossibilité pour le responsable de traitement d’identifier les destinataires (p.ex. l’identité des destinataires n’est pas encore connue) ou, si la demande d’accès à cette information est manifestement infondée ou excessive, ce que devra prouver le responsable du traitement.

Les employeurs ont tout intérêt à évaluer, et le cas échéant adapter, la conformité du registre des flux de données personnelles ainsi que de leurs procédures internes de gestion des demandes d’accès à la solution dégagée par cet arrêt.

Il est en effet prévisible que cette décision ne reste pas sans effet sur le contentieux du travail.


______________________________________________________________________________

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après abrégé « RGPD »)