CJUE : lors d'une demande d'accès, l'identité des destinataires des données doit être révélée
Petit coup de tonnerre cette semaine dans le monde (européen) de la protection des données. Dans l’affaire C-154/21, la CJUE a décidé que
le droit d’accès de la personne concernée aux données [personnelles] la concernant […] implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, […] auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
J’aimerais revenir ici sur les conséquences pratiques que ce jugement peut avoir dans l’UE.
Applicable aux entreprises suisses ?
Cette décision ne concerne que l’application du RGPD et non la LPD. Par conséquent, à moins qu’une entreprise suisse soit directement soumise
- au RGPD (en vertu de son article 3 alinéa 2) ou
- à engagement contractuel à en respecter ses dispositions et à aider le cocontractant à répondre aux demandes d’accès fondées sur le RGPD,
cet arrêt n’a aucune conséquence pour les entreprises suisses non soumises au RGPD.
Le droit suisse actuel n’exige pas la communication à la personne concernée de l’identité des destinataires, mais seulement des catégories de destinataires. La nouvelle LPD, applicable dès le 1er septembre 2023, donnera le choix au responsable du traitement de divulguer l’identité des destinataires ou de fournir une liste des catégories de destinataires (art. 25 al. 2 let. g nLPD).
Applicable seulement au droit d’accès ?
Oui. Ce n’est que lorsqu’une personne concernée exercice son droit d’accès que l’exigence de communication de l’identité des destinataires s’applique. Autrement dit, il n’est pas nécessaire ni recommandé de modifier la déclaration de protection des données (ou “privacy notice”) pour y intégrer toute la liste des destinataires. Seule une liste de catégorie des destinataires doit y figurer.
Il n’y a que deux exceptions ?
Oui.
- La CJUE admet qu’il existe des situations où il n’est pas possible de fournir des informations sur des destinataires concrets. Dans ce cas, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus. A dessein, la CJUE ne mentionne pas comme exception la situation où le responsable du traitement, par négligence, n’a pas documenté les destinataires auxquels il communique des données dans le cadre d’un traitement particulier ; dans un tel cas, il aurait été possible de fournir l’identité des destinataires si le responsable du traitement s’était plié à son devoir de documentation découlant du principe de responsabilité.
- L’exception (générale) relative aux demandes manifestement infondées ou excessives demeure et permet donc toujours au responsable du traitement de refuser de donner suite à la demande.
Les destinataires internes à l’entreprise sont-ils concernés ?
Non. Le responsable du traitement n’a pas à communiquer les noms des employé-e-s qui ont accès aux données personnelles de la personne concernée ou qui les ont consultées. Seuls les destinataires externes à l’entreprise sont visés (sous-traitants, partenaires commerciaux, autorités, etc.).
Comment faire si je suis exempté du devoir de tenir un registre des traitements ?
C’est tout le problème. L’art. 30 al. 5 RGPD (plus ou moins à l’instar de l’art. 12 al. 5 nLPD) exempte les entreprises de moins de 250 employés de l’obligation de créer et tenir à jour un registre des traitements, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte sur des données sensibles. Les entreprises qui bénéficiaient de cette exemption n’auront certainement pas d’autre choix que de créer un tel registre afin d’être en mesure de documenter les traitements faisant appel à des destinataires.
Les entreprises qui tenaient déjà un registre des traitements devront désormais aller plus loin que ce qu’exige l’art. 30 al. 1 let. d RGPD, à savoir indiquer pour chaque traitement “les catégories de destinataires” : les catégories devront être remplacées par l’identité des destinataires.
Il faut noter cependant que la communication de données à des destinataires est l’un des traitements les plus risqués pour les personnes concernées et que, par conséquent, une entreprise qui communique des données à des tiers devra prendre de nombreuses précautions afin de réduire les risques et de continuer à invoquer l’exception de l’art. 30 al. 5 RGPD.
La CJUE s’assoit-elle sur les secrets d’affaires et commerciaux ?
La CJUE ne semble pas avoir considéré que l’impossibilité à fournir l’identité des destinataires puisse provenir d’un éventuel secret commercial ou d’affaires ; il ne fait en revanche nul doute que le secret médical et de l’avocat, entre autres, prévaut sur cette nouvelle obligation de transparence. On peut donc légitimement se demander aujourd’hui comment une entreprise peut espérer conserver une certaine discrétion sur la marche de ses affaires tout en respectant le RGPD. La CJUE n’a pas procédé, dans son arrêt, à mise en balance des intérêts, mais s’est limitée à rappeler que le droit d’accès
est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement […], ainsi que son droit d’opposition au traitement de ses données [personnelles …], et son droit de recours en cas de dommage subi […].
Une manière comme une autre de dégager en corner la problématique pour le moment, avant qu’elle ne revienne dans quelques mois sous la forme d’un autre renvoi préjudiciel.