RGPD : les destinataires des données personnelles doivent être identifiés
Publié
par
EddyThaux
le 24/01/2023 à 08:01
Qui ne s’est jamais vu soumettre en signant un contrat d’accepter que ses données soient communiquées à des “partenaires commerciaux” sans autre précision ?
Que s’est-il passé ?
Ce fut le cas d’un Autrichien qui a voulu en savoir davantage quand son éditeur d’annuaire téléphonique (Osterreichische Post) l’a informé que ses données personnelles seraient proposées à des partenaires commerciaux à des fins de marketing. Le professionnel s’était contenté de répondre que ces datas seraient traitées dans les limites de la loi et de la réglementation générale sur la protection des données (RGPD).
Le particulier n’ayant pas eu de réponse satisfaisante à son goût a saisi les juridictions autrichiennes. En cours de procédure, l’Osterreichische Post précisait que ces données personnelles avaient été transmises à “des clients, dont des annonceurs du secteur de la vente par correspondance et du commerce physique, des entreprises informatiques, des éditeurs d’adresses, des associations caritatives, des ONG ou encore des partis politiques”.
Or ces dernières précisions ne permettaient toujours pas d’identifier les destinataires de ces datas. L’affaire a fait son chemin, jusqu’en dernier ressort, à la Cour suprême du pays. Celle-ci a interrogé les juges européens sur la marge de manœuvre d’un délégué à la protection des données (DPO).
Le DPO obligé de fournir l’identité du destinataire
Le responsable du traitement des données doit-il offrir d’emblée le droit de connaître l’identité concrète des destinataires ? A-t-il le libre choix de communiquer l’identité concrète des destinataires ? ou seulement la catégorie de destinataires comme a pu le faire la Osterreichische Post ?
Les juges européens ont estimé que le responsable du traitement est obligé de fournir à la personne concernée qui le demande l’identité des destinataires, sauf quand il n’est pas (encore) possible de les identifier, dans ce cas la catégorie des destinataires sera donnée. Le DPO a toujours la possibilité de ne pas donner droit à cette demande à condition de démontrer que la demande est manifestement infondée ou excessive.
Un droit à l’identification essentiel
La Cour fait valoir que ce droit d’accès à l’identité des destinataires de ses données personnelles est un moyen permettant une bonne application du RGPD en permettant d’exercer pleinement le droit d’opposition au traitement, le droit à la rectification, le droit à l’effacement, droit à la limitation du traitement ou encore le droit de recours en cas de préjudice.
Cette décision fait jurisprudence et lie les juges autrichiens qui ont posé cette question, comme pour les autres juridictions nationales des Etats membres de l’Union Européenne.
Obs : Les DPO seraient donc bien inspirés de se préparer en constituant des listes exhaustives et précises de l’identité des destinataires des données personnelles communiquées à des fins commerciales
Article rédigé par :
Maître Saliha DEKHAR -ETUDE SD LAW : [email protected] / via signal : 00352.661.129.005
Pour laisser un commentaire veuillez vous connecter ou inscrivez-vous.