Rappelons un fondamental en matière de protection des données : la transparence. En ce sens, les personnes concernées ont un droit d’accès à leurs données et d’information quant aux traitements qui leur sont réservés. Ce droit est conféré par le RGPD art.15 qui indique : « La personne concernée a le droit d’obtenir du responsable du traitement (…) les informations suivantes: (…) c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales; »

C’est sur cette base que la Cour suprême autrichienne a formulé un renvoi préjudiciel (une question formelle) à la Cour de justice de l’Union européenne (CJUE). La question posée par la juridiction de renvoi est née dans le cadre d’un litige opposant RW, une personne physique, à l’Österreichische Post, le principal opérateur de services postaux et logistiques en Autriche, qui, à la suite d’une demande d’accès à ses données à caractère personnel formulée par RW, ne lui a pas communiqué d’informations sur les destinataires précis auxquels ses données personnelles sont transmises.

L’affaire n’est pas encore tranchée. Cependant l’avocat général (représentant l’UE) a proposé le 9 juin 2022 à la Cour de répondre comme suit :« L’article 15, paragraphe 1, sous c), du [RGPD] doit être interprété en ce sens que le droit d’accès de la personne concernée, qui est prévu à cet article, doit nécessairement s’étendre, si elle le demande, à l’indication des destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives au sens de l’article 12, paragraphe 5, du règlement (UE) 2016/679 ».

L’avocat général précise que dès lors qu’il est possible d’identifier les destinataires des données, cela « permet à la personne concernée d’exercer d’autres prérogatives prévues par le RGPD ». C’est la raison principale pour laquelle il convient d’identifier clairement, dès que cela est possible, les destinataires spécifiques des données d’une personne concernée quand celle-ci en fait la demande.

Une lecture restrictive et en faveur de la personne concernée du RGPD est donc encore et toujours privilégiée. Attendons maintenant la réponse formelle de la CJUE, que nous n’imaginons pas différente, afin de confirmer cette approche sur ce cas d’étude spécifique.

Cela signifie, pour les traitements complexes impliquant plusieurs destinataires supplémentaires (ayant la même fonction dans le traitement, mais n’étant pas appelé pour chaque personne concernée par le traitement), de pouvoir tracer quelle information a été communiquée à quel destinataire. Il va donc falloir envisager quelques fonctionnalités nouvelles et des évolutions en bases de données. Pas d’approximation, le législateur veut du tangible, du précis et de l’opposable.