Décision du 21 juin 2021 de l’Autorité danoise de protec­tion des données (Datatilsynet), 2020−7320−1776.

Le 28 novembre 2019, le plai­gnant reçoit dans sa boîte élec­tro­nique la news­let­ter de l’entreprise danoise Pixojet, spécia­li­sée dans la vente de maté­riel de bureau, et appar­te­nant à Orbit Group ApS. Surpris, le plai­gnant demande à Pixojet de lui indi­quer par qui l’entreprise avait obtenu son adresse électronique.

L’entreprise informe le plai­gnant que celui-ci s’est inscrit à la news­let­ter en ques­tion, ce à quoi il rétorque n’en avoir aucun souve­nir et qu’il ne lui semble pas avoir procédé à cette inscrip­tion de lui-même. Il demande alors à l’entreprise de lui indi­quer la date de son inscription.

En l’absence de réponse de Pixojet, le plai­gnant relance l’entreprise le 2 décembre 2019. Le service clien­tèle lui répond à nouveau que celui-ci s’est enre­gis­tré à la news­let­ter, sans pouvoir concrè­te­ment le démon­trer. L’entreprise l’informe toute­fois l’avoir supprimé de son système de diffusion.

Insatisfait de la réponse de l’entreprise, notam­ment car le plai­gnant prétend ne jamais avoir entendu parler de Pixojet avant de rece­voir la news­let­ter en ques­tion, et soup­çon­nant que son adresse élec­tro­nique pour­rait avoir été divul­guée par un tiers trai­tant ses données person­nelles, le plai­gnant soumet son cas à l’Autorité norvé­gienne de protec­tion des données, qui trans­met l’affaire à la Datatilsynet (auto­rité danoise de protec­tion des données) en sa qualité d’autorité chef de file (art. 56 RGPD).

La réflexion de la Datatilsynet

Bien que le plai­gnant ait spéci­fi­que­ment concen­tré sa demande d’accès sur la prove­nance de son adresse élec­tro­nique au sein de la liste de diffu­sion de Pixojet, la plainte telle qu’introduite auprès de la Datatilsynet est analy­sée de manière géné­rale à l’aune du droit d’accès à ses données person­nelles comme pres­crit par l’art. 15 RGPD.

Selon l’art. 15 par. 1 RGPD, toute personne a le droit d’obtenir du respon­sable du trai­te­ment la confir­ma­tion que des données à carac­tère person­nel la concer­nant sont ou ne sont pas trai­tées et, lorsqu’elles le sont, l’accès auxdites données à carac­tère person­nel, ainsi que l’accès à certaines infor­ma­tions (art. 15 par. 1 let. a‑h RGPD). Les moda­li­tés de l’exercice du droit d’accès sont réglées par l’art. 12 RGPD.

Tel que formulé, le droit d’accès se décom­pose entre un droit de savoir (toute personne ayant le droit d’obtenir du respon­sable du trai­te­ment la confir­ma­tion que des données à carac­tère person­nel la concer­nant sont ou ne sont pas trai­tées) et un droit d’être rensei­gné (toute personne ayant le droit d’obtenir du respon­sable du trai­te­ment l’accès aux données à carac­tère person­nel, ainsi que l’accès à certaines infor­ma­tions complémentaires).

Lorsque les données person­nelles ne sont pas collec­tées auprès de la personne concer­née, le respon­sable du trai­te­ment doit, dans le cadre d’une demande de droit d’accès, trans­mettre à la personne concer­née toute infor­ma­tion dispo­nible quant à leur source confor­mé­ment à l’art. 15 par. 1 let. g RGPD. Selon le consi­dé­rant 61 du RGPD, lorsque l’origine des données ne peut pas être commu­ni­quée, notam­ment parce que plusieurs sources ont été utili­sées, des infor­ma­tions géné­rales doivent toute­fois être fournies.

Dans le cas d’espèce, la Datatilsynet constate que l’entreprise a traité de manière conve­nable la demande de droit d’accès du plai­gnant. Elle souligne toute­fois que le trai­te­ment de données doit respec­ter les prin­cipes de la protec­tion des données et repo­ser sur l’une des condi­tions pres­crites par l’art. 6 RGPD.

En ce qui concerne la trans­mis­sion au plai­gnant de toute infor­ma­tion dispo­nible quant à la prove­nance des données, la Datatilsynet est d’avis, sur la base des pièces versées au dossier, qu’il n’y a pas lieu de suppo­ser que Pixojet dispose d’informations supplé­men­taires. Ainsi, le seul fait d’informer la personne concer­née qu’elle s’est inscrite elle-même à la news­let­ter permet d’assurer le respect du droit d’accès à l’origine des données tel que formulé par l’art. 15 par. 1 let. g RGPD.

Note

Nous ne cesse­rons pas de le répé­ter, mais le droit d’accès est une insti­tu­tion fonda­men­tale de la protec­tion des données. Le droit d’accès permet d’assurer la trans­pa­rence des données et garan­tit aux personnes concer­nées la possi­bi­lité de garder une maîtrise sur les données les concer­nant. En outre, l’absence du droit d’accès compli­que­rait sérieu­se­ment l’exercice d’autres droits décou­lant des légis­la­tions sur la protec­tion des données.

Si les prin­cipes théo­riques du droit d’accès sont rela­ti­ve­ment clairs, celui-ci suscite en pratique de nombreux ques­tion­ne­ments : le respon­sable du trai­te­ment doit-il trans­mettre toute docu­men­ta­tion qui peut conte­nir des données person­nelles ? Quel est le péri­mètre des recherches à entre­prendre par le respon­sable du trai­te­ment ? Dans quel cas la demande d’accès exige des efforts disproportionnés ?

La ques­tion du péri­mètre des recherches à entre­prendre par le respon­sable du trai­te­ment afin de répondre à une demande de droit d’accès est parti­cu­liè­re­ment complexe et elle doit être décor­ti­quée sous plusieurs aspects. Par exemple, doit-on attendre du respon­sable du trai­te­ment qu’il entre­prenne les mêmes recherches en ce qui concerne des données trai­tées dans un format élec­tro­nique ou dans un format physique ?

La déci­sion de la Datatilsynet a le mérite d’amener de la clarté sur la ques­tion de la trans­mis­sion à la personne concer­née d’information quant à la source des données person­nelles. À ce titre, il faut rete­nir qu’il n’est pas possible d’exiger du respon­sable du trai­te­ment une recherche dispro­por­tion­née (ATF 147 I 407 et TF 4A_​277/​2020 du 18 novembre 2020) et que le simple fait d’indiquer à une personne qu’elle s’est inscrite d’elle-même à une news­let­ter est suffisant.

À souli­gner que dans le cas de la trans­mis­sion de données person­nelles d’un respon­sable du trai­te­ment à un tiers (p. ex., si un créan­cier trans­met à une agence de rensei­gne­ments de solva­bi­li­tés des données person­nelles), le Comité euro­péen de la protec­tion des données est d’avis, confor­mé­ment à ses Recommandations 01/​2022 sur l’exercice du droit d’accès, que le tiers est tenu, pour autant que cela n’entraîne pas de recherches dispro­por­tion­nées, d’indiquer à la personne concer­née le nom de la personne ayant commu­ni­qué ses données personnelles.

Sous l’angle du droit suisse, nous souli­gnons que le droit d’accès est construit de manière iden­tique qu’en droit euro­péen. L’art. 8 LPD prévoit égale­ment un droit de savoir et un droit d’être rensei­gné. En parti­cu­lier, l’art. 8 al. 2 let. a LPD dispose que le respon­sable du trai­te­ment doit commu­ni­quer toute infor­ma­tion dispo­nible sur l’origine des données.

Cette mention sur l’origine des données ne figu­rait initia­le­ment pas dans la LPD. Elle a été rajou­tée en 2006 par le légis­la­teur à des fins de trans­pa­rence, celui-ci esti­mant qu’un requé­rant peut avoir un inté­rêt légi­time à remon­ter à la source de la collecte des données (FF 2003 1915, 1946), par exemple pour consta­ter si une commu­ni­ca­tion de données a eu lieu (et si elle est licite) ou éven­tuel­le­ment pour faire recti­fier les données en ques­tion auprès de la source.

Finalement, signa­lons que la remise d’information sur l’origine des données perdura à l’aune de la nLPD, malgré des modi­fi­ca­tions rédac­tion­nelles. L’art. 25 al. 2 let. e nLPD dispose que le respon­sable du trai­te­ment doit dans tous les cas infor­mer la personne concer­née sur l’origine des données person­nelles, dans la mesure où ces données n’ont pas été collec­tées auprès de la personne.