Conclusions de l’Avocat géné­ral M. Giovanni Pitruzzella du 9 juin 2022, Affaire de la Cour de justice de l’Union euro­péenne (CJUE) C‑154/​21, RW c. Österreichische Post AG.

Introduction

L’affaire oppose un requé­rant à la Poste autri­chienne (Österreichische Post). Dans le cadre d’une demande de droit d’accès (art. 15 RGPD), le requé­rant souhaite accé­der aux données person­nelles conser­vées par la Poste autri­chienne, ainsi que, en cas de commu­ni­ca­tion de ces données à des tiers, être informé de l’identité des desti­na­taires à qui elles sont communiquées.

La Poste autri­chienne traite la demande du requé­rant. Elle ne lui révèle cepen­dant pas les desti­na­taires spéci­fiques auxquels les données person­nelles du requé­rant sont commu­ni­quées. Le requé­rant intro­duit un recours tendant à ce que la Poste autri­chienne soit condam­née à lui four­nir davan­tage d’informations en appli­ca­tion de l’art. 15 par. 1 let. c RGPD. Ce dernier prévoit notam­ment que la personne concer­née qui exerce son droit d’accès reçoit de la part du respon­sable du trai­te­ment les infor­ma­tions concernant :

« les desti­na­taires ou caté­go­ries de desti­na­taires auxquels les données à carac­tère person­nel ont été ou seront commu­ni­quées, en parti­cu­lier les desti­na­taires qui sont établis dans des pays tiers ou les orga­ni­sa­tions internationales ».

Préalablement à la saisie de la Cour suprême autri­chienne, les juri­dic­tions de première d’instance et d’appel ont rejeté la demande du requé­rant. Elles estiment pour leur part que l’art. 15 par. 1 let. c RGPD accorde au respon­sable du trai­te­ment la possi­bi­lité de choi­sir de se limi­ter à commu­ni­quer à la personne concer­née les caté­go­ries de desti­na­taires, sans devoir indi­quer de manière nomi­na­tive les desti­na­taires spécifiques.

La notion de desti­na­taire au sens du RGPD

Le « desti­na­taire » est défini par l’art. 4 ch. 9 RGPD comme « la personne physique ou morale, l’autorité publique, le service ou tout autre orga­nisme qui reçoit commu­ni­ca­tion de données à carac­tère person­nel, qu’il s’agisse ou non d’un tiers […] ». Cette notion comprend toute commu­ni­ca­tion de données, indé­pen­dam­ment que le desti­na­taire revête au sens de la protec­tion des données la qualité de sous-trai­tant (art. 4 ch. 8 RGPD) ou de tiers (art. 4 ch. 10 RGPD). Le Comité euro­péen de la protec­tion des données (CEPD) a par ailleurs déjà eu l’occasion de clari­fier ces notions (cf. CEPD, Lignes direc­trices 07/​2020).

La gestion d’une entre­prise implique régu­liè­re­ment en pratique des parte­na­riats avec des cocon­trac­tants, à qui il est néces­saire d’envoyer des données. Cette commu­ni­ca­tion n’est pas forcé­ment illi­cite au sens de la protec­tion des données et les exemples sont nombreux. Une entre­prise peut ainsi confier la gestion du paie­ment des salaires de ses employés à une fidu­ciaire, voire manda­ter une entre­prise de ressources humaines pour lui trou­ver un futur employé. L’organisateur d’une soirée pour­rait manda­ter une agence de sécu­rité afin d’assurer le service d’ordre et lui remettre à cet effet la liste des invi­tés. Une société spécia­li­sée dans le commerce élec­tro­nique peut colla­bo­rer avec une société de livrai­son ou avec une agende de rensei­gne­ments de solvabilité.

Quand bien même la commu­ni­ca­tion de données est géné­ra­le­ment licite, elle implique malgré tout une perte de maîtrise sur ses données pour la personne concer­née. Pour cette raison, l’art. 13 par. 1 let. e RGPD oblige le respon­sable du trai­te­ment à infor­mer la personne concer­née des desti­na­taires ou des caté­go­ries de desti­na­taires de données. L’art. 15 par. 1 let. c RGPD contraint le respon­sable du trai­te­ment, lorsque la personne concer­née exerce son droit d’accès, à lui commu­ni­quer les desti­na­taires ou caté­go­ries de desti­na­taires auxquels les données ont été ou seront commu­ni­quées. La struc­ture de ces dispo­si­tions légales est suscep­tible de faire l’objet de plusieurs interprétations.

L’analyse juri­dique de l’avocat géné­ral Pitruzella

Selon l’avocat géné­ral Pitruzella, l’art. 15 par. 1 let. c RGPD est struc­turé de sorte à donner à la personne concer­née le droit d’obtenir, lorsque cela est possible, l’accès aux infor­ma­tions rela­tives aux desti­na­taires spéci­fiques auxquels ses données person­nelles sont commu­ni­quées. Il n’est pas struc­turé de sorte à permettre au respon­sable du trai­te­ment de choi­sir entre les deux solu­tions alter­na­tives, contrai­re­ment à l’art. 13 par. 1 let. e RGPD, dès lors qu’il s’agit d’une obli­ga­tion à charge du respon­sable du trai­te­ment. L’avocat géné­ral fonde son raison­ne­ment sur le double but du droit d’accès tel qu’ancré au consi­dé­rant 63 RGPD.

Premièrement, l’avocat géné­ral souligne que le droit d’accès doit permettre à la personne concer­née de véri­fier non seule­ment que les données la concer­nant sont exactes, mais égale­ment qu’elles ont été commu­ni­quées à des desti­na­taires auto­ri­sés. Pour ce faire, cela présup­pose que les indi­ca­tions four­nies soient les plus précises possibles. Une inter­pré­ta­tion inverse ne permet­trait pas à la personne concer­née de véri­fier que ses données ont été commu­ni­quées à des desti­na­taires autorisés.

Deuxièmement, le droit d’accès doit permettre à la personne concer­née de faire valoir ses autres droits légi­times, en parti­cu­lier de recti­fi­ca­tion, d’effacement, d’opposition, de limi­ta­tion et de recours. Une inter­pré­ta­tion qui refu­se­rait à la personne concer­née la possi­bi­lité d’obtenir des infor­ma­tions sur les desti­na­taires spéci­fiques auxquels ses données person­nelles sont commu­ni­quées auraient pour effet d’empêcher la personne concer­née de faire valoir ses droits à leur encontre ou de ne les exer­cer que moyen­nant un effort disproportionné.

Ce deuxième point est renforcé par le fait que l’art. 19 RGPD oblige le respon­sable du trai­te­ment à infor­mer l’ensemble des desti­na­taires auxquels il a trans­mis des données person­nelles de toute demande de recti­fi­ca­tion, d’effacement ou de limi­ta­tion de trai­te­ment. Dans cette pers­pec­tive, le respon­sable du trai­te­ment doit aussi pouvoir four­nir à la personne concer­née des infor­ma­tions sur ces desti­na­taires si elle en fait la demande, notam­ment afin de s’assurer que sa demande de recti­fi­ca­tion, d’effacement ou de limi­ta­tion du trai­te­ment a été respectée.

La limite posée à la commu­ni­ca­tion des desti­na­taires spécifiques

Si l’avocat géné­ral estime que l’art. 15 par. 1 let. c RGPD doit être inter­prété de sorte à permettre à la personne concer­née d’obtenir l’accès aux infor­ma­tions rela­tives aux desti­na­taires spéci­fiques auxquels ses données person­nelles sont commu­ni­quées, celui-ci connaît deux limites.

La première limite est maté­rielle. Elle concerne en effet la situa­tion de fait où le respon­sable du trai­te­ment est dans l’impossibilité de four­nir de telles infor­ma­tions parce que les desti­na­taires ne sont pas encore effec­ti­ve­ment connus ou simple­ment inexis­tants. Dans cette hypo­thèse, le droit d’accès ne peut porter que sur les caté­go­ries de destinataires.

La deuxième limite est juri­dique. Elle trouve son fonde­ment dans la limite légale posée par l’art. 12 par. 5 RGPD. Celle-ci prévoit que les demandes d’accès de la personne concer­née ne doivent pas être mani­fes­te­ment infon­dées ou exces­sives. Si les demandes le sont, le respon­sable du trai­te­ment a la possi­bi­lité de refu­ser d’y donner suite ou d’exiger le paie­ment de frais raison­nables qui tiennent compte des coûts admi­nis­tra­tifs suppor­tés pour four­nir les infor­ma­tions. Il appar­tient néan­moins au respon­sable du trai­te­ment de démon­trer le carac­tère mani­fes­te­ment infondé ou exces­sif de la demande.

Cette excep­tion doit s’interpréter de manière restric­tive d’abord en raison de la place impor­tante occu­pée par le droit d’accès au sein du RGPD. Sans celui-ci, il serait impos­sible pour les personnes concer­nées de faire valoir leurs autres droits en la matière. Cette inter­pré­ta­tion restric­tive s’impose en outre au regard de la place centrale qu’occupe le RGPD au sein du système juri­dique euro­péen. Il ressort expres­sé­ment de la juris­pru­dence euro­péenne que le RGPD a pour but d’assurer un niveau élevé de protec­tion des personnes physiques au sein de l’Union euro­péenne et plus large­ment au sein de l’Espace écono­mique euro­péenne. Il sera ainsi diffi­cile pour le respon­sable du trai­te­ment de démon­trer le carac­tère mani­fes­te­ment infondé ou exces­sif d’une demande de droit d’accès.

Quelles consé­quences aux conclu­sions de l’avocat géné­ral Pitruzella ?

La demande de ques­tion préju­di­cielle posée à la CJUE aura, à terme, le mérite de résoudre une ques­tion long­temps débat­tue au sein de la doctrine. Sans entrer dans le pour ou le contre, l’opinion de l’avocat géné­ral Pitruzella pour­rait ouvrir la boîte de Pandore.

Les argu­ments invo­qués en faveur de la commu­ni­ca­tion systé­ma­tique du nom des desti­na­taires de données ne prêtent pas le flanc à la critique. Une telle solu­tion aurait effec­ti­ve­ment l’avantage d’améliorer la trans­pa­rence des trai­te­ments, ce qui était l’un des prin­ci­paux objec­tifs recher­chés par le légis­la­teur euro­péen lors de la révi­sion du droit euro­péen, et de permettre aux personnes concer­nées de pouvoir effec­ti­ve­ment dispo­ser de leurs autres droits.

Cette solu­tion fait toute­fois fi de la complexité pratique à sa mise en œuvre par le respon­sable du trai­te­ment, notam­ment dans le cadre de certains types de trai­te­ments de données. Il en irait ainsi par exemple pour un trai­te­ment de données person­nelles opéré dans le cadre d’un service de nuage infor­ma­tique, dont la tech­nique peut impli­quer le recours à de nombreux desti­na­taires (qu’ils soient consi­dé­rés comme des sous-trai­tants ou des tiers).

Si cette seule diffi­culté ne suffit pas pour criti­quer juri­di­que­ment le raison­ne­ment de l’avocat géné­ral, force est d’admettre que les récentes déci­sions en matière de protec­tion des données font de plus en plus abstrac­tion de la complexité qu’elles entraînent pour les respon­sables du trai­te­ment. Avec le risque que cela implique, notam­ment celui pour le RGPD de deve­nir un texte juri­dique dont la mise en œuvre implique des coûts – humains ou finan­ciers – dispro­por­tion­nés. Ces entraves écono­miques pour­raient conduire à terme à saper la concur­rence des entre­prises euro­péennes et l’innovation. Sur ce point, le Royaume-Uni a récem­ment annoncé vouloir modi­fier sa légis­la­tion en matière de protec­tion des données pour une poli­tique permet­tant l’innovation et la crois­sance économique.

Le mot final revient à la CJUE qui peut désor­mais déci­der de confir­mer ou infir­mer l’opinion de son avocat géné­ral. Dans l’affirmative, il serait judi­cieux pour elle de penser à circons­crire exac­te­ment dans quels cas le respon­sable du trai­te­ment pour­rait, ou non, restreindre le droit d’accès, notam­ment car la demande est mani­fes­te­ment infon­dée ou exces­sive, ce qu’elle ne fera évidem­ment pas, dès lors qu’il ne s’agit pas d’une ques­tion qui lui est posée, lais­sant ainsi un certain flou juridique.

La réflexion sous l’angle du droit suisse

À l’heure actuelle, l’art. 8 al. 2 let. b LPD prévoit que le respon­sable du trai­te­ment commu­nique dans le cadre d’une demande d’accès :

« le but et éven­tuel­le­ment la base juri­dique du trai­te­ment, les caté­go­ries de données person­nelles trai­tées, de parti­ci­pants au fichier et de desti­na­taires des données ».

Il n’est pas prévu que le respon­sable du trai­te­ment commu­nique à la personne concer­née les desti­na­taires spéci­fiques des données person­nelles commu­ni­quées. Cela est par ailleurs expres­sé­ment exclu par le Conseil fédé­ral qui souligne que le respon­sable du trai­te­ment n’est pas obligé de dési­gner nommé­ment les parti­ci­pants et les desti­na­taires. Il importe en effet de ne pas impo­ser au respon­sable du trai­te­ment un volume de travail exces­sif ou de le contraindre à dévoi­ler ses rela­tions d’affaires (FF 1988 II 421, 460).

L’art. 25 al. 2 let. g nLPD prévoit pour sa part que le respon­sable du trai­te­ment communique :

« le cas échéant, les desti­na­taires ou les caté­go­ries de desti­na­taires auxquels des données person­nelles sont commu­ni­quées, ainsi que les infor­ma­tions prévues à l’art. 19, al. 4 ».

Les termes « desti­na­taires » et « caté­go­ries de desti­na­taires » sont utili­sés succes­si­ve­ment, l’un après l’autre et de manière neutre, sans qu’il soit possible de déduire un ordre de prio­rité entre eux. La loi ne prévoit pas non plus expli­ci­te­ment s’il est possible de choi­sir entre les deux caté­go­ries d’informations ni à qui ce choix revient. Ni le Conseil fédé­ral (FF 2017 6565, 6683) ni l’Assemblée fédé­rale n’ont d’ailleurs abordé la problé­ma­tique lors de la révi­sion de la LPD, se conten­tant d’un copier-coller du droit européen.

Si le Tribunal fédé­ral devait être amené à se pronon­cer sur une situa­tion idoine, nous doutons que ce dernier se détourne de la volonté du Conseil fédé­ral. Se pose­rait alors la ques­tion de savoir si le droit suisse est en adéqua­tion avec le droit euro­péen et si cette diffé­rence pour­rait remettre en cause la déci­sion d’adéquation de la Commission euro­péenne qui doit être actuel­le­ment revue, et devra l’être à inter­valles régu­liers. La situa­tion est toute­fois hypo­thé­tique dès lors que le droit euro­péen, pour l’heure, ne répond pas encore à la question.