Nota bene : La présente contri­bu­tion fait partie d’une série de trois contri­bu­tions consa­crées à l’arrêt C­-154/21 rendu par la Cour de justice de l’Union euro­péenne le 12 janvier 2023 au sujet de la portée du droit d’ac­cès (cf. www​.swiss​pri​vacy​.law/​216 pour une analyse de l’ar­rêt au fond et www​.swiss​pri​vacy​.law/​217 pour une analyse compa­ra­tive à l’aune du droit suisse). Cette troi­sième contri­bu­tion vise à présen­ter des pistes de réflexion en vue de la mise en œuvre concrète de cette obligation.

I. Introduction

Dans son arrêt du 12 janvier 2023, la Cour de justice de l’Union euro­péenne (CJUE) a tran­ché que le droit d’ac­cès permet à la personne concer­née de deman­der au respon­sable du trai­te­ment qu’il lui commu­nique l’iden­tité des desti­na­taires auxquelles des données sont commu­ni­quées (et pas seule­ment les caté­go­ries de desti­na­taires). La CJUE fonde son raison­ne­ment sur l’art. 15 par. 1 let. c RGPD. Si l’ar­rêt de la CJUE n’est direc­te­ment appli­cable qu’au respon­sable du trai­te­ment soumis au RGPD, soit en raison d’une appli­ca­tion terri­to­riale (art. 3 par. 1 RGPD) ou extra­ter­ri­to­riale (art. 3 par. 2 RGPD), notre seconde contri­bu­tion consa­crée à cette juris­pru­dence présente les motifs pour lesquels celle-ci présente égale­ment une perti­nence pour les respon­sables du trai­te­ment suisses soumis à la nouvelle Loi fédé­rale sur la protec­tion des données future (nLPD) (cf. www​.swiss​pri​vacy​.law/​217).

II. Comment mettre en œuvre cette nouvelle obli­ga­tion à charge des respon­sables du traitement ?

A. Du registre des acti­vi­tés de traitement

Comme indi­qué, la juris­pru­dence de la CJUE a pour effet de contraindre le respon­sable du trai­te­ment à prendre des mesures en vue ’de permettre de commu­ni­quer l’identité des desti­na­taires dans un délai de 30 jours à comp­ter de la récep­tion de la requête (art. 12 par. 3 RGPD /​ art. 25 al. 7 nLPD).

Or, les règles appli­cables au registre des acti­vi­tés de trai­te­ment – le prin­ci­pal outil permet­tant au respon­sable du trai­te­ment de dispo­ser d’une vue exhaus­tive des trai­te­ments qu’il met en œuvre – se limitent à impo­ser le recen­se­ment des caté­go­ries de desti­na­taires, et non pas les desti­na­taires en tant que tels (art. 30 par. 1 let. d RGPD /​ art. 12 al. 2 let. d nLPD). L’on relè­vera dans ce contexte ce qui suit :

• L’ 30 par. 1 let. d RGPD impose la mention, dans le registre, des desti­na­taires situés en-dehors de l’Union euro­péenne, mais tel n’est pas le cas de la dispo­si­tion corres­pon­dante au niveau de la nLPD ; et
• Certains respon­sables du trai­te­ment sont exemp­tés de l’obli­ga­tion de prépa­rer un registre des acti­vi­tés de trai­te­ment (art, 30 par. 5 RGPD : moins de 250 employés, sauf si le trai­te­ment est suscep­tible de compor­ter un risque pour les droits et des liber­tés des personnes concer­nées (d’autres condi­tions s’ap­pliquent) /​ 12 al. 5 LPD : moins de 250 colla­bo­ra­teurs et le trai­te­ment des données présente un risque limité d’at­teinte à la person­na­lité des personnes concernées).

Dans une pers­pec­tive concrète, nous sommes d’avis que la nouvelle obli­ga­tion de trans­pa­rence que la CJUE a déduit du texte du RGPD impo­sera (i) l’éla­bo­ra­tion d’un registre (ou d’un docu­ment analogue pour les respon­sables du trai­te­ment qui ne sont pas formel­le­ment soumis à cette exigence) et (ii) un enri­chis­se­ment des registres exis­tants en vue de recen­ser de manière systé­ma­tique l’iden­tité des desti­na­taires (en lieu et place des « caté­go­ries » de destinataires).

B. Du contrat de sous-traitance

Lorsqu’un respon­sable du trai­te­ment fait appel à un sous-trai­tant, le trai­te­ment en ques­tion doit en prin­cipe être régi par un contrat (art. 28 par. 3 RGPD /​ art. 9 al. 1 nLPD). Dès lors que le sous-trai­tant est compris dans la notion de desti­na­taire, l’obligation d’établir un contrat de sous-trai­tance permet au respon­sable du trai­te­ment d’anticiper dans une certaine mesure son travail.

C. De la ques­tion de la confi­den­tia­lité et des efforts disproportionnés

Le respon­sable du trai­te­ment devra veiller à struc­tu­rer ses rela­tions contrac­tuelles avec les desti­na­taires en tenant compte de cette obli­ga­tion, ce qui pour­rait notam­ment impli­quer l’in­té­gra­tion d’une excep­tion spéci­fique à la clause de confi­den­tia­lité géné­ra­le­ment prévue dans les accords passés avec ceux-ci.

L’on relè­vera dans ce contexte que la CJUE a indi­qué (par. 47) que « le droit à la protec­tion des données à carac­tère person­nel n’est pas un droit absolu », ce qui se traduit, s’agis­sant de la ques­tion qui nous occupe ici, par le constat que :

« le droit d’ac­cès pourra être limité à l’in­for­ma­tion sur les caté­go­ries de desti­na­taires s’il est impos­sible de commu­ni­quer l’iden­tité des desti­na­taires concrets, en parti­cu­lier lorsque ceux-ci ne sont pas encore connus. » (par. 48).

L’illustration four­nie par la CJUE pour expli­ci­ter le concept d’im­pos­si­bi­lité (« [les desti­na­taires] ne sont pas encore connus ») démontre le cadre restric­tif que la Cour donne à cette excep­tion. Nous sommes toute­fois d’avis que d’autres motifs devraient égale­ment permettre de limi­ter la portée de l’obli­ga­tion à charge du respon­sable du traitement.

Une obli­ga­tion contrac­tuelle de confi­den­tia­lité conclue avant l’ar­rêt commenté ici ou une obli­ga­tion légale de confi­den­tia­lité devrait égale­ment entraî­ner une limi­ta­tion de cette obli­ga­tion. Il nous semble, à première vue, plus diffi­cile de soute­nir qu’un accord de confi­den­tia­lité conclu posté­rieu­re­ment à la publi­ca­tion de cet arrêt permette de faire échec à une requête d’ac­cès foca­li­sée sur ce point. Il en découle que les respon­sables du trai­te­ment devraient, à notre sens, tenir compte de la juris­pru­dence commen­tée ici dans le cadre des futures négo­cia­tions de contrats de sous-traitance.

Dans ce contexte, il convient égale­ment de garder à l’es­prit que l’art. 12 par. 5 let. b RGPD, qui permet de reje­ter les requêtes qui sont mani­fes­te­ment infon­dées ou exces­sives. Nous rappe­lons à cet égard que le consi­dé­rant 62 prévoit notam­ment, à juste titre, que la commu­ni­ca­tion de l’identité des desti­na­taires ne peut pas être impo­sée au respon­sable du trai­te­ment lorsque celle-ci se révèle impos­sible ou exige­rait des efforts dispro­por­tion­nés. Tel serait le cas lorsqu’il s’agit d’un trai­te­ment à des fins archi­vis­tiques dans l’in­té­rêt public, à des fins de recherche scien­ti­fique ou histo­rique ou à des fins statis­tiques. Dans tous les cas, le nombre de personnes concer­nées (ou dans ce cas précis, le nombre de desti­na­taires), l’ancienneté de la commu­ni­ca­tion ainsi que les garan­ties adop­tées doivent être prises en compte.

III. Conclusion

L’arrêt de la CJUE consti­tue une nouvelle pierre dans le jardin du respon­sable du trai­te­ment et démontre l’im­por­tance de prévoir, au sein de chaque respon­sable du trai­te­ment, des procé­dures internes qui consti­tuent le pendant des droits que les nouvelles règles de protec­tion des données (et leur inter­pré­ta­tion par la juris­pru­dence et les auto­ri­tés de contrôle) accordent aux personnes concer­nées. Dans le cas d’es­pèce, l’obli­ga­tion de trans­pa­rence a un impact sur les desti­na­taires, ce qui implique qu’elle doit être reflé­tée dans les contrats conclus avec ces derniers.

Aux respon­sables du trai­te­ment suisses d’en tenir égale­ment compte dans le cadre des travaux de mise en œuvre de la nLPD qui sont en cours.