Arrêt CJUE C‑154/​21 du 12 janvier 2023 (RW c. Österreichische Post AG)

Nota bene : La présente contri­bu­tion fait partie d’une série de trois contri­bu­tions consa­crées à l’arrêt C­-154/21 rendu par la Cour de justice de l’Union euro­péenne le 12 janvier 2023 concer­nant l’interprétation du droit d’accès (cf. www​.swiss​pri​vacy​.law/​217 pour une analyse de droit comparé et www​.swiss​pri​vacy​.law/​218 pour des réflexions concer­nant la mise en œuvre pratique de cette juris­pru­dence). Cette première contri­bu­tion vise à analy­ser l’arrêt de la Cour de justice de l’Union euro­péenne et son impact.

I. Introduction

La Cour de justice de l’Union euro­péenne (CJUE) a rendu le 12 janvier 2023 un arrêt concer­nant l’interprétation de l’art. 15 par. 1 let. c RGPD. Cette dispo­si­tion permet à la personne concer­née, dans le cadre d’une demande de droit d’accès, d’obtenir de la part du respon­sable du trai­te­ment les desti­na­taires ou les caté­go­ries de desti­na­taires auxquels les données person­nelles ont été ou seront commu­ni­quées. Dans le cadre du présent litige, il était demandé à la CJUE de déter­mi­ner si le droit d’accès permet à la personne concer­née d’obtenir sur sa demande, lorsque des données person­nelles ont été parta­gées, l’identité du destinataire.

Suivant les conclu­sions de l’avocat géné­ral Pitruzzella, la CJUE est d’avis que, lorsque des données person­nelles sont commu­ni­quées, le respon­sable du trai­te­ment doit four­nir à la personne concer­née, sur sa demande, l’identité des desti­na­taires. Il peut néan­moins être admis, dans des circons­tances spéci­fiques et concrètes, qu’il ne soit pas possible de four­nir l’identité des desti­na­taires. Dans un tel cas, le droit d’accès peut être limité aux caté­go­ries de destinataires.

L’interprétation que fait la CJUE de l’art. 15 par. 1 let. c RGPD a pour avan­tage de garan­tir à la personne concer­née une plus grande trans­pa­rence des trai­te­ments. La CJUE ouvre néan­moins une boîte de Pandore au vu des impli­ca­tions pratiques engen­drées par cette inter­pré­ta­tion pour le respon­sable du trai­te­ment et rend ainsi l’application du RGPD encore plus complexe.

II. Motivation de la CJUE

La moti­va­tion de la CJUE est en partie – si ce n’est entiè­re­ment – reprise des conclu­sions de l’avocat géné­ral Pitruzzella (cf. www​.swiss​pri​vacy​.law/​179). La moti­va­tion de la CJUE peut être résu­mée en deux prin­ci­paux points.

Le premier concerne la raison pour laquelle la CJUE estime impor­tant que le droit d’accès puisse permettre à la personne concer­née d’obtenir l’identité du desti­na­taire. La CJUE rappelle ici que le droit d’accès est l’institution clé concré­ti­sant la protec­tion de la person­na­lité de la personne concer­née. Sans le droit d’accès, la personne concer­née ne pour­rait pas faire effec­ti­ve­ment valoir les autres droits insti­tués par le RGPD, à savoir le droit de recti­fi­ca­tion (art. 16 RGPD), le droit à l’effacement (art. 17 RGPD), le droit à la limi­ta­tion du trai­te­ment (art. 18 RGPD), le droit d’opposition au trai­te­ment (art. 21 RGPD), le droit à un recours juri­dic­tion­nel effec­tif (art. 79 RGPD) et le droit d’ob­te­nir la répa­ra­tion du dommage subi (82 RGPD). C’est dans l’op­tique de garan­tir l’effet utile de l’ensemble des droits mention­nés – tant auprès du respon­sable du trai­te­ment qu’auprès des desti­na­taires – que la personne concer­née doit dispo­ser d’un droit à être informé de l’identité des desti­na­taires concrets.

Le second concerne la raison pour laquelle il appar­tient à la personne concer­née de choi­sir entre la possi­bi­lité d’obtenir l’identité des desti­na­taires de la commu­ni­ca­tion ou simple­ment celle des caté­go­ries de desti­na­taires. Sur ce point, la CJUE procède à une compa­rai­son avec l’obligation du respon­sable du trai­te­ment d’informer la personne concer­née de tout trai­te­ment de données person­nelles (art. 13 et 14 RGPD). Dans le cadre du devoir d’informer, le choix de commu­ni­quer l’identité des desti­na­taires ou les caté­go­ries de desti­na­taires revient au respon­sable du trai­te­ment dès lors que l’obligation lui incombe de manière géné­rale, indé­pen­dam­ment d’une requête de la personne concer­née. À l’inverse, selon la CJUE, l’exercice du droit d’accès par la personne concer­née implique logi­que­ment que son titu­laire se voit attri­buer la possi­bi­lité de choi­sir d’obtenir l’accès, lorsque cela est possible, à l’identité des desti­na­taires ou, sinon, de se borner à deman­der des infor­ma­tions concer­nant les caté­go­ries de desti­na­taires. Le raison­ne­ment de la CJUE est par ailleurs fondé sur le consi­dé­rant 63 RGPD qui prévoit expli­ci­te­ment que toute personne doit avoir le droit de connaître et de se faire commu­ni­quer l’identité des desti­na­taires des données personnelles.

III. Étendue de la notion de destinataire

Le « desti­na­taire » est défini à l’art. 4 ch. 9 RGPD comme « la personne physique ou morale, l’autorité publique, le service ou tout autre orga­nisme qui reçoit commu­ni­ca­tion de données à carac­tère person­nel, qu’il s’agisse ou non d’un tiers […] ».

La défi­ni­tion couvre quiconque reçoit des données person­nelles, qu’il s’agisse d’un « tiers » (art. 4 ch. 10 RGPD, une notion qui ne comprend notam­ment pas les sous-trai­tants) ou non. Ainsi, lorsqu’un respon­sable du trai­te­ment envoie des données person­nelles à une autre entité, à savoir un sous-trai­tant (art. 4 ch. 8 RGPD), un tiers (art. 4 ch. 10 RGPD) ou un respon­sable conjoint du trai­te­ment (art. 26 RGPD), cette entité est un « desti­na­taire ». Nous souli­gnons que, confor­mé­ment au consi­dé­rant 31 RGPD, les auto­ri­tés publiques ne doivent toute­fois pas être consi­dé­rées comme des « desti­na­taires » lorsqu’elles reçoivent des données person­nelles dans le cadre d’une demande parti­cu­lière confor­mé­ment au droit de l’Union euro­péenne ou au droit d’un État membre (par exemple, les auto­ri­tés fiscales et doua­nières, les cellules d’enquête finan­cière, etc.). Ces notions ont par ailleurs été préci­sées par le Comité euro­péen de la protec­tion des données (cf. CEPD, Lignes direc­trices 07/​2020).

IV. Cas de la sous-trai­tance en cascade

Le cas de la sous-trai­tance en cascade concerne l’hypothèse dans laquelle un sous-trai­tant confie les données person­nelles à son tour à un sous-trai­tant dans le cadre d’une délé­ga­tion d’une partie du trai­te­ment. Dans la pratique, une telle hypo­thèse est courante. La sous-trai­tance en cascade fait l’objet de dispo­si­tions spéci­fiques aux art. 28 par. 2 et 4 RGPD. Déterminer si le sous-trai­tant ulté­rieur tombe dans le cercle des « desti­na­taires » demeure impor­tant en raison de la longueur hypo­thé­tique d’une chaîne de trai­te­ment (p. ex. dans le domaine du cloud compu­ting) et des consé­quences pratiques que cela implique. Il est malheu­reu­se­ment diffi­cile répondre avec exac­ti­tude à cette ques­tion au vu des argu­ments qui s’opposent.

Premièrement, les notions de « commu­ni­ca­tion », de « desti­na­taire » et de « tiers » ne sont pas clairs et peuvent lais­ser une – trop – grande place à l’interprétation . À ceci s’ajoute le fait que les termes utili­sés dans d’autres langues, en parti­cu­lier le terme de « disclo­sure » (qui est utili­sée comme équi­valent au terme de « commu­ni­ca­tion » dans la version anglaise du RGPD alors que celui-ci est, dans son sens litté­ral, plus restric­tif) ou l’expression « die Offenlegung » (qui est utili­sée comme équi­valent au terme de « commu­ni­ca­tion » dans la version alle­mande du RGPD, alors que celui-ci est égale­ment, dans son sens litté­ral, plus restric­tif) peuvent créer d’importantes diffé­rences d’interprétation.

Deuxièmement, un sous-trai­tant peut recru­ter un autre sous-trai­tant qu’après avoir obtenu l’autorisation écrite du respon­sable du trai­te­ment. Cette auto­ri­sa­tion peut être, au choix des parties (i) spéci­fique, soit accor­dée pour un sous-trai­tant parti­cu­lier ou (ii) géné­rale, soit accor­dée de manière géné­rale pour tout sous-trai­tant ulté­rieur. Si la sous-trai­tance ulté­rieure repose sur une auto­ri­sa­tion spéci­fique, le respon­sable du trai­te­ment doit vali­der pour chaque sous-trai­tant ulté­rieur sa parti­ci­pa­tion au trai­te­ment. Si elle repose sur une auto­ri­sa­tion géné­rale, le sous-trai­tant doit remettre à tout le moins au respon­sable du trai­te­ment une liste des sous-trai­tants ulté­rieurs envi­sa­gés et l’informer de tout chan­ge­ment (European Data Protection Board, Lignes direc­trices 07/​2020, par. 152). Dans les deux cas, le respon­sable du trai­te­ment a connais­sance de toutes les parties prenantes de la chaîne de trai­te­ment, ce qui implique – au moins en théo­rie – que le respon­sable du trai­te­ment peut avoir une vue d’ensemble de toute la chaîne de sous-trai­tance (même si en pratique, dans le cas du cloud compu­ting, celle-ci peut évoluer rapidement).

Troisièmement, le sous-trai­tant ulté­rieur est soumis aux mêmes obli­ga­tions que celles prévues entre le respon­sable du trai­te­ment et son sous-trai­tant. À ce titre, le sous-trai­tant ulté­rieur doit présen­ter des garan­ties suffi­santes quant à la mise en œuvre de mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour que le trai­te­ment soit conforme à la loi – ce qui permet d’assurer d’une certaine manière la licéité du trai­te­ment. Le sous-trai­tant est respon­sable vis-à-vis du respon­sable de trai­te­ment de l’exécution par le sous-trai­tant ulté­rieur de ses obli­ga­tions. En effet, le respon­sable du trai­te­ment n’a aucun lien avec le sous-trai­tant ulté­rieur. Dès lors que le respon­sable du trai­te­ment ne peut être tenu respon­sable des actions du sous-trai­tant ulté­rieur que de manière limi­tée et qu’il ne lui commu­nique aucune donnée direc­te­ment, il pour­rait appa­raître dispro­por­tionné de le consi­dé­rer comme un desti­na­taire. Si la ques­tion des respon­sa­bi­li­tés des uns et des autres envers les uns et les autres ne joue qu’un rôle secon­daire dans le cas du droit d’accès, celle-ci doit néan­moins être prise en compte pour tenir compte du travail qui revien­drait à la charge du respon­sable du traitement.

Au vu de ce qui précède, un flou existe quant à savoir si le sous-trai­tant ulté­rieur doit être compris dans la notion de « desti­na­taire ». Même si le contexte de l’affaire ne s’y prêtait pas, nous regret­tons que la CJUE n’ait pas abordé le sujet afin d’avoir une réponse claire, ce qui aurait permis au respon­sable du trai­te­ment de répondre à ses obli­ga­tions avec toute la séré­nité possible. À noter fina­le­ment que la personne concer­née ne dispose d’un droit d’accès qu’à l’égard du respon­sable du trai­te­ment confor­mé­ment à l’art. 15 par. 1 RGPD. Il lui sera ainsi impos­sible d’exercer à l’encontre du sous-trai­tant (ou du sous-trai­tant ulté­rieur) son droit d’accès. Ceci s’explique en raison de la répar­ti­tion claire des respon­sa­bi­li­tés entre le respon­sable du trai­te­ment et du sous-trai­tant (ce dernier étant toute­fois tenu d’aider le respon­sable du trai­te­ment dans le trai­te­ment d’une telle requête).

V. Le risque de l’amende administrative

Que risque le respon­sable du trai­te­ment qui se limi­te­rait à remettre à la personne concer­née les seules caté­go­ries des desti­na­taires alors que la personne concer­née a expres­sé­ment requis la commu­ni­ca­tion des desti­na­taires ? Si aucune donnée person­nelle n’a été commu­ni­quée, le respon­sable du trai­te­ment ne se met pas en porte-à-faux par rapport à l’interprétation que donne la CJUE au droit d’accès. Si des données person­nelles sont – ou ont été commu­ni­quées – à des desti­na­taires et que le respon­sable du trai­te­ment se borne à trans­mettre unique­ment les caté­go­ries des desti­na­taires, celui-ci prend le risque de se voir infli­ger une amende admi­nis­tra­tive. Conformément à l’art. 83 par. 5 let. b RGPD, l’autorité de protec­tion des données saisie peut pronon­cer une amende admi­nis­tra­tive pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entre­prise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précé­dent. Le calcul des amendes admi­nis­tra­tives pronon­cées sur la base du RGPD fait l’objet de lignes direc­trices établies par le Comité euro­péen de la protec­tion des données (cf. www​.swiss​pri​vacy​.law/​162).

VI. Conclusion

En permet­tant à la personne concer­née, dans le cadre d’une demande de droit d’accès, d’obtenir de la part du respon­sable du trai­te­ment l’identité des desti­na­taires auxquels les données person­nelles sont – ou ont été – commu­ni­quées, la CJUE ouvre une boîte de Pandore et ajoute (encore une!) couche de complexité au mille-feuilles de la mise en œuvre du RGPD. Dans le cadre de son arrêt, la CJUE n’a procédé à aucune mise en balance des inté­rêts de la personne concer­née et du respon­sable du trai­te­ment. La CJUE s’est limi­tée à rappe­ler que le droit d’accès est néces­saire pour permettre à la personne concer­née d’exercer ses autres droits. La CJUE n’a pas non plus envi­sagé l’impossibilité de four­nir l’identité des desti­na­taires en raison d’un secret d’affaires ou profes­sion­nel. Il sera inté­res­sant de voir les démarches que les respon­sables du trai­te­ment entre­pren­dront afin de se confor­mer à l’interprétation de la CJUE.