Thesaurus : Doctrine
► Référence complète : Th. Langlois-Berthelot, La blockchain au regard du droit et de l'identité, thèse de doctorat en Droit et sciences sociales, École des hautes études en sciences sociales (EHESS), 2023, 473 p.
____
________
Oct. 25, 2024
MAFR TV : MAFR TV - Surplomb
🌐suivre Marie-Anne Frison-Roche sur LinkedIn
🌐s'abonner à la Newsletter MAFR. Regulation, Compliance, Law
🌐s'abonner à la Newsletter Surplomb, par MAFR
____
► Référence complète : M.-A. Frison-Roche, "Cumul et articulation Droit spécial de la Compliance et Droit commun de la concurrence déloyale : l’arrêt de la CJUE du 4 octobre 2024 ND/DR", in série de vidéos Surplomb, 25 octobre 2024
____
🌐visionner sur LinkedIn cette vidéo de la série Surplomb
____
____
🎬visionner ci-dessous cette vidéo de la série Surplomb⤵️
____
June 28, 2024
Thesaurus : Doctrine
► Référence complète : E. Netter, "Quand la force de conviction du scoring bancaire provoque sa chute. L'interprétation extensive, par la CJUE, de la prohibition des décisions entièrement automatisées", RTD com., 2024, chron., pp.342-348
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
________
May 30, 2024
Thesaurus : Doctrine
► Référence complète : Th. Douville, "De l'approche extensive de la prise de décision exclusivement automatisée (à propos du refus d'un prêt fondé sur une note de solvabilité communiquée par un tiers)", D. 2024, pp. 1000-1004
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
________
Feb. 15, 2024
Thesaurus : Doctrine
► Full Reference: D. Latour, "Internal investigations within companies", in M.-A. Frison-Roche (ed.), Compliance Jurisdictionalisation, Journal of Regulation & Compliance (JoRC) and Bruylant, "Compliance & Regulation" Serie, 2024, pp. 184-201
____
📘read a general presentation of the book, Compliance Jurisdictionalisation, in which this article is published
____
► Summary of the article ():
____
🦉This article is available in full text to those registered for Professor Marie-Anne Frison-Roche's courses
________
Dec. 12, 2023
Thesaurus : Doctrine
► Référence complète : L. Pailler, "Haro de la Cour de justice sur les services d'aide à la décision !", Dalloz actualité, 12 décembre 2023
____
► Résumé de l'article (fait par l'auteur) : "L'établissement automatisé, par une société fournissant des informations commerciales, d'une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l'avenir constitue une « décision individuelle automatisée », au sens de l'article 22, § 1er, du règlement général sur la protection des données (RGPD), lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu'une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.".
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
________
Dec. 7, 2023
Thesaurus : 05. CJCE - CJUE
► Full Reference: ECJ, First chamber, 7 December 2023, case C‑634/21, Schufa Holding AG
____
____
________
July 15, 2023
Newsletter MAFR - Law, Compliance, Regulation
♾️suivre Marie-Anne Frison-Roche sur LinkedIn
♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, "Compliance & Contrat / lien entre Consentement et Volonté ; enjeu de responsabilité personnelle : CNIL, 15 juin 2023, Criteo", Newsletter MAFR Law, Compliance, Regulation, 15 juillet 2023.
____
📧Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation
____
🧱L'obligation légale de Compliance doit être exécutée grâce à des contrats, mais l'on ne peut s'en décharger par des contrats : CNIL, 15 juin 2023, Criteo
____
📧lire l'article ⤵️
June 22, 2023
Thesaurus : 05. CJCE - CJUE
► Full Reference: CJUE, 1st Chamber, 22 June 2023, C-579/21, Pankki S.
____
________
March 15, 2023
Thesaurus : Doctrine
► Full Reference: I. Gavanon, "Data Protection Law in the Digital Economy Confronted to Monumental Goals", in M.-A. Frison-Roche (ed.), Compliance Monumental Goals, coll. "Compliance & Regulation", Journal of Regulation & Compliance (JoRC) and Bruylant, 2023, p. 137-146.
____
📘read a general presentation of the book, Compliance Monumental Goals, in which this article is published.
____
► Summary of the article:
________
Jan. 12, 2023
Thesaurus : 05. CJCE - CJUE
Référence complète : CJUE, 1ière ch., 12 janv. 2023, RW c. Österreichische Post AG, C-154/21.
____
_____
Fiche de l'arrêt : Dans un contentieux entre un particulier et une entreprise postale (RW c. Österreichische Post AG, la Cour suprême de l'Autriche a décidé le 18 février 2021 de saisir la CJUE d'une question préjudicielle sur le sens à donner au "droit d'accès de la personne concernée à ses données" (article 15 RGPD) : jusqu'où doivent aller les informations à lui communiquer sur les destinataires ou catégories de destinataires auxquelles ces informations sont communiquées par celui qui recueille ces informations.
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
ARRÊT DE LA COUR (première chambre)
12 janvier 2023 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous c) – Droit d’accès de la personne concernée à ses données – Informations sur les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées – Limitations »
Dans l’affaire C‑154/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 18 février 2021, parvenue à la Cour le 9 mars 2021, dans la procédure
RW
contre
Österreichische Post AG,
LA COUR (première chambre),
composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,
avocat général : M. G. Pitruzzella,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
Sept. 30, 2022
Thesaurus : Doctrine
► Référence complète : T. Douville et E. Netter, « Présentation critique du Data governance act », RTD com., 2022, p. 561-574.
____
► Résumé de l'article :
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la professeure Marie-Anne Frison-Roche
________
June 21, 2022
Thesaurus : Soft Law
Référence complète : Equinet : Pour une IA européenne protectrice et garante du principe de non-discrimination, Avis établissant des recommandations et des principes essentiels pour la future législation européenne portant sur l'intelligence artificielle, 21 juin 2022.
____
April 15, 2022
Conferences
► Référence complète : Frison-Roche, M.A., La fonction sociale du Droit de la Compliance, Table-ronde "Les nouvelles formes d'un Droit embrassant son rôle de régulation", in📅Association du Master de Droit privé de Paris I (ADPG), Le rôle de régulateur social du Droit privé, Paris, 15 avril 2022.
____
📅Lire le programme général du colloque
____
► Présentation générale de la conférence : En raison de la conception générale de la journée, ancrée dans le "Droit privé", mais qui oscillait en permanence sur la définition générale de ce qu'est la "régulation sociale" et qui est constitué depuis plus de vingt ans dans une branche du Droit spécifique, le Droit de la Régulation, parce qu'on m'avait demandé de présenter La fonction sociale du Droit de la Compliance, à un public sans doute peu averti du Droit économique, j'ai procédé de la façon suivante :
Je suis partie du souci actuel accru de savoir si le Droit peut avoir une part pour contenir les forces qui régissent le monde et s'y affrontent. Je suis partie de deux cas pratiques. Le premier irait plutôt vers une réponse positive, est celui de l'adoption en cours du Digital Services Act, législation européenne de Compliance qui utilise la puissance des opérateurs numériques cruciaux qui prévenir et lutte contre la haine et la désinformation dans l'espace numérique. Le second cas pratique qui débute est la possible prise de contrôle de Twitter par Elon Musk, opérée par celui-ci au nom de la "Démocratie" et pour l'instant le peu de contrôle que le Droit en cas.
A partir de de ces deux exemples, j'ai repris la définition du Droit de la Compliance, qui n'est pas la procédure par laquelle certains opérateurs devraient montrer qu'ils respectent la totalité des règles qui leurs sont applicables mais qui est substantiellement défini par des buts monumentaux substantiellement voulus posés par le Politique qui trouvent des alliés, volontaires ou contraints, en position de le faire. Ce Droit Ex Ante porte sur le futur, est de nature systémique et utilise des moyens qui traversent toutes les branches du Droit, notamment le contrat et la responsabilité.
Le Droit de la Compliance est le prolongement du Droit de la Régulation. Il opère une régulation sociale et présente trois caractéristiques. Il est forcément mondial. Il est forcément politique. Il est forcément humain.
____
Pour aller plus loin⤵️
📝Le droit de la Régulation, 2001
📝Le Droit de la Compliance, 2016
Sept. 23, 2021
Thesaurus
► Full Reference : A. Linden, "Motivation and publicity of the decisions of the Restricted formation of the French Data Protection Authority (Commission nationale de l'informatique et des libertés – CNIL) in a compliance perspective", in M.-A. Frison-Roche (ed.), Compliance Jurisdictionalisation, Journal of Regulation & Compliance (JoRC) and Bruylant, coll. "Compliance & Regulation", to be published.
____
📘read a general presentation of the book, Complinace Jurisdictionalisation, in which this article is published
____
► Summary of the article (done by the Journal of Regulation and Compliance): In the event of a breach of the personal data protection rules, the restricted formation of the French personal data protection Commission (CNIL) pronounces fines, injunctions of "compliance" or calls to order. It can order the publication of these measures, which can be contested before the French High Administrative supreme court (Conseil d'État).
It is essential that these decisions be justified, not only in order to respect this principle of law but also concretely to obtain the public concerned, being very heterogeneous, understand them, the educational role of the CNIL also being applicable.
The principle of publicity is handled with nuance, the data controllers often requesting a closed door and, in fact, very few public attending the hearing. The publicity of decisions is in itself a sanction. The publication may moreover not be total or may only have a time, anonymization often allowing the balance between necessary pedagogy and preservation of interests, the CNIL taking great attention to the very modalities of publication, even if it cannot control the circulation and the media use which is then made of it.
____
🦉This article is available in full text to those registered for Professor Marie-Anne Frison-Roche's courses
________
Sept. 2, 2021
Interviews
► Référence complète : Frison-Roche, M.-A.,La nouvelle loi de protection des données en Chine est un « anti-RGPD », entretien avec Olivia Dufour, Actu-Juridique, 2 septembre 2021.
____
Les 3 questions posées étaient :
❓ La Chine a adopté fin août une grande loi de protection des données personnelles. Celle-ci est présenté dans les médias comme un équivalent de notre RGPD. Est-ce le cas ?
La réponse est : non.
(lire la réponse développée dans l'entretien)
____
❓ S'agit-il de simples effets indésirables ou bien du but poursuivi par le Législateur ?
La réponse est : Le but du Législateur n'est pas d'armer l'individu contre le pouvoir de l'Etat, c'est au contraire d'accroître le pouvoir de l'Etat, éventuellement contre lui.
(lire la réponse développée dans l'entretien)
____
❓ Si la compliance peut servir les intérêts d'Etats non-démocratiques, c'est donc qu'elle est potentiellement dangereuse ?
La réponse est : elle n'est dangereuse que définie comme "méthode d'efficacité des règles ; il faut définir le Droit de la Compliance par son "but monumental" qui est la protection des personnes. La contradiction de la loi chinoise nouvelle apparaît alors.
(lire la réponse développée dans l'entretien)
____
Aug. 30, 2021
Compliance: at the moment
► An article from March 3, 2021, Smile for the camera: the dark side of China's emotion-recognition tech, then an article from June 16, 2021, "Every smile you fake" - an AI emotion - recognition system can assess how "happy" China's workers are in the office describes how a new technology of emotional recognition is able, through what will soon be out of fashion to call "facial recognition", to distinguish a smile that reflects a mind state of real satisfaction from a smile which does not correspond to it. This allows the employer to measure the suitability of the human being for his or her work. It is promised that it will be used in an ethical way, to improve well-being at work. But isn't it in itself that this technology is incompatible with any compensation through ethical support?
The technology developed by a Chinese technology company and acquired by other Chinese companies with many employees, allows to have information on the actual state of mind of the person through and beyond his or her facial expressions and bodily behavior.
Previously, the technology of emotional recognition had been developed to ensure security, by fighting against people with hostile plans, public authorities using it for example in the controls at airports to detect the criminal plans which some passengers could have.
It is now affirmed that it is not about fighting against some evil people ("dangerousness") to protect the group before the act is committed ("social defense”) but that it is about helping all workers.
Indeed, the use that will be made of it will be ethical, because first the people who work for these Chinese companies with global activity, like Huawaï, do it freely and have accepted the operation of these artificial intelligence tools (which is not the case with people who travel, control being then a kind of necessary evil that they do not have to accept, which is imposed on them for the protection of the group), but even and above all, the purpose is itself ethical: if it turns out that the person does not feel well at work, that they are not happy there, even before they are perhaps aware, the company can assist.
Let’s take this practical case from the perspective of Law and let’s imagine that it is contested before a judge applying the principles of Western Law.
Would this be acceptable?
No, and for three reasons.
1. An "ethical use" cannot justify an unethical process in itself
2. The first freedoms are negative
3. "Consent" should not be the only principle governing the technological and digital space
I. AN "ETHICAL USE" CAN NEVER LEGITIMATE AN UNETHICAL PROCESS IN ITSELF
These unethical processes in themselves cannot be made "acceptable" by an "ethical use" which will be made of them.
This principle was especially reminded by Sylviane Agacinski in bioethics: if one cannot dispose of another through a disposition of his or her body which makes his or her very person available (see not. Agacinski, S., ➡️📗Le tiers-corps. Réflexions sur le don d’organes, 2018).
Except to make the person reduced to the thing that his or her body is, which is not ethically admissible in itself, that is excluded, and Law is there in order to this is not possible.
This is even why the legal notion of "person", which is not a notion that goes without saying, which is a notion built by Western thought, acts as a bulwark so that human beings cannot be fully available to others, for example by placing their bodies on the market (see Frison-Roche, M.-A., ➡️📝To protect human beings, the ethical imperative of the legal notion of person, 2018). This is why, for example, as Sylviane Agacinski emphasizes, there is no ethical slavery (a slave who cannot be beaten, who must be well fed, etc.).
That the human being agrees ("and what about if it pleases me to be beaten?") does not change anything.
II. THE FIRST FREEDOM IS THE ONE TO SAY NO, FOR EXAMPLE BY REFUSING TO REVEAL YOUR EMOTIONS: FOR EXAMPLE HIDING IF YOU ARE HAPPY OR NOT TO WORK
The first freedom is not positive (being free to say Yes); it is negative (being free to say No). For example, the freedom of marriage is having the freedom not to marry before having the freedom to marry: if one does not have the freedom not to marry, then the freedom to marry loses any value. Likewise, the freedom to contract implies the freedom not to contract, etc.
Thus, freedom in the company can take the form of freedom of speech, which allows people, according to procedures established by Law, to express their emotions, for example their anger or their disapproval, through the strike.
But this freedom of speech, which is a positive freedom, has no value unless the worker has the fundamental freedom not to express his or her emotions. For example if he or she is not happy with his or her job, because he or she does not appreciate what he or she does, or he or she does not like the place where he or she works, or he or she does not like people with whom he or she works, his or her freedom of speech demands that he or she have the right not to express it.
If the employer has a tool that allows him or her to obtain information about what the worker likes and dislikes, then the employee loses this first freedom.
In the Western legal order, we must be able to consider that it is at the constitutional level that the infringement is carried out through Law of Persons (on the intimacy between the Law of Persons and the Constitutional Law, see Marais , A., ➡️📕Le Droit des personnes, 2021).
III. CONSENT SHOULD NOT BE THE ONLY PRINCIPLE GOVERNING THE TECHNOLOGICAL AND DIGITAL SPACE
We could consider that the case of the company is different from the case of the controls operated by the State for the monitoring of airports, because in the first case observed people are consenting.
"Consent" is today the central notion, often presented as the future of what everyone wants: the "regulation" of technology, especially when it takes the form of algorithms ("artificial intelligence"), especially in digital space.
"Consent" would allow "ethical use" and could establish the whole (on these issues, see Frison-Roche, M.-A., ➡️📝Having a good behavior in the digital space, 2019).
"Consent" is a notion from which Law is today moving away in Law of Persons, in particular as regards the "consent" given by adolescents on the availability of their body, but not yet on digital.
No doubt because in Contract Law, "consent" is almost synonymous with "free will", whereas they must be distinguished (see Frison-Roche, M.-A., ➡️📝Remarques sur la distinction entre la volonté et le consentement en Droit des contrats, 1995).
But we see through this case, which precisely takes place in China, that "consent" is in Law as elsewhere a sign of submission. It is only in a probative way that it can constitute proof of a free will; this proof must not turn into an irrebuttable presumption.
The Data Regulatory Authorities (for example in France the CNIL) seek to reconstitute this probative link between "consent" and "freedom to say No" so that technology does not allow by "mechanical consents", cut off from any connection with the principle of freedom which protects human beings, from dispossessing themselves (see Frison-Roche, M.-A., Yes to the principle of will, No to pure consents, 2018).
The more the notion of consent will be peripheral, the more human beings will be able to be active and protected.
________
June 18, 2021
Compliance: at the moment
► Law is slow, but firm. By its judgment of June 15, 2021, Facebook , the European Union Court of Justice widely interprets the powers of National Authorities, since they serve the people protection in the digital space (➡️📝(CJEU, June 15, 2021, Facebook).
Law is slow. The reproach is so often made. But the bottom line is that, in the noise of changing regulations, it establishes clear and firm principles, letting everyone know what to stand for. The more the world is changing, the more Law is required.
When Law degenerates into regulations, then it is up to the Judge to make Law. "Supreme Courts" appear, de jure as in the United States, de facto as in the European Union by the Court of Justice of the European Union which lays down the principles, before everyone else, as it did for the "right to be forgotten" in 2014 (➡️📝CJEU, Google Spain, May 13, 2014), and then with the impossibility of transferring data to third countries without the consent of the people concerned (➡️📝CJEU, Schrems, October 6, 2015).
Facebook litigation is kind of a novel. The company knows that it is above all to the Courts that it speaks. In Europe, it is doing it behind the walls of the Irish legal space, from which it would like to be able not to leave before better dominating the global digital space, while national regulatory authorities want to take it to protect citizens.
There is therefore a technical question of "jurisdictional competence". The texts have provided for this, but Law is clumsy because it was designed for a world still anchored in the ground: the GDPR of 2016 therefore organizes cooperation between national regulatory authorities through a "one-stop-shop", forcing the authorities to relinquish jurisdiction so that the case is only handled by the "lead" National Authority. This avoids splintering and contradiction. But before the adoption of the GDPR, the Belgian data protection regulator had opened a procedure against Facebook concerning cookies. The "one-stop-shop" mechanism, introduced in 2016, is therefore only mentioned before the Brussels Court of Appeal, which is asked to relinquish jurisdiction in favor of the Irish Regulatory Authority, since the company has in Europe its head office in this country. The Court of Appeal referred to the CJEU for a preliminary ruling.
By its judgment of June 15, 2021 (➡️📝CJUE, Facebook, June 15, 2021), it follows the conclusions of its Advocate General and maintains the jurisdiction of the Belgian National Regulator because, even after the GDPR, the case still undergoes national treatment. In this decision, the most important is its reasoning and the principle adopted. The Court notes that the "one-stop-shop" rule is not absolute and that the national regulatory authority has the power to maintain its jurisdiction, in particular if cooperation between national authorities is difficult.
Even more, will it not one day have to adjust Law more radically? We need to consider the fact that the digital space is not bound by borders and that the ambition of "cross-border cooperation" is ill-suited. It is of course on this observation of inefficiency, consubstantial with the digital space, that the European Public Prosecutor's Office (EPPO) was designed and set up, which is not a cooperation, nor a "one-stop shop", but a body of the Union, acting locally for the Union, directly linked to Compliance concerns (➡️📝Frison-Roche, M.-A. "The European Public Prosecutor's Office is a considerable contribution to Compliance Law", 2021 and ., European Public Prosecutor's Office comes on stage: the company having itself become a private prosecutor, are we going towards an alliance of all prosecutors ?, 2021).
So that's what we should be inspired by.
June 15, 2021
Thesaurus : 05. CJCE - CJUE
Full reference: CJEU, Grand chamber, Judgment Facebook Ireland e.a. v. Gegevensbeschermingsautoriteit, C-645-19, June 15, 2021
Read the abstract of the judgment done by the Court
Jan. 11, 2021
Interviews
Full reference: Frison-Roche, M.-A., "Let's Use the Power of GAFAMs in the Service of General Interest!" ("Utilisons la puissance des GAFAMs au service de l'intérêt général!"), interview done by Olivia Dufour, Actu-juridiques Lextenso, 11st of January 2021
Read the interview (in French)
Summary of the interview by Olivia Dufour:
Marie-Anne Frison-Roche, Professor of Regulation and Compliance Law, reported to the government in 2019 about Internet governance. For this expert, giving a disciplinary power to GAFAMs is the only effective solution. And the suppression of Donald Trump's account is not likely to call this analysis into question.
The three questions (translated in English here by ourselves) asked by Olivia Dufour are:
Read the answers to these three questions (in French)
To go further, especially about the logics that guide the Avia system, see:
Dec. 10, 2020
Thesaurus : 03. Conseil d'Etat
Dec. 8, 2020
Thesaurus : Doctrine
► Référence complète : K. Sontag, "L'humain", in J.-B. Racine (dir.), Le droit économique au XXIe siècle. Notions et enjeux, LGDJ, coll. "Droit & Économie", 2020, pp. 395-416
____
📕consulter une présentation générale de l'ouvrage, Le droit économique au XXIe siècle. Notions et enjeux, dans lequel cet article est publié
____
► Résumé de l'article :
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
________
Dec. 7, 2020
Thesaurus : Doctrine
Full reference: Vergnolle, S., L'effectivité de la protection des personnes par le droit des données à caractère personnel (The effectiveness of the protection of people by personal data Law (our translation)), Passa, J. (dir.), thesis, Law, Panthéon-Assas University (Paris II), 2020, 531 p.
Read directly and only the table of contents (in French)
To go further about regulation of personal data, read:
Nov. 23, 2020
Interviews
Full reference: Frison-Roche, M.-A., Facebook: Quand le Droit de la Compliance démontre sa capacité à protéger les personnes (Facebook: When Compliance Law proves its ability to protect people), interview with Olivia Dufour, Actu-juridiques Lextenso, 23rd of November 2020
Read the interview (in French)
Read the news of the Newsletter MAFR - Law, Compliance, Regulation about this question