15 juillet 2023
Newsletter MAFR - Law, Compliance, Regulation
♾️suivre Marie-Anne Frison-Roche sur LinkedIn
♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law
____
► Référence complète : M.-A. Frison-Roche, "Compliance & Contrat / lien entre Consentement et Volonté ; enjeu de responsabilité personnelle : CNIL, 15 juin 2023, Criteo", Newsletter MAFR Law, Compliance, Regulation, 15 juillet 2023.
____
📧Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation
____
🧱L'obligation légale de Compliance doit être exécutée grâce à des contrats, mais l'on ne peut s'en décharger par des contrats : CNIL, 15 juin 2023, Criteo
____
📧lire l'article ⤵️
22 juin 2023
Base Documentaire : 05. CJCE - CJUE
► Référence complète : CJUE, 1ière chambre, 22 juin 2023, aff. C-579/21, Pankki S.
____
________
15 mars 2023
Base Documentaire : Doctrine
► Référence complète : I. Gavanon, "Data Protection Law in the Digital Economy Confronted to Monumental Goals", in M.-A. Frison-Roche (ed.), Compliance Monumental Goals, coll. "Compliance & Regulation", Journal of Regulation & Compliance (JoRC) et Bruylant, 2023, p. 137-146.
____
📘consulter une présentation générale de l'ouvrage, Compliance Monumental Goals, dans lequel cet article est publié.
____
► Résumé de l'article :
________
12 janvier 2023
Base Documentaire : 05. CJCE - CJUE
Référence complète : CJUE, 1ière ch., 12 janv. 2023, RW c. Österreichische Post AG, C-154/21.
____
_____
Fiche de l'arrêt : Dans un contentieux entre un particulier et une entreprise postale (RW c. Österreichische Post AG, la Cour suprême de l'Autriche a décidé le 18 février 2021 de saisir la CJUE d'une question préjudicielle sur le sens à donner au "droit d'accès de la personne concernée à ses données" (article 15 RGPD) : jusqu'où doivent aller les informations à lui communiquer sur les destinataires ou catégories de destinataires auxquelles ces informations sont communiquées par celui qui recueille ces informations.
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
ARRÊT DE LA COUR (première chambre)
12 janvier 2023 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous c) – Droit d’accès de la personne concernée à ses données – Informations sur les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées – Limitations »
Dans l’affaire C‑154/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 18 février 2021, parvenue à la Cour le 9 mars 2021, dans la procédure
RW
contre
Österreichische Post AG,
LA COUR (première chambre),
composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,
avocat général : M. G. Pitruzzella,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour RW, par Me R. Haupt, Rechtsanwalt,
– pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,
– pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,
– pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,
– pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,
– pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,
– pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.
Le cadre juridique
3 Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :
« (4) [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]
[...]
(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]
[...]
(63) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :
« 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
[...]
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou
b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
[...] »
7 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]
[...] »
8 L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :
« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
[...]
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
[...] »
9 Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
a) les finalités du traitement ;
b) les catégories de données à caractère personnel concernées ;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »
10 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :
« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
11 Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
[...] »
12 L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
[...] »
13 L’article 19 du RGPD est ainsi libellé :
« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »
14 Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :
« 1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »
15 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
Le litige au principal et la question préjudicielle
17 Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.
18 En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.
19 RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.
20 Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.
21 Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.
22 RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.
23 Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.
24 Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.
25 En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.
26 Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.
27 Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »
Sur la question préjudicielle
28 Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.
29 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).
30 S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.
31 À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.
32 Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.
33 Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.
34 En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).
35 Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.
36 En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.
37 En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).
38 En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).
39 Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.
40 Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
41 Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.
42 Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.
43 Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.
44 Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).
45 Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.
46 Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.
47 Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).
48 Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.
49 En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.
50 En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.
51 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Sur les dépens
52 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
Signatures
* Langue de procédure : l’allemand.
30 septembre 2022
Base Documentaire : Doctrine
► Référence complète : T. Douville et E. Netter, « Présentation critique du Data governance act », RTD com., 2022, p. 561-574.
____
► Résumé de l'article :
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la professeure Marie-Anne Frison-Roche
________
21 juin 2022
Base Documentaire : Soft Law
Référence complète : Equinet : Pour une IA européenne protectrice et garante du principe de non-discrimination, Avis établissant des recommandations et des principes essentiels pour la future législation européenne portant sur l'intelligence artificielle, 21 juin 2022.
____
15 avril 2022
Conférences
► Référence complète : Frison-Roche, M.A., La fonction sociale du Droit de la Compliance, Table-ronde "Les nouvelles formes d'un Droit embrassant son rôle de régulation", in📅Association du Master de Droit privé de Paris I (ADPG), Le rôle de régulateur social du Droit privé, Paris, 15 avril 2022.
____
📅Lire le programme général du colloque
____
► Présentation générale de la conférence : En raison de la conception générale de la journée, ancrée dans le "Droit privé", mais qui oscillait en permanence sur la définition générale de ce qu'est la "régulation sociale" et qui est constitué depuis plus de vingt ans dans une branche du Droit spécifique, le Droit de la Régulation, parce qu'on m'avait demandé de présenter La fonction sociale du Droit de la Compliance, à un public sans doute peu averti du Droit économique, j'ai procédé de la façon suivante :
Je suis partie du souci actuel accru de savoir si le Droit peut avoir une part pour contenir les forces qui régissent le monde et s'y affrontent. Je suis partie de deux cas pratiques. Le premier irait plutôt vers une réponse positive, est celui de l'adoption en cours du Digital Services Act, législation européenne de Compliance qui utilise la puissance des opérateurs numériques cruciaux qui prévenir et lutte contre la haine et la désinformation dans l'espace numérique. Le second cas pratique qui débute est la possible prise de contrôle de Twitter par Elon Musk, opérée par celui-ci au nom de la "Démocratie" et pour l'instant le peu de contrôle que le Droit en cas.
A partir de de ces deux exemples, j'ai repris la définition du Droit de la Compliance, qui n'est pas la procédure par laquelle certains opérateurs devraient montrer qu'ils respectent la totalité des règles qui leurs sont applicables mais qui est substantiellement défini par des buts monumentaux substantiellement voulus posés par le Politique qui trouvent des alliés, volontaires ou contraints, en position de le faire. Ce Droit Ex Ante porte sur le futur, est de nature systémique et utilise des moyens qui traversent toutes les branches du Droit, notamment le contrat et la responsabilité.
Le Droit de la Compliance est le prolongement du Droit de la Régulation. Il opère une régulation sociale et présente trois caractéristiques. Il est forcément mondial. Il est forcément politique. Il est forcément humain.
____
Pour aller plus loin⤵️
📝Le droit de la Régulation, 2001
📝Le Droit de la Compliance, 2016
23 septembre 2021
Base Documentaire
► Référence complète : A. Linden, "Motivation and publicity of the decisions of the Restricted formation of the French Data Protection Authority (Commission nationale de l'informatique et des libertés – CNIL) in a compliance perspective", in M.-A. Frison-Roche (ed.), Compliance Jurisdictionalisation, Journal of Regulation & Compliance (JoRC) et Bruylant, coll. "Compliance & Regulation", à paraître.
____
📘consulter une présentation générale de l'ouvrage, Compliance Jurisdictionalisation, dans lequel cet article est publié
____
► Summary of the article (done by the Journal of Regulation and Compliance): In the event of a breach of the personal data protection rules, the restricted formation of the French personal data protection Commission (CNIL) pronounces fines, injunctions of "compliance" or calls to order. It can order the publication of these measures, which can be contested before the French High Administrative supreme court (Conseil d'État).
It is essential that these decisions be justified, not only in order to respect this principle of law but also concretely to obtain the public concerned, being very heterogeneous, understand them, the educational role of the CNIL also being applicable.
The principle of publicity is handled with nuance, the data controllers often requesting a closed door and, in fact, very few public attending the hearing. The publicity of decisions is in itself a sanction. The publication may moreover not be total or may only have a time, anonymization often allowing the balance between necessary pedagogy and preservation of interests, the CNIL taking great attention to the very modalities of publication, even if it cannot control the circulation and the media use which is then made of it.
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
_________
2 septembre 2021
Interviews
► Référence complète : Frison-Roche, M.-A.,La nouvelle loi de protection des données en Chine est un « anti-RGPD », entretien avec Olivia Dufour, Actu-Juridique, 2 septembre 2021.
____
Les 3 questions posées étaient :
❓ La Chine a adopté fin août une grande loi de protection des données personnelles. Celle-ci est présenté dans les médias comme un équivalent de notre RGPD. Est-ce le cas ?
La réponse est : non.
(lire la réponse développée dans l'entretien)
____
❓ S'agit-il de simples effets indésirables ou bien du but poursuivi par le Législateur ?
La réponse est : Le but du Législateur n'est pas d'armer l'individu contre le pouvoir de l'Etat, c'est au contraire d'accroître le pouvoir de l'Etat, éventuellement contre lui.
(lire la réponse développée dans l'entretien)
____
❓ Si la compliance peut servir les intérêts d'Etats non-démocratiques, c'est donc qu'elle est potentiellement dangereuse ?
La réponse est : elle n'est dangereuse que définie comme "méthode d'efficacité des règles ; il faut définir le Droit de la Compliance par son "but monumental" qui est la protection des personnes. La contradiction de la loi chinoise nouvelle apparaît alors.
(lire la réponse développée dans l'entretien)
____
30 août 2021
Compliance : sur le vif
► Un article du 3 mars 2021, Smile for the camera: the dark side of China's emotion-recognition tech, puis un article du 16 juin 2021, "Every smile you fake" - an AI emotion - recognition system can assess how "happy" China's workers are in the office décrit la façon dont une nouvelle technologie de reconnaissance émotionnelle est apte, à travers ce qui sera bientôt démodé d'appeler la "reconnaissance faciale", de distinguer un sourire qui traduit un état de satisfaction effective d'un sourire qui n'y correspond pas. Cela permet à l'employeur de mesurer l'adéquation de l'être humain à son travail. Il est promis qu'il en sera fait usage d'une façon éthique, pour améliorer le bien-être au travail. Mais n'est-ce pas en soi que cette technologie est incompatible avec toute compensation par un accompagnement éthique ?
____
La technologie élaborée par une entreprise technologique chinoise et acquise par d'autres entreprises chinoises ayant beaucoup d'employés, permet d'avoir de l'information sur l'état d'esprit effectif de la personne à travers et au-delà de ses mimiques faciales et de son comportement corporel.
La technologie de reconnaissance émotionnelle avait été mise au point pour assurer la sécurité, en luttant contre des personnes au projet hostile, les Autorités publiques l'utilisant par exemple dans les contrôles dans les aéroports pour détecter les desseins criminels que pourraient avoir certains passagers.
Il est affirmé ainsi que non pas qu'il s'agit de lutter contre quelques personnes malfaisantes ("dangerosité") pour protéger le groupe avant que l'acte ne soit commis ("défense sociale) mais qu'il s'agit d'aider l'ensemble des travailleurs.
En effet non seulement l'usage qui en sera fait sera éthique, car en premier lieu les personnes qui travaillent pour ces entreprises chinoises à l'activité mondiale, comme Huawaï, le font librement et ont accepté le fonctionnement de ces outils d'intelligence artificielle (ce qui n'est pas le cas des personnes qui voyagent (le contrôle étant alors un sorte de mal nécessaire qu'ils n'ont pas à accepter, qui leur est imposé pour la sauvegarde du groupe), mais encore et surtout que la finalité est elle-même éthique : s'il s'avère que la personne ne se sent pas bien au travail, qu'elle n'y est pas heureuse, avant même qu'elle ait peut-être conscience, l'entreprise pourra lui venir en aide.
____
Prenons ce cas pratique du côté du Droit et imaginons que cela soit contesté devant un juge appliquant les principes du Droit occidental.
Est-ce que cela serait admissible ?
Non, et pour trois raisons.
1. Un "usage éthique" ne peut pas justifier un procédé en soi non-éthique
2. Les premières libertés sont négatives
3. Le "consentement" ne doit pas le seul principe régissant l'espace technologique et numérique
____
I. UN "USAGE ETHIQUE" NE PEUT JAMAIS LEGITIMER UN PROCEDE EN SOI NON-ETHIQUE
es procédés en eux-mêmes non-éthiques ne peuvent pas être rendus "admissibles" par un "usage éthique" qui en sera fait.
Ce principe a été rappelé notamment par Sylviane Agacinski en matière bioéthique : si l'on ne peut pas disposer de la personne d'autrui à travers une disposition de son corps qui rend sa personne même disponible (v. not. Agacinski, S., ➡️📗 Le tiers-corps. Réflexions sur le don d'organes, 2018).
Sauf à rendre la personne réduite à la chose qu'est son corps, ce qui n'est pas éthiquement admissible en soi, cela est exclu, et le Droit est là pour que cela ne soit pas possible.
C'est même pour cela que la notion juridique de "personne", qui n'est pas une notion qui va de soi, qui est une notion construite par la pensée occidentale, fait rempart pour que les êtres humains ne puissent pas être entièrement disponibles aux autres, par exemple par la mise sur le marché de leur corps (v. Frison-Roche, M.-A., ➡️📝Pour protéger les êtres humains, l'impératif éthique de la notion juridique de personne, 2018). C'est pourquoi par exemple, comme le souligne Sylviane Agacinski il n'y a pas d'esclavage éthique (un esclave qu'on ne peut pas battre, qu'il faut bien nourrir, etc.).
Que l'être humain y consente ("et s'il me plait à moi d'être battue ?") n'y change rien.
II. LA PREMIERE LIBERTE EST CELLE DE DIRE NON, PAR EXEMPLE EN REFUSANT DE REVELER SES EMOTIONS : PAR EXEMPLE CACHER SI L'ON EST HEUREUX OU PAS DE TRAVAILLER
La première liberté n'est pas positive (être libre de dire Oui) ; elle est négative (être libre de dire Non). Par exemple la liberté du mariage, c'est avant d'avoir la liberté de se marier, avoir la liberté de ne se marier : si l'on ne dispose pas de la liberté de ne pas se marier, alors la liberté de se marier pert toute valeur. De la même façon, la liberté de contracter suppose la liberté de ne pas contracter, etc.
Ainsi la liberté dans l'entreprise peut prendre la forme de la liberté d'expression, qui permet aux personnes, selon des procédures fixées par le Droit, d'exprimer leur émotions, par exemple leur colère ou leur désapprobation, à travers la grève.
Mais cette liberté d'expression, qui est une liberté positive, n'a de valeur qu'à condition que le travailleur est la liberté fondamentale de ne pas exprimer ses émotions. Par exemple s'il n'est pas heureux de son travail, car il n'apprécie pas ce qu'il fait, ou qu'il n'aime pas l'endroit où il ne fait, ou il n'aime pas les personnes avec lesquels il travaille, son liberté d'expression exige qu'il ait le droit de ne pas l'exprimer.
Si l'employeur dispose d'un outil qui lui permet d'obtenir l'information quant à ce que le travailleur aime ou n'aime pas, alors celui-ci perd cette liberté première.
Dans l'ordre juridique occidental, l'on doit pouvoir considérer que c'est au niveau constitutionnel que l'atteinte est réalisée à travers le Droit des personnes (sur l'intimité entre le Droit des personnes et le Droit constitutionnel, v. Marais, A.,➡️📕 Le Droit des personnes, 2021).
III. LE CONSENTEMENT NE DOIT PAS ETRE LE SEUL PRINCIPE REGISSANT L'ESPACE TECHNOLOGIQUE ET NUMERIQUE
L'on pourrait considérer que le cas de l'entreprise est différent du cas des contrôles opérés par l'Etat pour la surveillance des aéroports, car dans le premier cas les personnes observées ont consenti.
Le "consentement" est aujourd'hui la notion centrale, souvent présentée comme l'avenir de ce que chacun souhaite : la "régulation" de la technologie, notamment lorsqu'elle prend la forme des algorithmes ("intelligence artificielle"), notamment dans l'espace numérique.
Le "consentement" permettrait un "usage éthique" et pourrait mettre fonder l'ensemble (sur ces problématiques, v. Frison-Roche, M.-A., ➡️📝Se tenir bien dans l'espace numérique, 2019).
Le "consentement" est une notion sur laquelle le Droit prend aujourd'hui des distances en Droit des personnes, notamment quant au "consentement" donné par les adolescents sur la disponibilité de leur corps, mais pas encore sur le numérique.
Sans doute parce qu'en Droit des obligations, le "consentement" est quasiment synonyme de "libre volonté", alors qu'il faut les distinguer (v. Frison-Roche, M.-A., ➡️📝La distinction entre la volonté et le consentement, 1995).
Mais l'on voit à travers ce cas, qui précisément déroule en Chine, le "consentement" est en Droit comme ailleurs un signe de soumission. Ce n'est que d'une façon probatoire qu'il peut constituer une preuve d'une libre volonté ; cette preuve ne doit se transformer en présomption irréfragable.
Les Autorités de Régulation des données (par exemple en France la CNIL) cherchent à reconstituer ce lien probatoire entre "consentement" et "liberté de dire Non" pour que la technologie ne permette pas par des "consentements mécaniques", coupés de tout rapport avec le principe de liberté qui protège les êtres humains, de déposséder ceux-ci (v. Frison-Roche, M.-A., Oui au principe de la volonté, manifestation de la liberté, Non aux consentements mécaniques , 2018).
Plus la notion de consentement ne sera plus que périphérique et plus les êtres humains pourront être actifs et protégés.
________
23 juin 2021
Base Documentaire : Doctrine
► Référence complète : D. Latour, "Internal investigations within companies", in M.-A. Frison-Roche (ed.), Compliance Jurisdictionalisation, Journal of Regulation & Compliance (JoRC) et Bruylant, coll. "Compliance & Regulation", à paraître.
____
📘consulter une présentation générale de l'ouvrage, Compliance Jurisdictionalisation, dans lequel cet article est publié
____
► Summary of the article () :
____
🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche
________
18 juin 2021
Compliance : sur le vif
►Le Droit est lent, mais ferme. Par son arrêt du 15 juin 2021, Facebook , la Cour de Justice de l'Union européenne interprète largement le pouvoir des Autorités nationales, puisqu'il sert la protection des personnes dans l'espace numérique (➡️📝CJUE, 15 juin 2021, Facebook).
Le reproche de lenteur est si souvent adressé au Droit et à la Justice. Mais l'essentiel est que, dans le brouhaha de réglementations changeante, il établisse des principes clairs et ferme, permettant à chacun de savoir à quoi se tenir. Plus le monde est changeant et plus le Droit est donc requis.
Quand le Droit dégénèrent en réglementations, c'est alors au Juge de faire le Droit. Les "Cours suprêmes" apparaissent, de jure comme aux Etats-Unis, de fait comme dans l'Union européenne par la Cour de justice de l'Union européenne qui pose les principes, soit avant tout le monde, comme elle le fît pour le "droit à l'oubli" en 2014 (➡️📝CJUE, Google Spain, 13 mai 2014), puis l'impossibilité de transférer vers des pays-tiers des données sans l'accord des personnes concernées (➡️📝CJUE, Schrems, 6 octobre 2015).
Le contentieux Facebook est une sorte de roman. L'entreprise sait que c'est aux juridictions qu'elle parle avant tout. En Europe, elle le fait derrière les murailles de l'espace juridique irlandais, dont elle voudrait pouvoir ne pas sortir avant de mieux dominer l'espace numérique mondial, tandis que les autorités de régulation nationales veulent la saisir pour protéger les citoyens.
Se pose donc une question technique de "compétence juridictionnelle". Les textes y ont pourvu, mais le Droit est malhabile car conçu pour un monde encore ancré dans le sol : le RGPD de 2016 organise donc des coopérations entre Autorités nationales de régulation par un "guichet unique", obligeant les Autorités à se dessaisir pour que le cas ne soit traité que par l'Autorité nationale "chef de file". Cela évite l'éclatement et la contradiction. Mais avant l'adoption du RGPD, le Régulateur belge de protection des données avait ouvert une procédure contre Facebook à propos des cookies. Le mécanisme du "guichet unique", intervenu en 2016, n'est donc évoqué que devant la Cour d'appel de Bruxelles, à laquelle il est demandé de se dessaisir au profit de l'Autorité de Régulation irlandaise, puisque l'entreprise a en Europe son siège social dans ce pays. La Cour d'appel saisit la CJUE en question préjudicielle.
Par son arrêt du 15 juin 2021 (➡️📝CJUE, Facebook, 15 juin 2021), celle-ci suit les conclusions de son Avocat général maintient la compétence du Régulateur national car, même après le RGPD, le cas supporte encore son traitement national. Retenons la raison. La Cour relève que la règle du "guichet unique" n'est pas absolue et que l'autorité national de régulation peut maintenir sa compétence, notamment si la coopération entre autorités nationale est difficile.
Plus encore, ne faudra pas un jour ajuster plus radicalement le Droit au fait que l'espace numérique n'est pas tenu par des frontières et que l'ambition de "coopération transfrontalière" est mal adaptée ? C'est bien sur ce constat d'inefficacité consubstantielle à l'espace numérique qu'a été conçu et mis en place le Parquet européen, qui n'est pas une coopération, ni un guichet unique, mais bien un organe de l'Union agissant localement pour l'Union, en lien direct avec les soucis de Compliance (➡️📝Frison-Roche, M.-A. "Le Parque Européen est un apport considérable au Droit de la Compliance", 2021 et Frison-Roche, M.-A., Entrée en scène du parquet européen: l'entreprise étant devenue elle-même procureur privé, allons-nous vers une alliance de tous les procureurs?, 2021).
C'est donc de cela qu'il faut s'inspirer.
____
15 juin 2021
Base Documentaire : 05. CJCE - CJUE
Référence complète: CJUE, Grande chambre, Arrêt Facebook Ireland e.a. contre Gegevensbeschermingsautoriteit, C-645-19, 15 juin 2021
11 janvier 2021
Interviews
Référence complète: Frison-Roche, M.-A., "Utilisons la puissance des GAFAMs au service de l'intérêt général!", interview réalisé par Olivia Dufour, Actu-juridiques Lextenso, 11 janvier 2021
Présentation de l'interview par Olivia Dufour:
Marie-Anne Frison-Roche, professeur de Droit de la Régulation et de la Compliance, a remis au Gouvernement en 2019 un rapport sur la gouvernance d’Internet.
Pour cette spécialiste, confier un pouvoir disciplinaire aux GAFAMs est la seule solution efficace. Et la suppression du compte twitter de Donald Trump n’est pas de nature à remettre en cause cette analyse.
Les trois questions posées par Olivia Dufour sont :
- La suppression du compte Twitter de Donald Trump suscite une forte émotion sur les réseaux sociaux, et pas seulement chez ses partisans. Qu’en pensez-vous ?
- Il n’empêche que cet incident suscite l’inquiétude. Ne donne-t-on pas trop de pouvoirs à ces entreprises privées ? Cela repose la question en France de la pertinence du dispositif Avia…
- Il faudrait donc se résoudre par défaut à confier nos libertés à des mastodontes privés et opaques ?
Lire les réponses détaillées apportées à ces trois questions
Pour aller plus loin, notamment sur la logique qui guide le dispositif Avia, voir:
- Frison-Roche, M.-A., "Haine sur internet: il faut responsabiliser les opérateurs numériques", 2020
- Frison-Roche, M.-A., L'apport du Droit de la Compliance à la Gouvernance d'Internet, rapport remis au Gouvernement, 2019
10 décembre 2020
Base Documentaire : 03. Conseil d'Etat
Il résulte clairement de l'article 6 du règlement (UE) n° 2016/679 du 27 avril 2016 (dit " RGPD ") qu'un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu'il n'est nécessaire ni au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ni à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu'il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux.
7 décembre 2020
Base Documentaire : Doctrine
Référence complète: Vergnolle, S., L'effectivité de la protection des personnes par le droit des données à caractère personnel, Passa, J. (dir.), thèse, Droit, Université Panthéon-Assas (Paris II), 2020, 531 p.
Consulter directement et uniquement la table des matières
Pour aller plus loin sur la question de la régulation des données à caractère personnel, consulter:
- Frison-Roche, M.-A., Repenser le monde à partir de la notion de donnée, 2016
- Frison-Roche, M.-A., Les conséquences régulatoires d'un monde repensé à partir de la notion de donnée, 2016.
23 novembre 2020
Interviews
Référence complète: Frison-Roche, M.-A., Facebook: Quand le Droit de la Compliance démontre sa capacité à protéger les personnes, entretien avec Olivia Dufour, Actu-juridiques Lextenso, 23 novembre 2020
Lire la news de la Newsletter MAFR - Law, Compliance, Regulation portant sur cette question
1 novembre 2020
Newsletter MAFR - Law, Compliance, Regulation
Référence complète: Frison-Roche, M.-A., Due Process et Droit de la Compliance sur les données personnelles: mêmes règles car un seul objectif (TUE, Ordonnance du 29 octobre 2020, Facebook Ireland Ltd c / C.E.) (Due process and Personal Data Compliance Law: same rules, one Goal (TEU, Order, October 29, 2020, Facebook Ireland Ltd v/ E.C.)), Newsletter MAFR - Law, Compliance, Regulation, 1er novembre 2020
Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation
Résumé de la news:
Dans le cadre d’une procédure ouverte au fond pour comportements anticoncurrentiels, la Commission européenne a entre le 13 mars et le 11 novembre 2019 a requis de Facebook par trois fois des communications d’informations, réitérées dans une décision de mai 2020.
Facebook le conteste en allégeant que les documents demandés contiendraient des informations sensibles à caractère très personnels qu’une transmission à la Commission rendrait accessible à un nombre trop élargi d’observateurs, alors que "the documents requested under the contested decision were identified on the basis of wideranging search terms, (...) there is strong likelihood that many of those documents will not be necessary for the purposes of the Commission’s investigation (les documents demandés au titre de la décision attaquée ayant été identifiés sur la base de termes de recherche plus larges (...), il existe une forte probabilité que nombre de ces documents ne soient pas nécessaires aux fins de l’enquête de la Commission (our translation))".
La contestation évoque donc la méconnaissance des principes de nécessité et de proportionnalité, mais aussi de garanties procédurales (due process), puisque ces éléments probatoires sont recueillis sans protection et utilisés par la suite. En outre, Facebook invoque ce qui serait la violation du droit au respect des données personnelles de ses employés dont les courriels sont transférés.
La Cour rappelle l'office du juge en la matière qui est contraint notamment par la condition d'urgence pour adopter une mesure provisoire, admissible en outre que s'il y a un dommage imminent et irréversible. Elle souligne que les Autorités publiques d'une part bénéficient d'une présomption de légalité lorsqu'elles agissent et que d'autre part elles peuvent obtenir et utiliser des données à caractère personne dès l'instant que cela est nécessaire à leur fonction d'intérêt public. De nombreuses allégations du demandeur sont rejetées comme étant hypothétiques.
Mais la Cour analyse l'ensemble des principes évoqués au regard du cas très concret. Or, en croisant l'ensemble des principes et droits en cause, la Cour estime que la Commission européenne n'a pas respecté le principe de nécessité et de proportionnalité en ce qui concerne les données personnelles très sensibles des employés, ses demandes élargissant le cercle des informations sans nécessité et d'une façon disproportionnalité dès l'instant que l'information en cause est très sensible (comme la santé des employés, les opinions politiques des tiers, etc.).
Il convient donc de distinguer parmi la masse des documents exigés, pour lesquels la même garantie doit être accordée dans une technique de communication que dans une technique d'inspection, ceux qui sont transférables sans précaution supplémentaire et ceux qui, en raison de leur nature de données personnelles très sensibles, doivent faire l'objet d'une "procédure alternative".
Celle-ci va prendre la forme d'un examen des documents considérés par le demandeur comme très sensibles et qu'il communiquera sur un support électronique distinct, par les agents de la Commission européenne , que l'on ne peut soupçonner à priori de détourner la loi. Cet examen se déroulera dans une "data room virtuelle", en présence des avocats de Facebook. En cas de désaccord entre le demandeur et les enquêtes, le différent pourra être porté devant le directeur de l’information, de la communication et des médias de la DG Concurrence de la Commission européenne.
___
On peut tirer trois leçons de cette ordonnance :
- Cette décision montre que le Droit processuel et le Droit de la Compliance ne sont pas en opposition,. L'on dit souvent que la Compliance garantit l'efficacité et le Droit processuel garantit les droits fondamentaux, la protection de l'un devant se traduire par la diminution de la garantie de l'autre. C'est faux. Comme le montre cette décision, à travers la notion-clé de protection des données personnelles sensibles (cœur du Droit de la Compliance) et le souci de la procédure (équivalence entre procédure de communication et d'inspection ; organisation contradictoire de l'examen des informations personnelles sensibles), l'on voit une nouvelle fois que les deux branches du Droit expriment le même souci ont le même objectif : protéger les personnes.
- Le juge est apte à trouver immédiatement une solution opératoire, en proposant une « procédure alternative » axée autour du principe du contradictoire et conciliant les intérêts de la Commission et de Facebook a montré qu’elle était capable d’apporter des solutions alternatives à celles dont elle suspend l'exécution, solution adaptée à la situation et qui fait l'équilibre entre les intérêts des deux parties en présence.
- Le meilleur Ex Ante est celui qui anticipe l’Ex Post par la préconstitution des preuves. Ainsi l'entreprise doit être à même de démontrer ultérieurement le souci qu'elle a eu des droits des personnes, ici des employés, pour ne pas être entre dans la main des Autorités publiques de sanction. Cette culture probatoire en Ex Ante est requise non seulement des entreprises mais encore des Autorités publiques qui elles aussi doivent se justifier.
__________
1 novembre 2020
Publications
Ce document de travail a servi de base à une interview menée par Olivia Dufour et parue dans Actu-juridiques-Lextenso le 11 janvier 2021.
22 octobre 2020
Interviews
Référence complète: Frison-Roche, M.-A., "Health Data Hub est un coup de maître du Conseil d'Etat", interview réalisée par Olivia Dufour pour Actu-juridiques, Lextenso, 22 octobre 2020
Lire la news du 19 octobre 2020 de la Newsletter MAFR - Law, Compliance, Regulation sur laquelle s'appuie cette interview: Conditions for the legality of a platform managed by an American company hosting European health data: French Conseil d'Etat decision
Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten": a legitimate Oxymore in Compliance Law built on Information. Example of Cancer Survivors Protection
19 octobre 2020
Newsletter MAFR - Law, Compliance, Regulation
Référence complète: Frison-Roche, M.-A., Conditions de validité d'un contrat de gestion des données de santé entre une plateforme de droit public français et un entreprise de gestion de données, filiale d'une entreprise américaine : decision du Conseil d'Etat (Conditions for the legality of a platform managed by an American company hosting European health data: French Conseil d'Etat decision), Newsletter MAFR - Law, Compliance, Regulation, 19 octobre 2020
Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation
_____
Résumé de la news : Dans son ordonnance de référé du 13 octobre 2020, Conseil national du logiciel libre (décision dite Health Data Hub), le Conseil d'Etat a déterminé les règles de droit gouvernant la possibilité de conférer la gestion de données sensible sur une plateforme à une entreprise non-européenne, à travers le cas particulier de l'arrêté et du contrat par lequel la gestion de la plateforme centralisant des données de santé pour lutter contre l'épidémie de Covid-19 a été confiée à la filiale irlandaise d'une entreprise américaine, en l'espèce Microsoft.
Le Conseil d'Etat a utilisé à titre principal la jurisprudence de la CJUE, notamment l'arrêt du 16 juillet 2020, dit Schrems 2, à la lumière duquel il a interprété et le droit français et le contrat liant le GIP et
Le Conseil d'Etat a conclu qu'il n'était pas possible de transférer ces données aux Etats-Unis, que le contrat ne pouvait que s'interpréter ainsi et que les modifications de l'arrêté et du contrat sécurisé cela. Mais il a observé que le risque d'obtention par les Autorités publiques américain demeurait.
Parce que l'ordre public exige le maintien de cette plateforme et qu'il n'existe pas pour l'instant d'autre solution technique, le Conseil d'Etat a maintenu le principe pour l''instant de sa gestion par Microsoft, le temps qu'un opérateur européen soit trouvé. Pendant ce temps le contrôle de la CNIL, dont les observations ont été prises en considération, sera opéré.
L'on peut tirer trois leçons de cette décision de grande importante :
- Il existe un parfait continuum entre l'Ex Ante et l'Ex Post, puisque par un référé, le Conseil d'Etat est parvenu à obtenir un modification de l'arrêté, une modification des clauses contractuelles par Microsoft et des propos engageant du Ministre pour que, le plus vite possible, la plateforme soit gérée par un opérateur Européen. Ainsi, parce que c'est du Droit de la Compliance, le temps pertinent du juge est le futur.
- Le Conseil d'Etat a mis la protection des personnes au cœur de tout le raisonnement, ce qui est conforme à la définition du Droit de la Compliance. Il a réussi à résoudre le dilemme : soit protéger les personnes grâce à la personne pour lutter contre le virus, soit protéger les personne en empêchant la centralisation des données et leur captation par les Autorités politiques américaines. Par une décision "politique", c'est-à-dire une action pour le futur, le Conseil a trouvé une solution d'attente pour protéger les personnes et contre la maladie et contre la dépossession de leurs données, en exigeant d'une solution européenne soit trouvée.
- Le Conseil d'Etat a mis en exergue la Cour de Justice de l'Union européenne comme l'alpha et l'oméga du Droit de la Compliance. En n'interprétant le contrat passé entre un Groupement d'intérêt public français et une filiale irlandaise d'un groupe américain qu'au regard de la jurisprudence de la Cour de Justice de l'Union européenne, le Conseil d'Etat montre que l'Europe souveraine des données peut se construire. Et que les juridictions sont au centre de cela.
___________
Lire l'interview donnée à propos de cette Ordonnance Health Data Hub.
Pour aller plus loin, sur la question du Droit de la Compliance en matière de protection des données de santé, lire la news du 25 août 2020: The always in expansion "Right to be Forgotten": a legitimate Oxymore in Compliance Law built on Information. Example of Cancer Survivors Protection
6 octobre 2020
Base Documentaire : 05. CJCE - CJUE
Référence complète: CJUE, grande chambre, 6 octobre 2020, Privacy International c/ Secretary of State for Foreign and Commonwealth Affairs, C-623/17.
Lire les conclusions de l'avocat général
1 octobre 2020
Base Documentaire : Soft Law
Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019
Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs".
Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL
Lire le commentaire à ce propos de Marie-Anne Frison-Roche dans la Newsletter MAFR - Law, Regulation & Compliance du 1er octobre 2020
10 septembre 2020
Newsletter MAFR - Law, Compliance, Regulation
Référence complète: Frison-Roche, M.-A., Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies",transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020), Newsletter MAFR - Law, Compliance, Regulation, 10 septembre 2020
Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation
Résumé de la news
Le "phishing" est une forme de cybercriminalité visant à obtenir, par des courriels frauduleux ressemblant à ceux pouvant provenir d'organismes légitimes, des informations personnelles du destinataire afin d'usurper son identité et/ou de le voler. Comme il est difficile d'en trouver les auteurs et encore plus de prouver leur intentionnalité afin de les punir directement, un des moyens de lutter contre le phishing peut être de confier la charge aux banques de sécuriser leur réseau d'information et, afin d'assortir cette obligation d'une forte incitation, de les condamner à rembourser les victimes en cas de vol de leurs données personnelles.
En 2015, un client victime de ce type d'escroquerie a demandé à sa banque, le Crédit Mutuel, de lui rembourser la somme dérobée, ce que la banque refuse de faire au motif que le client avait commis une faute en transférant ses informations confidentielles sans vérifier l'e-mail pourtant grossièrement contrefait. Le tribunal de première instance donne raison au client parce que bien qu'ayant commis cette faute, il était de bonne foi. Ce jugement est annulé par la Chambre commerciale de la Cour de cassation par un arrêt du 1ier juillet 2020, qui pose que cette négligence grave, exclusive de toute considération de bonne foi, justifie l'absence de remboursement par la banque.
___
De ce cas particulier, on peut tirer trois leçons:
1. La Cour de Cassation pose que la bonne foi n'est pas un critère pertinent et que, de la même façon que la banque doit réagir lorsqu'un compte bancaire est objectivement anormal, le client doit réagir face à un email manifestement anormal.
2. La Cour de Cassation décrit la répartition des charges de preuve. Les obligations probatoires sont alternativement réparties entre la banque et son client. En premier lieu, la banque doit sécuriser son réseau d'information mais en second lieu le client doit prendre toute mesure raisonnable pour en préserver la sécurité. Il en résulte que, si l'email reçu par le client semble normal, les dommages du phishing sont à la charge de la banque, et plus généralement de l'entreprise, tandis que s'il est manifestement anormal, ils sont à la charge du client, mais la charge de prouver l'anomalie du courriel incombe à l'entreprise et non au client.
3. Un tel système probatoire montre que Droit de la Compliance inclut une mission pédagogique en éduquant chaque client afin qu'il soit à même de distinguer au sein de ses emails, ceux qui relèvent d'un caractère normal et ceux qui sont "manifestement suspects". Cette dimension pédagogique, avec les conséquences juridiques qui lui sont attachées, ne va cesser de s'accroitre.
______