Dans un arrêt du 12 janvier 2023, la Cour de justice de l’Union européenne (CJUE) a précisé que le responsable du traitement n’est plus seulement tenu, en vertu de l’article 15, par. 1, let. c), du RGPD de fournir, à la demande de la personne concernée, des informations sur les catégories de destinataires des données partagées avec des tiers. Les exigences imposées aux responsables du traitement ont été considérablement clarifiées par le nouvel arrêt.
Selon l’interprétation du règlement général sur la protection des données (RGPD), les personnes concernées ont désormais le droit de savoir concrètement avec qui le responsable du traitement a effectivement partagé leurs données à caractère personnel ou, dans la mesure où celles-ci n’ont pas encore été partagées, avec qui il les partagera à l’avenir. Il n’y a d’exception à ce principe que si, en raison de circonstances particulières, il n’est pas possible d’identifier les destinataires (mais la preuve sera difficile à apporter par le responsable du traitement) ou si le responsable du traitement démontre que les demandes d’information de la personne concernée sont manifestement infondées ou excessives.
Cela signifie qu’il ne suffira plus aux entreprises d’indiquer dans leur registre de traitement dans la case réservée aux « destinataires » de données, des brèves mentions comme par exemple « bureau de paie », « prestataire de services marketing », « fournisseur de logiciels » ou encore « agence de recrutement ».
Il est donc fortement conseillé au responsable du traitement de tenir une liste complète, précise et à jour des destinataires de données à caractère personnel et d’être à tout moment en mesure de la mettre à disposition, que ce soit dans le cadre du registre des activités de traitement ou dans un fichier séparé.
La CJUE renforce une fois de plus les droits des citoyens européens en matière de protection des données (Charte des droits fondamentaux de l’UE, article 8). Cette précision entraînera un surcroît de travail non négligeable, surtout pour les PME. Celles-ci seront néanmoins en mesure de répondre rapidement et de façon extensive aux demandes des personnes concernées. Une réponse incomplète ou non spécifique à une demande d’information, conformément à la nouvelle jurisprudence de la CJUE, pourra entraîner une violation du RGPD – ce qui, le cas échéant, vous coûtera cher.
Votre équipe Neoviaq se tient à votre disposition pour toute information complémentaire ip@neoviaq.eu.