Chacun a le droit de savoir à qui ses données ont été transmises, selon la Cour de justice de l’Union européenne (CJUE). Après cet arrêt de la CJUE du 12 janvier 2023, les exigences en matière de protection des données pour les entreprises devraient augmenter.
En droit informatique, le droit à la protection des données joue un rôle essentiel. La protection des données personnelles a été considérablement renforcée par l’introduction du Règlement général sur la protection des données – RGPD. En cas de violation du RGPD, des sanctions lourdes peuvent être infligées aux entreprises, explique le cabinet d’avocats MTR Legal, qui est spécialisé dans le droit informatique et la protection des données.
L’arrêt de la Cour de justice de l’Union européenne du 12.01.2023 (Affaire C-154/21) devrait encore accroître les exigences en matière de protection des données pour les entreprises. En effet, de nombreuses entreprises échangent des données personnelles entre elles. La CJUE a désormais clairement indiqué que chacun a le droit de savoir à qui ses données personnelles ont été transmises. Des exceptions ne sont possibles que dans un cadre restreint, selon la cour.
L’affaire soumise à la CJUE concernait l’Autriche. Un citoyen souhaitait savoir de la part de la poste autrichienne à quels destinataires elle avait transmis ses données personnelles et se basait sur le Règlement général sur la protection des données. Selon le RGPD, toute personne concernée a le droit de savoir à quels destinataires précis ou à quelles catégories de destinataires ses données personnelles ont été divulguées ou seront divulguées.
La poste autrichienne n’a communiqué l’information que par bribes et a informé au cours de la procédure que les données du plaignant avaient été transmises à des entreprises publicitaires, à des entreprises de vente par correspondance ou de commerce de détail, à des entreprises informatiques, à des éditeurs d’adresses, à des associations, à des organisations caritatives et à des partis politiques. La Cour suprême d’Autriche souhaitait savoir de la CJUE si la seule mention de telles catégories de destinataires était suffisante ou si les destinataires précis devaient être communiqués.
La CJUE a statué que, lors de la transmission de données personnelles, la personne concernée a le droit de connaître, sur demande, l’identité des destinataires. Limiter l’information à des catégories n’est autorisé que s’il n’est pas possible d’identifier le destinataire ou si la demande est manifestement infondée ou excessive. Ce droit à l’information est nécessaire pour permettre à la personne concernée d’exercer ses autres droits, qui lui sont reconnus par le RGPD, selon la CJUE.
Des avocats expérimentés en droit informatique conseillent chez MTR Legal Rechtsanwälte sur les questions de protection des données.
