Tout le monde a le droit de savoir à qui ses données ont été transmises, selon la CJUE. Après cet arrêt de la CJUE du 12 janvier 2023, les exigences des entreprises en matière de protection des données devraient augmenter.
En droit informatique, le droit de la protection des données joue un rôle essentiel. La protection des données personnelles a été considérablement renforcée par l’introduction du règlement général sur la protection des données – RGPD. En cas de violation du RGPD, des sanctions sévères peuvent être infligées aux entreprises, explique le cabinet d’avocats d’affaires MTR Legal Rechtsanwälte, qui se spécialise dans le droit informatique et la protection des données.
L’arrêt de la Cour de Justice de l’Union Européenne du 12/01/2023 (affaire C-154/21) devrait encore augmenter les exigences en matière de protection des données pour les entreprises. En effet, de nombreuses entreprises échangent des données personnelles entre elles. La CJUE a clairement indiqué que toute personne a le droit de savoir à qui ses données personnelles ont été transmises. Les exceptions ne sont possibles que dans un cadre restreint, selon la cour.
Le cas soumis à la CJUE concernait une affaire autrichienne. Un citoyen voulait savoir de la part de la poste autrichienne à quels destinataires elle avait transmis ses données personnelles et invoquait le règlement général sur la protection des données. Selon le RGPD, toute personne concernée a le droit de savoir à quels destinataires spécifiques ou à quelles catégories de destinataires ses données personnelles ont été dévoilées ou seront dévoilées.
La poste autrichienne a fourni des informations au compte-gouttes et a indiqué au cours de la procédure que les données du plaignant avaient été transmises à des entreprises publicitaires, des entreprises du commerce de détail ou de vente par correspondance, des entreprises informatiques, des éditeurs d’adresses, des associations, des organisations caritatives et des partis politiques. La Cour suprême autrichienne a demandé à la CJUE si la mention de telles catégories de destinataires était suffisante ou si les destinataires spécifiques devaient être communiqués.
La CJUE a décidé que lors de la transmission de données personnelles, la personne concernée a le droit de connaître, sur demande, l’identité des destinataires. Restreindre l’information aux catégories n’est admissible que si l’identification du destinataire n’est pas possible ou si la demande est manifestement infondée ou excessive. Ce droit d’information est nécessaire pour que la personne concernée puisse exercer les autres droits qui lui sont accordés selon le RGPD, selon la CJUE.
Les avocats expérimentés en droit informatique conseillent chez MTR Legal Rechtanwälte sur les questions de protection des données.
