Ce paragraphe prévoit que chaque individu dispose du droit à connaitre comment sont traitées ses données à caractère personnel par une entreprise et surtout à recevoir une copie de celles-ci. Or la pratique est bien différente de la théorie et la question réside spécifiquement dans le fait de savoir ce qui est contenu au sein de la copie fournie à l’individu, de même que les informations qui lui sont communiquées. Décryptage.

CJUE, 04/05/2023, Aff. C-300/21

Dans sa décision rendue le 4 mai 2023, la CJUE est intervenue à l’effet d’indiquer la façon de répondre à une demande de fourniture de copie de données à caractère personnel dès lors qu’une société est destinataire d’une telle demande la part d’un individu. Dans notre cas d’espèce ici jugé et rapporté, il était question d’une agence de renseignements commerciaux qui partageait des éléments d’information à l’égard de la solvabilité de tiers et ce, sur demande effectuée par des clients de cette société.
L’individu concerné par ce partage d’information suspectait que la société fournissait des informations erronées à ses clients et qui le concernaient directement (en sa qualité de gérant, mais aussi au regard de sa société). Celui-ci a donc décidé de demander à l’agence en cause de lui fournir l’accès aux données à caractère personnel qui le concernait directement ainsi qu’une copie desdits documents dans un format standard. Cependant, l’agence a refusé de faire droit à sa demande dans son intégralité, et ne lui a partagé qu’un certain nombre de points qui le concernaient (entre autres, numéro de téléphone, adresse postale) sans indiquer dans quel contexte s’inscrivait le traitement de ses données. En d’autres termes, l’agence lui avait fourni non pas une copie des documents en cause mais simplement une description des données qui étaient effectivement traitées.

Nous parlons ainsi de copie de données à caractère personnel. Toutefois qu’est-ce que cette notion recouvre exactement dans la réalité ?

Copie des données à caractère personnel : de quoi parle-t-on ?

Dans notre cas d’espèce, et comme explicitement relevé par les juges de la CJUE, le demandeur estimait que le droit dont il dispose d’accéder aux données à caractère personnel le concernant devait être considéré au sens large. Pour lui, donc, il était nécessaire d’obtenir la communication de l’entièreté des données qui le concernaient de manière personnelle.
La question, scindée en deux parties, et qui a été posée aux juges de la Cour de justice de l’Union européenne était la suivante : le droit à bénéficier d’une copie desdites données est-il restreint à la production d’un sommaire ou bien d’un résumé des données personnelles effectivement traitées ou bien doit-il correspondre à l’intégralité des données originales ? Aussi, les individus concernés disposent-ils du droit à bénéficier une copie de l’intégralité des documents ou bien simplement un extrait d’une base de données au sein de laquelle les données concernées sont traitées ?
Dans sa décision, la CJUE a tout d’abord décidé de retenir que bien que le RGPD ne contient pas de définition juridique exacte du terme « copie », il n’en demeure pas moins que la définition ordinaire de ce terme doit être admise en ce cas. Cela implique donc que la copie en question doit consister en la reproduction exacte, littérale d’un document original. Il ne peut donc s’agir d’un simple sommaire, d’un simple résumé desdites données originelles. Par voie de conséquence, la Cour précise la notion de copie au sens du RGPD : il ne saurait s’agir d’une simple description.
En outre, la CJUE a relevé que le terme d’« information » mais aussi la notion de « données à caractère personnel » ne sauraient valablement être restreintes aux données effectivement collectées puis sauvegardées. Ainsi, ces notions revêtent le caractère de l’ensemble des informations qui découle du traitement des données effectivement réalisé. Il s’agissait, dans notre cas d’espèce, de renseignements à caractère commerciaux ou de solvabilité de la société. Ici, les juges se sont bornés à procéder à une interprétation relativement souple et étendue du terme de données à caractère personnel, tel qu’il résulte des dispositions du RGPD. La Cour a aussi procédé à la précision de l’étendue de ce droit d’accès aux données à caractère personnel. Qu’en est-il ?

Précision faite de l’étendue de ce droit

Plus l’accès aux données à caractère personnel est étendu, plus les individus concernés sont en mesure de vérifier que le traitement dont ils font l’objet est adapté. En fait, il faut retenir que ce droit d’accès est le pendant de l’exercice d’autres droits au profit des individus concernés et dont ils bénéficient grâce au RGPD (il pourra s’agir du droit à l’oubli).
Dans cette décision, la CJUE relève expressément qu’en application du « principe de traitement loyal et transparent », tout individu doit être informé non seulement de l’opération de traitement de ses données personnelles mais aussi des finalités de celle-ci (cf. §60 de la décision). En d’autres termes, le responsable du traitement des données concernées doit informer tout individu au regard du contexte mais aussi des circonstances particulières relativement au traitement effectué de ces données.
Cependant, il n’en demeure pas moins que ce responsable du traitement des données personnelles est en mesure de refuser la transmission du contenu complémentaire dès lors que celui-ci apporte la preuve que cette communication porterait atteinte aux droits fondamentaux d’autrui et ce, de manière disproportionnée (cf. §63). En l’espèce, le demandeur aurait dû se voir communiquer la copie conforme des données traitées de manière à appréhender l’ampleur des informations relatives à sa solvabilité et qui avaient été transmises aux clients du responsable des traitements, donc transmises à des tiers.