Destinataires des données personnelles : qui sont-ils ?

Accueil Blog RGPD Destinataires des données personnelles : qui sont-ils ?

Crédits photo : creativeart, Freepik

Les destinataires des données personnelles

Plusieurs acteurs (DPO, sous-traitant, responsables de traitement …) peuvent intervenir dans un traitement de données à caractère personnel. Chacun de ces acteurs joue un rôle spécifique, et les obligations à sa charge varient en fonction de son statut. Un acteur peut agir en tant que responsable de traitement, de responsable conjoint ou de sous-traitant, et une analyse doit être menée en amont de tout traitement de données à caractère personnel pour identifier les différentes responsabilités, afin d’assurer la bonne protection des données personnelles. L’ensemble de ces acteurs peuvent être regroupés sous le nom de destinataires dès lors qu’ils sont susceptibles de recevoir des données, et ce indépendamment du rôle joué dans le cadre du traitement en question.

Une notion large

Le destinataire est défini par l’article 4 du RGPD¹ comme étant l’organisme qui reçoit les données personnelles. Cette définition, quoique large, n’inclut pas les autorités publiques susceptibles d’obtenir les données personnelles à l’occasion d’une mission particulière dans l’intérêt général. Non seulement les tiers sont concernés par cette notion, mais aussi les organismes n’appartenant pas à cette catégorie. Les tiers réfèrent aux organismes qui traitent les données, autres que la personne concernée, c’est-à-dire le responsable de traitement, le sous-traitant et les personnes placées sous l’autorité directe de ceux-ci, sous la surveillance du Délégué à la Protection (ou Data Protection Officer) des données.

Cette notion permet dès lors de désigner un acteur sous un aspect particulier, en tant que récepteur de données. Comme le dit le CEPD, il s’agit d’une notion relative qui concerne « une relation avec un responsable du traitement ou un sous-traitant sous un angle particulier ». Ainsi, dans le cas où un organisme agissant en tant que responsable de traitement envoie des données personnelles à un autre organisme qui intervient en tant que sous-traitant, ce dernier est un destinataire. A son tour, ce destinataire peut être considéré comme responsable de traitement pour les traitements pour lesquels il détermine les finalités et moyens.

Les obligations concernées

Un ou plusieurs destinataires de données interviennent dans tout (ou presque) traitement des données personnelles, et il est important de veiller à ne transmettre les données qu’aux seules personnes ayant une raison légitime d’y avoir accès. A défaut, cette communication risque de remettre en cause la conformité du traitement ou encore d’engendrer des risques pour les droits & libertés des personnes concernées, concernant leurs données personnelles.

Le Règlement Général sur la Protection des Données fait référence à la notion de destinataire dans le cadre de plusieurs de ses exigences. Il est ainsi imposé d’informer les personnes concernées du moment où les données sont collectées et communiquées à d’autres organismes. L’article 13² et article 14³ du règlement exigent de mettre à disposition des personnes concernées les informations sur les destinataires ou les catégories de destinataires de données personnelles s’ils existent (comme toute autre information relative à la protection des données).

Cette information est également obligatoire dans le cadre des dispositions sur le droit d’accès aux données permettant à la personne physique concernée de connaître un certain nombre d’éléments sur le traitement de sa donnée, dont notamment les destinataires ou catégories de destinataires (et ce même en cas d’intérêt légitime). Cette mention doit être détaillée davantage dans le cas où l’organisme destinataire se trouve hors UE. Dans ce cas, les éléments à communiquer concernent en plus le transfert de données et la base légale sur laquelle se fonde ce transfert.

Les éléments sur les destinataires de données doivent aussi apparaître dans le registre des traitements. Ainsi, l’article 30⁴ du RGPD impose de mentionner entre autres les catégories de destinataires auxquelles les données personnelles sont communiquées, information qui peut-être contrôlée à tout moment par votre autorité de contrôle (la CNIL en France). Ces destinataires peuvent correspondre à des organismes se trouvant en Europe ou hors UE.

Ces destinataires de données doivent d’ailleurs être bien identifiés par le responsable de traitement afin de les notifier, à l’occasion notamment d’une demande d’effacement et de rectification des données traitées, d’exercer son droit à d’opposition au traitement ou encore de limitation du traitement, sauf si une telle communication se révèle impossible ou qu’elle exige des efforts disproportionnés.

Quels détails fournir ?

Les dispositions légales relatives à l’information sur les destinataires des données ne sont pas suffisamment claires, et le niveau de détails à transmettre n’est pas précisé par le texte.

Des clarifications ont été apportées sur ce point par la CJUE dans une décision C-154/21⁵ du 12 janvier 2023. La Cour européenne a en effet abordé l’obligation d’information à la charge du responsable de traitement dans le cadre du droit d’accès. Il s’agissait d’une personne ayant effectué une demande auprès d’un organisme afin d’obtenir des éléments sur l’identité des destinataires auxquels ses données ont été transmises. L’organisme s’est toutefois contenté de communiquer sur certaines catégories de ces destinataires.

La personne a ainsi saisi la juridiction autrichienne qui a interrogé la CJUE sur cette question. La Cour a considéré que la disposition légale doit être interprétée à la lumière des objectifs de la règlementation et que la personne concernée peut demander à un responsable de traitement de préciser l’identité de chaque destinataire de données. Ceci permet le respect du principe de transparence et permet à la personne concernée d’exercer ses droits, dans une démarche de protection de la vie privée.

Une telle demande concernant l’identité spécifique des destinataires peut toutefois selon la Cour européenne être rejetée dans les cas où il n’est pas possible de communiquer sur ces détails en raison par exemple du fait que les destinataires ne sont pas encore connus ou dans le cas où la demande est manifestement infondée ou excessive. Cette obligation sur la spécification des destinataires des données à la demande de la personne concernée n’est dès lors pas absolue et dépend du traitement en question.