La CJUE précise les modalités de réponse à une demande exercée dans le cadre du droit d’accès
Dans un arrêt du 4 mai 2023, la Cour de justice de l’Union européenne a apporté des précisions sur les modalités de reproduction des données possédées par le responsable de traitement à la personne concernée dans le cadre de la mise en œuvre du droit d’accès.
En l’espèce, un particulier a demandé la CRIF, une agence de renseignement commerciaux, de lui transmettre une copie des données qu’elle possédait sur lui. Face à l’insuffisance des documents transmis, le requérant a introduit une réclamation auprès de l’autorité autrichienne de protection des données. L’autorité a rejeté la demande du requérant, considérant que la CRIF n’avait commis aucune violation du droit d’accès aux données personnelles. Le requérant a effectué un recours devant le tribunal administratif fédéral qui, s’interrogeant sur la portée de l’obligation prévue par l’article 15 du RGPD relatif au droit d’accès, a posé une question préjudicielle à la Cour de justice de l’Union européenne.
La juridiction nationale demande à la Cour si le droit d’accès est satisfait lorsque le responsable du traitement transmet les données à caractère personnel sous la forme d’un tableau synthétique ou s’il implique également de transmettre des extraits des documents voire des documents entiers.
La Cour répond ici que le droit d’accès impose au responsable de traitement qu’il transmette à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Elle précise de plus que le terme « copie » ne se rapporte pas à un document en tant que tel mais aux données qu’il contient et qui représentent l’ensemble des données à caractère personnel faisant l’objet d’un traitement.
Ainsi, la Cour énonce que pour que la reproduction soit fidèle et intelligible, elle peut consister en la reproduction d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données.
Si cette reproduction est susceptible de porter atteinte aux droits et libertés d’autrui, il est nécessaire d’effectuer une mise en balance des droits et libertés en question.
Enfin, dans la mesure du possible, il convient de choisir des moyens de communication de données à qui ne portent pas atteinte aux droits ou libertés d’autrui, sans pour autant que cela aboutisse à un refus de fournir toutes les informations à la personne concernée.
Pour en savoir plus :