Avis aux DPO : dans un arrêt du 12 janvier 2023 (affaire C-154/21), la Cour de justice de l'Union européenne a confirmé que le responsable de traitement a l'obligation de communiquer à toute personne qui en fait la demande la liste des destinataires exacts de ses données personnelles lorsqu'elles ont été partagées avec des tiers, et non pas seulement des catégories de destinataires. Seules deux exceptions peuvent s'appliquer :
1. Lorsque les circonstances spécifiques font qu'il n'est pas possible de répondre précisément à la demande (par exemple s'il est impossible de les identifier, ce qui sera difficile à prouver sans prouver au passage un manque de maîtrise des données elle-même contraire au RGPD...) ;
2. Lorsque la demande d'accès est manifestement infondée ou excessive, ce que le responsable doit démontrer.
Il est donc impératif pour les directions juridiques et les DPO d'avoir une liste exhaustive, précise et à jour des destinataires des données personnelles, et d'être en capacité de la mettre à disposition.
Sélectionné par Virginie GASTINE MENOU
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.