Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel

Christophe BARDY - GRACES community
15/1/2023
Propulsé par Virginie
Cet article est réservé aux membres GRACES.community

Par Guillaume Champeau

Avis aux DPO : dans un arrêt du 12 janvier 2023 (affaire C-154/21), la Cour de justice de l'Union européenne a confirmé que le responsable de traitement a l'obligation de communiquer à toute personne qui en fait la demande la liste des destinataires exacts de ses données personnelles lorsqu'elles ont été partagées avec des tiers, et non pas seulement des catégories de destinataires. Seules deux exceptions peuvent s'appliquer :

1. Lorsque les circonstances spécifiques font qu'il n'est pas possible de répondre précisément à la demande (par exemple s'il est impossible de les identifier, ce qui sera difficile à prouver sans prouver au passage un manque de maîtrise des données elle-même contraire au RGPD...) ;

2. Lorsque la demande d'accès est manifestement infondée ou excessive, ce que le responsable doit démontrer.

Il est donc impératif pour les directions juridiques et les DPO d'avoir une liste exhaustive, précise et à jour des destinataires des données personnelles, et d'être en capacité de la mettre à disposition.

Sélectionné par Virginie GASTINE MENOU

Envie de lire la suite de l’article ?
Il vous reste 50% de l’article à lire
Inscrivez-vous sur GRACES.community pour profitez de toute l’actualité compliance
directement depuis votre espace Membre !
M'inscrire

Plus de 200 sociétés ont trouvé leur compliance officer avec GRACES.community,

et si c’était vous ?