Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel
Avis aux DPO : dans un arrêt du 12 janvier 2023 (affaire C-154/21), la Cour de justice de l'Union européenne a confirmé que le responsable de traitement a l'obligation de communiquer à toute personne qui en fait la demande la liste des destinataires exacts de ses données personnelles lorsqu'elles ont été partagées avec des tiers, et non pas seulement des catégories de destinataires. Seules deux exceptions peuvent s'appliquer :
1. Lorsque les circonstances spécifiques font qu'il n'est pas possible de répondre précisément à la demande (par exemple s'il est impossible de les identifier, ce qui sera difficile à prouver sans prouver au passage un manque de maîtrise des données elle-même contraire au RGPD...) ;
2. Lorsque la demande d'accès est manifestement infondée ou excessive, ce que le responsable doit démontrer.
Il est donc impératif pour les directions juridiques et les DPO d'avoir une liste exhaustive, précise et à jour des destinataires des données personnelles, et d'être en capacité de la mettre à disposition.
Sélectionné par Virginie GASTINE MENOU
.svg)
.svg)
.svg)
Inscrivez-vous sur GRACES.community pour profitez de toute l’actualité compliance
directement depuis votre espace Membre !
Ces articles pourraient vous plairent
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.
Plus de 200 sociétés ont trouvé leur compliance officer avec GRACES.community,
et si c’était vous ?
