1.

Lorsqu’une personne, dont les données à caractère personnel font l’objet d’un traitement, souhaite obtenir de la part du responsable du traitement des informations sur les tiers auxquels ces données sont communiquées, son droit d’accès implique-t-il nécessairement qu’elle reçoive des informations sur les destinataires concrets auxquels ses données à caractère personnel sont transmises ou le responsable du traitement peut-il se limiter à fournir uniquement des indications concernant les catégories de destinataires de ces données ?

2.

Telle est, en substance, la question posée à la Cour dans le cadre du présent renvoi préjudiciel, introduit par l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi, qui porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ( 2 ) (ci-après le « RGPD »).

3.

La question posée par la juridiction de renvoi est née dans le cadre d’un litige opposant RW, une personne physique, à l’Österreichische Post, le principal opérateur de services postaux et logistiques en Autriche, qui, à la suite d’une demande d’accès à ses données à caractère personnel formulée par RW, ne lui a pas communiqué d’informations sur les destinataires précis auxquels ces données personnelles sont transmises.

4.

L’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée », dispose, à son paragraphe 1, sous c) :

« 1.   La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

[...]

[...] »

5.

Le 15 janvier 2019, RW, le requérant devant la juridiction de renvoi, s’est adressé à l’Österreichische Post afin d’accéder, en application de l’article 15 du RGPD, entre autres, aux données à caractère personnel le concernant qui étaient conservées par l’Österreichische Post ou que cette dernière avait conservées dans le passé, ainsi que, en cas de communication de ces données à des tiers, afin d’être informé de l’identité des destinataires à qui elles sont communiquées.

6.

Dans sa réponse, l’Österreichische Post a indiqué qu’elle utilise des données, dans la mesure autorisée par la loi, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle les propose à des partenaires commerciaux à des fins de marketing. Elle a ensuite renvoyé à un site Internet duquel il était possible de déduire des informations générales sur les finalités du traitement des données concernant RW et qui renvoyait à un autre site Internet. Ce second site Internet contenait, quant à lui, des informations générales sur la protection des données et permettait également de déterminer de manière générale certaines catégories de destinataires auxquelles l’Österreichische Post communiquait les données à caractère personnel. Toutefois, à aucun moment l’Österreichische Post n’a révélé à RW les destinataires spécifiques auxquels ses données sont communiquées.

7.

RW a introduit un recours tendant à ce que l’Österreichische Post soit condamnée à lui fournir davantage d’informations en application de l’article 15 du RGPD, concernant d’éventuels transferts de ses données à caractère personnel à des tiers, ainsi que, dans le cas où ces transferts ont effectivement eu lieu, concernant le ou les destinataires spécifiques auxquels ses données à caractère personnel ont été ou seront communiquées. RW soutient que les informations fournies par l’Österreichische Post ne sont pas conformes aux exigences légales prévues à l’article 15 du RGPD dans la mesure où elles ne précisent pas si l’Österreichische Post a transmis ou non ses données à caractère personnel à des tiers ni, le cas échéant, qui étaient les destinataires concrets auxquels ces données ont été communiquées.

8.

Les juridictions de première instance et d’appel ont rejeté la demande de RW, en considérant, en substance, que, dès lors que l’article 15, paragraphe 1, sous c), du RGPD fait référence aux destinataires ou aux catégories de destinataires, cette disposition accorde au responsable du traitement la possibilité de choisir de se limiter à communiquer à la personne concernée les catégories de destinataires, sans devoir indiquer de manière nominative les destinataires spécifiques auxquels ses données à caractère personnel sont transmises.

9.

RW a maintenu ses prétentions dans le cadre du pourvoi en cassation introduit devant la juridiction de renvoi.

10.

Au cours de la procédure devant cette juridiction, l’Österreichische Post a informé RW que ses données avaient été traitées à des fins de marketing dans le cadre de son activité d’éditeur d’annuaires téléphoniques et transmises à des partenaires commerciaux, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et du commerce physique, des entreprises informatiques, des éditeurs d’annuaires téléphoniques et des associations telles que des organisations caritatives, des ONG ou des partis politiques. Elle n’a toutefois pas révélé les destinataires spécifiques auxquels les données de RW sont communiquées.

11.

Dans ces conditions, la juridiction de renvoi nourrit des doutes quant à l’interprétation de l’article 15 du RGPD qui a été retenue par les juridictions du fond et a donc décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès [de la personne concernée] est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »

12.

Par sa question préjudicielle, la juridiction de renvoi interroge la Cour sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD quant à la portée du droit de la personne concernée, prévu à cet article, d’obtenir des informations de la part du responsable du traitement concernant les destinataires ou les catégories de destinataires auxquels ses données à caractère personnel ont été ou seront communiquées.

13.

La juridiction de renvoi se demande si cette disposition doit être interprétée en ce sens que la portée de ce droit d’accès de la personne concernée diffère selon que les données ont déjà été communiquées – auquel cas ledit droit devrait s’étendre aux destinataires concrets de ces communications – ou que les destinataires concrets de communications futures ne sont pas encore connus – auquel cas il conviendrait de considérer que ce droit ne vise que les informations relatives à des catégories de destinataires.

14.

À cet égard, il y a lieu de relever, tout d’abord, que l’article 15 du RGPD régit le droit de la personne concernée d’obtenir, de la part du responsable du traitement, l’accès aux données à caractère personnel la concernant et faisant l’objet d’un traitement, ainsi qu’à toute une série d’informations relatives, notamment, au traitement lui-même. Cette disposition concrétise et précise le droit de toute personne d’accéder aux données la concernant qui est consacré à l’article 8, paragraphe 2, seconde phrase, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ( 3 ).

15.

Plus précisément, selon l’article 15, paragraphe 1, du RGPD, la personne concernée a, tout d’abord, le droit d’obtenir du responsable du traitement la confirmation qu’il existe ou non un traitement de données à caractère personnel la concernant. Lorsque ces données sont traitées, la personne concernée a le droit d’accéder aux données à caractère personnel faisant l’objet du traitement, ainsi qu’à diverses informations supplémentaires, lesquelles sont toutes énumérées aux points a) à h) de cette disposition. Dans ce contexte, aux termes de l’article 15, paragraphe 1, sous c), du RGPD, la personne concernée a le droit d’accéder aux informations relatives aux « destinataires ou [aux] catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ».

16.

La question préjudicielle posée par la juridiction de renvoi suppose l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD afin de déterminer la portée exacte du droit de la personne concernée, prévu à cet article, consistant à obtenir des informations sur les destinataires auxquels ses données à caractère personnel sont communiquées.

17.

À cet égard, il convient de rappeler qu’il ressort d’une jurisprudence constante que l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie ( 4 ).

18.

En outre, puisque les dispositions du RGPD régissent le traitement de données à caractère personnel susceptibles de porter atteinte aux libertés fondamentales et, en particulier, au droit au respect de la vie privée, elles doivent nécessairement être interprétées à la lumière des droits fondamentaux garantis par la Charte ( 5 ).

19.

Ensuite, il ressort d’une jurisprudence constante que, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile ( 6 ).

20.

S’agissant, tout d’abord, des termes de la disposition en cause, le libellé de la disposition figurant à l’article 15, paragraphe 1, sous c), du RGPD ne permet pas, ainsi que la juridiction de renvoi elle-même et plusieurs parties intervenantes devant la Cour l’ont relevé, d’apporter une réponse définitive à la question de savoir s’il convient de considérer que le droit d’accès de la personne concernée qui est prévu à cet article inclut nécessairement l’accès à des informations relatives aux destinataires précis de la communication de données à caractère personnel la concernant ou si sa portée peut être limitée à l’accès à des informations relatives aux catégories de destinataires. En effet, dans cette disposition, les termes « destinataires » et « catégories de destinataires » sont utilisés successivement, l’un après l’autre et de manière neutre, sans qu’il soit possible de déduire un ordre de priorité entre eux. Cette disposition ne précise pas non plus explicitement s’il est possible de choisir entre les deux catégories d’informations qui sont prévues (à savoir les « destinataires » ou les « catégories de destinataires ») ni à qui (c’est-à-dire à la personne concernée ou au responsable du traitement) il appartient, le cas échéant, de choisir à quel type d’informations l’accès doit être garanti.

21.

Toutefois, toujours comme le relève la juridiction de renvoi, la structure même de l’article 15, paragraphe 1, du RGPD conduit, selon moi, à privilégier une interprétation de la disposition en cause en ce sens qu’il appartient à la personne concernée (et donc pas au responsable du traitement comme l’ont jugé les deux juridictions nationales du fond dans la présente affaire) de choisir entre les deux options qui y sont prévues. Contrairement à d’autres dispositions du RGPD, telles que ses articles 13 et 14 ( 7 ), qui sont structurées de telle façon qu’elles prévoient une obligation d’information incombant au responsable du traitement, la disposition en cause prévoit un véritable droit d’accès en faveur de la personne concernée. L’exercice de ce droit d’accès par la personne concernée implique logiquement que le titulaire dudit droit se voit attribuer la possibilité de choisir d’obtenir l’accès, lorsque cela est possible, aux informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, sinon, de se borner à demander des informations concernant les catégories de destinataires.

22.

Une analyse tant du contexte dans lequel l’article 15, paragraphe 1, sous c), du RGPD s’inscrit que des finalités de cette disposition à la lumière des objectifs et de l’économie générale propres au RGPD confirme par ailleurs qu’il convient d’interpréter cet article en ce sens qu’il prévoit le droit pour la personne concernée de demander, lorsque c’est possible, l’accès aux informations relatives aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées.

23.

À cet égard, je relève, tout d’abord, que le considérant 63 du RGPD prévoit explicitement que la personne concernée doit « avoir le droit de connaître et de se faire communiquer [...] l’identité des destinataires de ces données à caractère personnel ». Ce considérant, à la lumière duquel il convient d’interpréter la disposition en cause, vise le droit d’accès de la personne concernée aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées et ne mentionne en aucune manière que ce droit pourrait être limité, à la discrétion du responsable du traitement, aux seules catégories de destinataires.

24.

En outre, il ressort expressément de la jurisprudence que le RGPD vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union ( 8 ).

25.

À cette fin, tout traitement de données à caractère personnel doit être conforme aux principes énoncés à l’article 5 de ce règlement ( 9 ). Il ressort notamment de l’article 5, paragraphe 1, sous a), du RGPD que les données à caractère personnel doivent être traitées de manière transparente au regard de la personne concernée ( 10 ). Dans ce contexte, l’article 15 du RGPD, qui régit le droit d’accès de la personne concernée, constitue une disposition fondamentale pour garantir la transparence des modalités de traitement de ces données à l’égard des personnes concernées.

26.

Ainsi qu’il ressort du considérant 63 du RGPD ( 11 ), ce droit d’accès a pour objectif, en premier lieu, de permettre à la personne concernée de prendre connaissance du traitement de ses données et d’en vérifier la licéité ( 12 ). L’exercice dudit droit d’accès doit, en particulier, permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles ont été communiquées à des destinataires autorisés ( 13 ). Cela présuppose en principe que les indications fournies soient les plus précises possible.

27.

Dans ce contexte, je partage l’avis de la Commission européenne selon lequel le refus d’inclure les destinataires spécifiques dans le droit d’accès de la personne concernée qui est prévu à l’article 15, paragraphe 1, sous c), du RGPD, en limitant ce droit aux simples catégories de destinataires, reviendrait à empêcher la personne concernée de pouvoir vérifier la licéité de l’ensemble du traitement effectué par le responsable et, en particulier, de vérifier la licéité des communications de ses données déjà effectuées. Une telle interprétation de la disposition en cause ne permettrait pas à la personne concernée de vérifier que ses données n’ont été adressées qu’à des destinataires autorisés, contrairement aux exigences indiquées au point précédent.

28.

En second lieu, et s’agissant du premier objectif, ledit droit d’accès est nécessaire, comme l’a d’ailleurs déjà relevé la Cour, pour permettre à la personne concernée d’exercer le droit de rectification, le droit à l’effacement (« droit à l’oubli ») et le droit à la limitation du traitement qui lui sont conférés, respectivement, par les articles 16, 17 et 18 du RGPD ( 14 ). La Cour a en outre précisé que le droit d’accès est également nécessaire pour permettre à la personne concernée d’exercer le droit d’opposition au traitement de ses données à caractère personnel qui est visé à l’article 21 du RGPD ou le droit de recours en cas de dommage subi qui est prévu aux articles 79 et 82 du RGPD ( 15 ).

29.

Une interprétation de la disposition en cause qui refuserait à la personne concernée la possibilité d’obtenir des informations sur les destinataires spécifiques auxquels ses données à caractère personnel sont communiquées aurait pour conséquence que, lorsque l’identité de ces destinataires n’est pas connue, la personne concernée ne serait pas en mesure d’invoquer à leur encontre les droits que lui confèrent les dispositions susmentionnées du RGPD ou ne pourrait les exercer que moyennant un effort disproportionné ( 16 ). Dans de telles situations, cette interprétation priverait donc d’effet utile ces dispositions ainsi que les droits qu’elles confèrent.

30.

D’un point de vue contextuel, l’interprétation susmentionnée de l’article 15, paragraphe 1, sous c), du RGPD est, par ailleurs, également confirmée par l’article 19 de ce règlement. Cet article prévoit que le « responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés ».

31.

L’article 19 du RGPD oblige dès lors le responsable du traitement à informer l’ensemble des destinataires auxquels il a transmis des données à caractère personnel de toute demande de rectification, d’effacement ou de limitation du traitement de ces données à laquelle il doit donner suite. Les destinataires ainsi informés sont dès lors obligés de procéder immédiatement à la rectification, à l’effacement ou à la limitation du traitement desdites données, pour autant qu’ils soient encore en train de les traiter. Dans le cadre de la poursuite de l’objectif visant à assurer un niveau élevé de protection, mentionné au point 24 des présentes conclusions, l’article 19 du RGPD vise, à cet égard, à dispenser la personne concernée de devoir – après avoir sollicité des informations au titre de l’article 15, paragraphe 1, sous c), du RGPD – envoyer d’autres demandes correspondantes de rectification, d’effacement ou de limitation du traitement aux destinataires concernés. Toutefois, la personne concernée doit être mise en mesure de vérifier si la rectification, l’effacement ou la limitation ont effectivement été effectués à la suite de la notification par le responsable du traitement. Dans cette perspective, l’article 19 du RGPD prévoit par conséquent que le responsable du traitement doit fournir à la personne concernée des informations sur ces destinataires si elle en fait la demande.

32.

L’article 19 du RGPD confirme que, afin de garantir l’effet utile des droits de la personne concernée à l’effacement, à la rectification ou à la limitation du traitement, prévus aux articles 16, 17 et 18 du RGPD, celle-ci doit disposer, en principe, d’un droit à être informée de l’identité des destinataires spécifiques, lorsque ses données à caractère personnel ont déjà été communiquées. En effet, ce n’est que de cette manière que la personne concernée peut faire valoir ses droits à leur encontre.

33.

Il résulte des considérations qui précèdent que le droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD joue un rôle fonctionnel et permet à la personne concernée d’exercer d’autres prérogatives prévues par le RGPD. Il s’ensuit que, afin d’assurer l’effet utile de l’ensemble des dispositions susmentionnées du RGPD, cette disposition doit être interprétée en ce sens que le droit d’accès qu’elle prévoit doit, en principe, nécessairement viser la possibilité d’obtenir de la part du responsable du traitement des informations sur les destinataires spécifiques auxquels les données à caractère personnel de la personne concernée sont communiquées.

34.

L’extension du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD aux destinataires spécifiques de ces données trouve cependant une limite, à mon sens, dans au moins deux cas de figure.

35.

Premièrement, dans le cas où il est matériellement impossible de fournir des informations sur les destinataires spécifiques, par exemple parce que ceux-ci ne sont pas encore effectivement connus, il ne saurait, à l’évidence, être exigé du responsable du traitement qu’il communique des informations qui n’existent pas encore. Par conséquent, dans cette hypothèse, prévue explicitement dans la question préjudicielle, le droit d’accès de la personne concernée ne pourra porter que sur les catégories de destinataires.

36.

Deuxièmement, ainsi que l’a relevé le gouvernement italien, l’exercice du droit d’accès de la personne concernée et l’accomplissement de l’obligation correspondante incombant au responsable du traitement doivent être examinés au regard des principes de loyauté et de proportionnalité.

37.

À cet égard, il convient de rappeler que, ainsi qu’il ressort de la jurisprudence de la Cour, les droits consacrés aux articles 7 et 8 de la Charte n’apparaissent pas comme étant des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société ( 17 ).

38.

Dans ce contexte, d’une part, il ressort explicitement de l’article 12, paragraphe 5, du RGPD, lequel s’applique aussi, expressément, à la disposition faisant l’objet de la question préjudicielle, que les demandes de la personne concernée ne doivent pas être manifestement infondées ou excessives et que, si tel est le cas, le responsable du traitement peut également refuser de donner suite à ces demandes. Il résulte par ailleurs de cette même disposition que c’est à ce dernier qu’il incombe « de démontrer le caractère manifestement infondé ou excessif de la demande ».

39.

D’autre part, la Cour a déjà eu l’occasion de préciser qu’il convient de trouver un juste équilibre entre, d’un côté, l’intérêt de la personne concernée à protéger sa vie privée, notamment grâce aux droits consacrés au chapitre III du RGPD et aux possibilités d’agir en justice et, de l’autre, les obligations incombant au responsable du traitement ( 18 ). Ce juste équilibre penche en faveur de l’octroi d’une plus grande attention à la protection des données et de la vie privée de la personne concernée, ce qui est illustré par le fait que, pour ne pas faire droit à sa demande d’accès, il faut prouver le caractère manifestement infondé ou excessif de celle-ci.

40.

Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre comme suit à la question préjudicielle posée par l’Oberster Gerichtshof (Cour suprême, Autriche) :

L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) doit être interprété en ce sens que le droit d’accès de la personne concernée, qui est prévu à cet article, doit nécessairement s’étendre, si elle le demande, à l’indication des destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives au sens de l’article 12, paragraphe 5, de ce règlement.