Des données personnelles, nombreux sont ceux qui les collectent, et encore plus nombreux ceux qui les obtiennent.

Quand la personne physique en demande la communication au responsable du traitement, i) celui-ci ne doit-il transmettre que celles que son entreprise a collecté auprès de cette personne physique ou bien ii) doit-il aussi transmettre les données obtenues auprès d’une autre personne ou d’une autre entreprise et les données qu’il a lui-même généré par le traitement qu’il a effectué à partir des données collectées ou obtenues ?

Pour le responsable du traitement, quand les données à caractère personnel n’ont pas été collectées auprès de cette personne, il peut invoquer l’exception à l’obligation d’information de la personne concernée de l’article 14, § 5 sous c)  du RGPD.

La Cour de justice, le 28 novembre 2024, l’arrêt,  clarifie la portée de cette exception dans une affaire qui oppose un citoyen hongrois avec son autorité nationale de délivrance du certificat d’immunité à la COVID.

« l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n’a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée ou qu’elles aient été générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions ».

Et la Cour limite le droit de contrôle sous cet article 14, §5 sous c).

« Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel ».

Les responsables de traitement n’en seront que plus rassurés.