Article 12
Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 12 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 12 keyboard_arrow_up

(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitementles concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

(61) Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 12.

Le GDPR

L’article 13 du Règlement renforce le devoir d’information lorsque les données sont collectées auprès de la personne, sauf si la personne concernée dispose déjà des informations visées.

Les éléments d’informations inconditionnés déjà présents dans la Directive se diversifient: l’information donnée devra permettre d’identifier l’éventuel délégué à la protection des données, l’éventuel représentant du responsable du traitement, le fondement juridique du traitement en sus de ses finalités ou les intérêts légitimes sur lesquels se fonde le responsable. Une autre information obligatoire porte sur la volonté d’effectuer un transfert de données vers un destinataire d’un pays tiers ou d’une organisation internationale, l’absence de décision d’adéquation du niveau de protection ou encore, le cas échéant, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition.

La notion de destinataire doit être entendue comme la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires (art. 4, 9).

La condition du devoir d’information des autres éléments devient le caractère nécessaire pour garantir « un traitement équitable et transparent », ce qui ne devrait rien changer sur le fond.

Par contre les éléments d’informations sont aussi plus nombreux.

On vise maintenant notamment la période de conservation des données ou à tout le moins les critères permettant de la déterminer, l’existence de l’ensemble des droits reconnus à la personne (en ce compris par exemple le droit à la portabilité des données ou de retrait du consentement), et le droit d’introduire une réclamation auprès d’une autorité de contrôle.

La nature obligatoire éventuelle de la collecte donne lieu à la plus grande précision (caractère réglementaire ou contractuel de l’exigence de fourniture des données, conséquences notamment sur la conclusion d’un contrat de la fourniture des données, etc.).

Il faut également, le cas échéant, informer de l’existence d’une prise de décision automatisée comprenant un profilage au sens des articles 22(1) et (4) ainsi qu’une information significative de la logique sous-jacente et les conséquences du traitement pour la personne.

Il faut encore informer, le cas échéant, des changements de finalités par rapport à la finalité initiale ce qui implique le cas échéant, une nouvelle information préalable sur l’ensemble des éléments précités.

La Directive

La Directive ne comprenait pas de disposition générale concernant les modalités générales de l’exercice des droits.

Celles-ci divergeaient donc d’une législation nationale à l’autre, où du reste les modalités de chacun des droits étaient prévues avec plus ou moins de précision.

Belgique

En droit belge, les modalités d’exercice des droits reconnus aux personnes concernées étaient définies aux articles 32 à 35 de l’Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel. Les droits de la personne peuvent s’exercer par écrit ou par voie électronique selon des conditions propres. La preuve de l’identité de la personne concernée doit être rapportée par celle-ci. Un délai de réaction de 45 jours est prévu pour le droit d’accès et d’un mois pour les droits de rectification et d’opposition. Dans certains cas, la loi du 8 décembre 1992 prévoit uniquement un droit d’accès indirect, par l’intermédiaire de la Commission de la vie privée, en ce qui concerne notamment les services de renseignement et de sécurité (art. 3, § 4), les services de police (art. 3, § 5), le SPF Finances (art. 3, § 7),…

Difficultés probables ?

La difficulté ne naît pas tant du plus grand nombre d’informations dont il faudra tenir compte, mais de l’incertitude quant à leur transmission à la personne concernée, dès lors que la toute grande majorité de celles-ci est conditionnée par sa nécessité à un traitement « équitable et transparent ». Difficile de dire si, dans le doute, les responsables choisiront la transparence ou non, d’autant que le contenu de certaines de ces informations risque poser difficulté (identification des intérêts légitimes, par exemple).

Sommaire

Union Européenne

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices relatives au droit à la portabilité des données - wp242rev.01 (5 avril 2017)

(Approuvées par le CEPD)

L’article 20 du règlement général sur la protection des données crée un nouveau droit à la portabilité des données, qui est étroitement lié au droit d’accès aux données, tout en différant de celui-ci à de nombreux égards. Il confère aux personnes concernées le droit de recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement. Ce nouveau droit a pour objectif de responsabiliser les personnes concernées et de leur permettre de contrôler davantage les données à caractère personnel les concernant.

Dans la mesure où il permet la transmission directe des données à caractère personnel d’un responsable du traitement à un autre, le droit à la portabilité des données constitue également un instrument important qui facilitera la libre circulation des données à caractère personnel dans l’Union et qui stimulera la concurrence entre les responsables du traitement. Il facilitera le passage d’un prestataire de services à un autre et encouragera dès lors la mise au point de nouveaux services dans le contexte de la stratégie pour un marché unique numérique.

Le présent avis fournit des orientations sur la manière d’interpréter et de mettre en oeuvre le droit à la portabilité des données, tel qu’il a été introduit par le règlement général sur la protection des données. Il a pour objet d’examiner la question du droit à la portabilité des données et son champ d’application. Il précise les conditions dans lesquelles ce nouveau droit s’applique compte tenu de la base juridique du traitement des données (soit le consentement de la personne concernée, soit la nécessité d’exécuter un contrat) et du fait que ce droit est limité aux données à caractère personnel fournies par la personne concernée. Le présent avis fournit également des exemples et des critères concrets pour expliquer les circonstances dans lesquelles ce droit s’applique. À cet égard, le groupe de travail «Article 29» considère que le droit à la portabilité des données couvre les données fournies sciemment et activement par la personne concernée, ainsi que les données à caractère personnel générées par son activité. Ce nouveau droit ne peut être remis en cause et limité aux informations à caractère personnel que la personne concernée communique directement, par exemple sur un formulaire en ligne.

À titre de bonne pratique, les responsables du traitement devraient commencer à élaborer les moyens qui contribueront à répondre aux demandes de portabilité des données, comme des outils de téléchargement et des interfaces de programme d’application. Ils devraient garantir que les données à caractère personnel sont transmises dans un format structuré, couramment utilisé et lisible par machine et doivent être encouragés à garantir l’interopérabilité du format de données fourni dans le cadre de l’exercice d’une demande de portabilité des données.

Le présent avis aide également les responsables du traitement à comprendre clairement leurs obligations respectives et recommande des bonnes pratiques et des outils visant à soutenir le respect du droit à la portabilité des données. Enfin, il recommande que les parties prenantes du secteur et les associations professionnelles travaillent de concert sur une série commune de normes et de formats interopérables afin de satisfaire aux exigences liées au droit à la portabilité des données.

Lien

Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 - wp260rev.01 (11 avril 2018)

(Approuvées par le CEPD)

Les présentes lignes directrices du groupe de travail «Article 29» (G29) fournissent une orientation pratique ainsi qu’une aide à l’interprétation concernant la nouvelle obligation de transparence applicable au traitement des données à caractère personnel au titre du règlement général sur la protection des données (ci-après le «RGPD»). La transparence est une obligation globale au sens du RGPD qui s’applique à trois domaines centraux: 1) la communication aux personnes concernées d’informations relatives au traitement équitable de leurs données; 2) la façon dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits au titre du RGPD; et 3) la façon dont les responsables du traitement facilitent l’exercice par les personnes concernées de leurs droits. Dans la mesure où le respect de la transparence à l’égard du traitement des données est requis par la directive (UE) 2016/6803, ces lignes directrices s’appliquent également à l’interprétation de ce principe4. À l’instar de toutes les lignes directrices du G29, les présentes lignes directrices ont vocation à être généralement applicables et pertinentes pour les responsables du traitement, quelles que soient les caractéristiques sectorielles, d’entreprise ou réglementaires spécifiques à un responsable du traitement en particulier. À ce titre, ces lignes directrices ne peuvent pas prendre en compte les nuances et nombreuses variables pouvant apparaître dans le contexte des obligations de transparence d’un secteur, d’une entreprise ou d’un domaine réglementé spécifique. Néanmoins, elles visent, d’une part, à permettre aux responsables du traitement de comprendre, à un degré élevé, l’interprétation par le G29 de ce que les obligations de transparence impliquent dans la pratique et, d’autre part, à indiquer l'approche que les responsables du traitement devraient, selon le G29, adopter en matière de transparence tout en intégrant les notions d’équité et de responsabilité dans leurs mesures de transparence.

La transparence est une caractéristique bien ancrée dans le droit de l’Union européenne. Son objectif premier est de susciter la confiance dans les processus applicables aux citoyens en leur permettant de comprendre et, au besoin, de contester lesdits processus. C’est également une expression du principe d’équité à l’égard du traitement des données à caractère personnel énoncé à l’article 8 de la charte des droits fondamentaux de l’Union européenne. Conformément au RGPD [article 5, paragraphe 1, point a)], outre l’obligation de traiter les données de manière licite et loyale, la transparence constitue désormais un aspect fondamental des principes relatifs au traitement. La transparence est intrinsèquement liée à l’équité et au nouveau principe de responsabilité au titre du RGPD. Il ressort également de l’article 5, paragraphe 2, que le responsable du traitement doit toujours être en mesure de démontrer que les données à caractère personnel sont traitées de manière transparente au regard de la personne concernée. Parallèlement, le principe de responsabilité exige la transparence des opérations de traitement afin que les responsables du traitement puissent démontrer qu’ils satisfont aux obligations leur incombant en vertu du RGPD.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C‑307/22, FT contre DW, (26 octobre 2023)

1)      L’article 12, paragraphe 5, et l’article 15, paragraphes 1 et 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que

l’obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données à caractère personnel faisant l’objet d’un traitement s’impose au responsable du traitement même lorsque cette demande est motivée dans un but étranger à ceux visés au considérant 63, première phrase, dudit règlement.

2)      L’article 23, paragraphe 1, sous i), du règlement 2016/679

doit être interprété en ce sens que :

est susceptible de relever du champ d’application de cette disposition une législation nationale adoptée avant l’entrée en vigueur de ce règlement. Toutefois, une telle faculté ne permet pas d’adopter une législation nationale qui, en vue de protéger les intérêts économiques du responsable du traitement, met à la charge de la personne concernée les frais d’une première copie de ses données à caractère personnel faisant l’objet de ce traitement.

3)      L’article 15, paragraphe 3, première phrase, du règlement 2016/679

doit être interprété en ce sens que

dans le cadre d’une relation médecin/patient, le droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie intégrale des documents figurant dans son dossier médical qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est nécessaire pour permettre à la personne concernée d’en vérifier l’exactitude et l’exhaustivité ainsi que pour garantir leur intelligibilité. S’agissant de données relatives à la santé de la personne concernée, ce droit inclut en tout état de cause celui d’obtenir une copie des données de son dossier médical contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés à celle‑ci.

Arrêt rendu

Conclusions de l'avocat général

Retour au sommaire

Belgique

Bruxelles – Section Cour des marchés n° 2020/AR/1160 (24 février 2021)

S'agissant de la question de savoir si un consentement est requis pour figurer ou non dans les annuaires téléphoniques et quelle est la portée de ce consentement, la Cour d'appel a également considéré que :

1° Dans les situations où la directive e-Privacy précise les règles édictées par le RGPD, ces dispositions particulières de la directive e-Privacy en tant que lex specialis prévalent sur les dispositions plus générales du RGPD. (principe de Lex specialis derogate legi generali)

2° L'article 12, paragraphe 1, et le considérant 38 de la directive ePrivacy font référence à l'exigence du consentement éclairé au sens de la directive 95/46/EG des abonnés pour être inclus dans les annuaires publics. Suite à l'article 94 GDPR qui stipule que toutes les références à 95/46/EG doivent être considérées comme des références au GDPR, les articles susmentionnés font donc référence au "consentement" à la lumière du GDPR et donc à la condition d'un consentement valide (article 7 GDPR) doit être respecté.

3° Ce consentement porte sur la finalité de publication des données personnelles dans les annuaires, mais pas sur l'identité du fournisseur de l'annuaire. Par conséquent, le tribunal déclare que le consentement donné sera également valable pour le traitement ultérieur des données personnelles par d'autres fournisseurs d'annuaires, à condition que ce traitement ait la même finalité.

Etant donné qu'il s'agit d'une matière complexe qui soulève des questions qui ne sont pas encore abordées par le législateur, la Cour d'appel de Bruxelles a sursis à statuer pour demander à la Cour de justice une décision préjudicielle sur les questions suivantes :

1° L'article 72.2 de la directive e-Privacy 2002/58/CE, lu en combinaison avec l'article 2, sous f), de cette directive et avec l'article 95 du règlement général sur la protection des données doit-il être interprété comme permettant d'interpréter un contrôle national comme permettant à une autorité de contrôle nationale d'exiger le "consentement" d'un abonné au sens du règlement général sur la protection des données comme base pour la publication des données à caractère personnel de l'abonné dans les annuaires publics et les services de renseignements téléphoniques, tant ceux publiés par l'opérateur lui-même et par des prestataires tiers, prestataires, en l'absence de législation nationale contraire ?

2° Le droit d'effacement prévu à l'article 17 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle considère une demande de radiation d'un particulier des annuaires publics et des services de renseignements comme une demande d'effacement au sens de l'article 17 du Règlement général sur la protection des données ?

3° L'article 24 et l'article 5, paragraphe 2, du règlement général sur la protection des données doivent-ils être interprétés en ce sens qu'ils s'opposent à ce qu'une autorité nationale de contrôle conclue de l'obligation de responsabilité qui y est contenue que le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour informer les tiers responsables du traitement, à savoir le fournisseur de services téléphoniques et, entre autres, les fournisseurs d'annuaires téléphoniques et de services de renseignements téléphoniques qui ont reçu des données de ce responsable du traitement, de tout retrait de consentement par la personne concernée conformément à l'article 6 en liaison avec l'article 7 du règlement ?

4° L'article 17.2 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle enjoigne à un fournisseur d'annuaires publics et de services de renseignements téléphoniques auquel il est demandé de cesser de divulguer des données relatives à une personne physique de prendre des mesures raisonnables pour informer les moteurs de recherche de cette demande de suppression de données ?

Arrêt rendu (Néerlandais)

Bruxelles – Section Cour des marchés n° 2021/AR/320 (07 juillet 2021)

La Cour d'appel de Bruxelles déclare le recours recevable mais non fondé.

Les principales conclusions de la décision de la Cour d'appel de Bruxelles sont les suivantes :

  • L'appel contre une décision de la chambre contentieuse n'est pas une seconde chance pour la partie contre laquelle la plainte est dirigée. Il est important de noter qu'il ne s'agit pas d'un appel ordinaire et donc pas d'une seconde chance telle que nous la connaissons devant les tribunaux ordinaires. Le recours devant la cour d'appel contre les décisions de la chambre contentieuse est un recours administratif, assimilable aux compétences du Conseil d'Etat. La Cour ne devrait pas intervenir dans l'appréciation de l'administration. Cela violerait la séparation des pouvoirs entre l'administration et les tribunaux.
  • L'ordre juridique belge n'attribue aucune valeur de précédent contraignant, que ce soit aux décisions administratives ou judiciaires. Toute décision d'une administration est spécifique et ne s'étend pas à un cas autre que celui en cause. Le tribunal s'appuie toujours sur des faits concrets de l'affaire soumise.
  • Le Tribunal, exerçant ses attributions de plein droit, procède à un contrôle de légalité et de proportionnalité de l'amende administrative et ne réduira ou n'annulera l'amende qu'en cas de circonstances atténuantes graves et avérées (cf. article 82, alinéa 2 RGPD) qui n'ont pas ou non suffisamment été pris en compte par la chambre contentieuse.

DPA belge et publication sur les réseaux sociaux :

Bien qu'en substance la chambre contentieuse décide dans chacune de ses affaires de pseudonymiser ou non la décision, le citoyen ou la personne morale concernée ne doit pas être exposé à l'arbitraire à cet égard.

Il semble souhaitable que la SA ait une politique cohérente de pseudonymisation des décisions en vue de leur publication. Le risque d'atteinte à la réputation, d'atteinte à la concurrence et leur éventuelle ampleur sont des éléments que la chambre contentieuse doit prendre en compte lorsqu'elle envisage d'omettre ou non certains identifiants. Cependant, la Cour d'appel elle-même n'a pas compétence pour ordonner à la GBA ou à ses employés de retirer des communiqués de presse ou des publications sur les réseaux sociaux.

.Arrêt rendu (néerlandais)

Retour au sommaire

France

Jurisprudence française

CE Fr., n°148975 (9 juillet 1997)

Les résultats d'un sondage comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité ne constituent pas des informations nominatives concernant cette personnalité. Celle-ci ne saurait, par suite, être titulaire du droit d'accès organisé par l'article 34 de la loi du 6 janvier 1978, ni des droits de communication, de rectification et d'effacement qui en découlent.

Arrêt rendu

CE Fr., n°336382 (24 août 2011)

Concerne : L'arrêté du 25 novembre 2009 du ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'Etat porte création par la direction générale des finances publiques (DGFiP) d'un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales dénommé « EVAFISC »

1. En vertu de l'article 32 de la loi n° 78-17 du 6 janvier 1978, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée des caractéristiques essentielles du traitement de données et de ses droits. Toutefois, en application des V et VI de l'article 32, cette obligation d'information ne concerne pas les traitements intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, ainsi que la prévention, la recherche, la constatation ou la poursuite d'infractions pénales. Il résulte de ces dispositions que la dispense de l'obligation d'information ne peut avoir d'effet utile, préservant les finalités mentionnées par les V et VI de l'article 32, qu'appliquée à l'ensemble du traitement de données en cause, dès lors que ces finalités s'avèrent, sous le contrôle du juge, essentielles à ce traitement et alors même que ce dernier aurait également d'autres finalités, insusceptibles par elles-mêmes d'ouvrir droit à cette dispense. L'article 6 de l'arrêté mentionne que le droit à l'information garanti par l'article 32 ne s'applique pas au traitement qu'il crée. L'article 2 de l'arrêté dispose que ce traitement a pour principale finalité la prévention, la recherche, la constatation ou la poursuite d'infractions pénales en matière fiscale. Les autres finalités de ce traitement, également mentionnées à l'article 2, sont accessoires par rapport à sa finalité principale, qui nécessite une dispense de l'obligation d'information. Par suite, l'arrêté pouvait légalement écarter l'application de l'obligation d'information pour l'ensemble du traitement qu'il crée.

2. L'article 6 de l'arrêté a exclu l'application du droit d'opposition pour le traitement qu'il crée. En prévoyant ainsi, conformément au troisième alinéa de l'article 38 de la loi du 6 janvier 1978, que le droit d'opposition prévu au premier alinéa de cet article 38 ne s'exerce pas, l'arrêté a entendu, d'une part, concilier l'intérêt général qui s'attache à la prévention et à la recherche des infractions fiscales avec la protection de la vie privée, et, d'autre part, assurer l'effectivité de la finalité poursuivie à titre principal par le traitement en cause, en ne permettant pas aux personnes en infraction avec les textes pénaux ou fiscaux de s'opposer au recensement des informations permettant d'établir ces infractions. La CNIL a émis un avis public et motivé sur le projet d'arrêté créant ce traitement et qu'elle est légalement tenue de garantir, sous le contrôle du juge, l'effectivité du droit d'accès direct ou indirect et du droit de rectification. Par suite, c'est sans erreur de droit et sans atteinte disproportionnée au droit garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales que l'arrêté a fait application de la faculté prévue par l'article 38 de la loi du 6 janvier 1978 d'écarter l'application du droit d'opposition.

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

Arrêt rendu

TGI. Paris, 15 avril 2022 (11/12628)

Dans un litige commercial, le tribunal constate l’absence de charte vie privée, ce qui caractérise une violation du RGPD. Il juge tout manquement à la réglementation dans l’exercice d’une activité commerciale induisant nécessairement un avantage concurrentiel indu pour son auteur, la défenderesse s’est rendue coupable d’acte de concurrence déloyale.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 12

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens.

2. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l'article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.

3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle et de former un recours juridictionnel.

5. Aucun paiement n'est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l'article 34. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

b) refuser de donner suite à ces demandes.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6. Sans préjudice de l'article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.

7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de déterminer les informations à présenter sous la forme d'icônes ainsi que les procédures régissant la fourniture d'icônes normalisées.

Proposition 1 close

1. Le responsable du traitement établit les procédures d'information prévues à l’article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l’introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

3. Si le responsable du traitement refuse de prendre des mesures demandées par la personne concernée, il informe cette dernière des motifs du refus, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4.

6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Article 13 Droits à l'égard des destinataires

 Le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification ou effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.

Proposition 2 close

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 14 et 14 bis ainsi que pour procéder à toute communication visée aux articles 15 à 19 et à l'article 32 en ce qui concerne le traitement des données à caractère personnel de la personne concernée d'une façon compréhensible et facilement accessible, en des termes clairs et simples. Les informations sont fournies par écrit ou par d'autres moyens, le cas échéant par voie électronique. Lorsque la personne concernée en fait la demande sous forme électronique, les informations peuvent en règle générale être fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. Lorsque la personne concernée en fait la demande, les informations peuvent être communiquées oralement, à condition que l'identité de la personne concernée soit démontrée.

1 bis. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée en vertu des articles 15 à 19. (...) Dans les cas visés à l'article 10, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 19, à moins que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.

2. Le contrôleur fournit à la personne concernée(...) les informations sur les mesures prises sur demande en application des articles 15 et 16 à 19, sans tarder et au plus tard dans un délai d'un mois après la réception de la demande (…). Ce délai peut être prolongé de deux mois au besoin, compte tenu de la complexité et du nombre des demandes. En cas de prolongation du délai, la personne concernée est informée, dans un délai d'un mois à compter de la réception de la demande, des raisons du report.

3. Si le responsable du traitement ne donne aucune suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle (…).

4. Les informations visées aux articles 14 et 14 bis (…) ainsi que toute communication au titre des articles 16 à 19 et de l'article 32, sont fournies gratuitement. Lorsque des demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement (…) peut refuser d'y donner suite. Dans ce cas, il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

4 bis. Sans préjudice de l'article 10, lorsque le responsable du traitement a des doutes fondés quant à l'identité de la personne présentant la demande visée aux articles 15 à 19, il peut demander la fourniture des informations complémentaires nécessaires pour confirmer l'identité de la personne concernée.

5. (...)

6. (...)

Directive close

Pas de disposition correspondante.

Aucune disposition spécifique

Ancienne loi close

Art. 32 à 46 de l’Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel

Exercice des droits visés aux articles 10 et 12 de la loi.

Art. 32

Toute personne, justifiant de son identité, a le droit d'obtenir, dans les conditions prévues par la loi, communication de l'information visée à l'article 10 de la loi, en adressant une demande signée et datée qu'elle remet sur place ou qu'elle envoie par la poste, ou par tout moyen de télécommunication :

  * soit au responsable du traitement ou à son représentant en Belgique, ou à l'un de ses mandataires ou préposés;

  * soit au sous-traitant du traitement des données à caractère personnel qui la communique, le cas échéant, à une des personnes mentionnées ci-dessus.

  En cas de remise de la demande sur place, la personne, qui la reçoit, délivre immédiatement un accusé de réception daté et signé à l'auteur de la demande.

Art. 33

Les demandes de rectification, de suppression ou d'interdiction des données à caractère personnel, ou la communication d'une opposition, fondée sur l'article 12 de la loi, sont introduites selon la même procédure et auprès des mêmes personnes que celles mentionnées à l'article 32 du présent arrêté.

Art. 34

 Lorsque des données à caractère personnel sont collectées, par écrit, auprès de la personne concernée, le responsable du traitement demande, à celle-ci, sur le document grâce auquel il collecte ses données, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi.

Lorsque les données à caractère personnel sont collectees auprès de la personne concernee, autrement que par écrit, le responsable du traitement demande, à celle-ci, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi, soit sur un document qu'il lui communique à cette fin au plus tard deux mois après la collecte des données à caractère personnel, soit par tout moyen technique qui permet de conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit.

Art. 35

Lorsque les données à caractère personnel ne sont pas obtenues auprès de la personne concernée, le responsable du traitement, soumis à l'article 9, § 2, c), de la loi, lui demande, par écrit, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi.

 

 

France close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 38

Version initiale

Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.

Art. 39

Version initiale

I.-Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;

2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.

Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

II.-Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l'article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d'autorisation ou dans la déclaration adressée à la Commission nationale de l'informatique et des libertés.

Art. 40

Version initiale

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.

Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

Art. 41

Version initiale

Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient.

La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

Art. 42

Version initiale

Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27.

Art. 43

Version initiale

Lorsque l'exercice du droit d'accès s'applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l'intermédiaire d'un médecin qu'elle désigne à cet effet, dans le respect des dispositions de l'article L. 1111-7 du code de la santé publique.

Cf décret 2005/1309 articles 92 à 95 pour les modalités de l’exercice des droits de la personne concernée. Cf également le règlement intérieur de la CNIL

Art. 38

Modifié par la loi n°2004-801 du 6 août 2004

Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.

Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.

Art. 39

Modifié par la loi n°2018-493 du 20 juin 2018

I.-Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;

2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.

Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

II.-Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l'article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d'autorisation adressée à la Commission nationale de l'informatique et des libertés.

Art. 40

Modifié par la loi n°2018-493 du 20 juin 2018

I. — Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

II. — Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

En cas de non-exécution de l'effacement des données à caractère personnel ou en cas d'absence de réponse du responsable du traitement dans un délai d'un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l'informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.

Les deux premiers alinéas du présent II ne s'appliquent pas lorsque le traitement de données à caractère personnel est nécessaire :

1° Pour exercer le droit à la liberté d'expression et d'information ;

2° Pour respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

3° Pour des motifs d'intérêt public dans le domaine de la santé publique ;

4° A des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit mentionné au présent II est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;

5° A la constatation, à l'exercice ou à la défense de droits en justice.

III.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. La dérogation prévue au présent III n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement.

Art. 41

Modifié par la loi n°2018-493 du 20 juin 2018

Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publiques, sous réserve de l'application des dispositions du chapitre XIII, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient.

La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

Art. 42

Modifié par la loi n°2018-493 du 20 juin 2018

Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 26 ou 27.

Art. 43

Modifié par la loi n°2004-801 du 6 août 2004

Lorsque l'exercice du droit d'accès s'applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l'intermédiaire d'un médecin qu'elle désigne à cet effet, dans le respect des dispositions de l'article L. 1111-7 du code de la santé publique.

Décret d'application.

CF TITRE VI du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

 

close