Article 87
Traitement du numéro d'identification national
Mots clés liés à l'article 87
Il n'y a pas de considérant du Règlement lié à l'article 87.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 87.
Le GDPR
À l’instar de la Directive, l’article 87 autorise les États membres à fixer des conditions spécifiques concernant le traitement d’un numéro d’identifiant national ou de tout autre identifiant d’application générale.
La même disposition précise que l’utilisation de cet identifiant doit être encadrée par des garanties appropriées visant à protéger les droits et les libertés dont sont investies les personnes concernées par le Règlement.
En d’autres termes, les États membres sont libres de prévoir un régime juridique particulier pour le traitement des numéros d’identification national, à la condition que les droits et les libertés des personnes consacrés par le Règlement soient garantis.
La Directive
Selon l’article 8, paragraphe 7 de la Directive, il appartenait aux États membres de déterminer les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement.
Les législateurs belge et français ont adopté des législations spécifiques encadrant la consultation et l’utilisation du Registre national des Personnes physiques, du Répertoire national d’identification des personnes physiques (RNIPP).
BelgiqueEn ce qui concerne le droit belge, le régime du traitement du numéro d’identification nationale aux articles 5 et 16, 15°, de la Loi du 8 août 1983 organisant un Registre national des personnes physiques, ainsi qu’à l’article 6bis, § 3 de la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d’identité, aux cartes d'étranger et aux documents de séjour, ainsi qu’à l’amendement de la loi du 8 août 1983 organisant un Registre national des personnes physiques.
On observera qu’en droit belge, un Comité sectoriel du Registre national institué au sein de la Commission de la protection de la vie privée est chargé de veiller au respect des lois et normes relatives au Registre national, aux registres de la population, au registre des étrangers, et au registre des cartes d'identité ; il est notamment compétent pour examiner les demandes d’accès au Registre national.
Difficultés probables ?
On ne voit pas a priori de difficulté particulière d’implémentation dès lors qu’un régime spécifique existait déjà tant en France qu’en Belgique.
Sommaire
France
-
Jurisprudence français
- Cass. Fr., n°91-44.919, 91-44.921 (7 juin 1995)
- Cass. Fr., n°01-45.227 (6 avril 2004)
- CE Fr., n°290593 (2 juillet 2007)
- Cass. Fr., n°06-21.964 (28 novembre 2007)
- Cass. Fr., n°11-26.099 (23 avril 2013)
- Cass. Fr., n°12-17.037 (25 juin 2013)
- Cass. Fr., n°13-14.991 (8 octobre 2014)
- CE Fr., n°358876 (15 octobre 2014)
- CE Fr., n°406664 (6 avril 2018)
France
Jurisprudence française
Cass. Fr., n°91-44.919, 91-44.921 (7 juin 1995)
Ne donne pas de base légale à sa décision la cour d'appel qui rejette une demande en dommages-intérêts fondée sur le non-respect des articles 16 et 27 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, au motif que l'employeur a régularisé la situation en adressant à la Commission nationale de l'informatique et des libertés, après l'introduction de l'instance prud'homale, la déclaration prévue par l'article 26 de la loi du 6 janvier 1978, alors qu'il résulte de ses constatations qu'en mettant en place un traitement automatique d'informations nominatives avant d'en avoir fait la déclaration à la Commission nationale de l'informatique et des libertés, l'employeur a commis une faute dont il lui appartenait de déterminer si elle avait causé aux salariés le préjudice dont ils demandaient réparation, et alors qu'elle n'a pas recherché si l'employeur avait fourni aux salariés les informations spécifiques que l'article 27 de la loi lui impose de fournir.
Cass. Fr., n°01-45.227 (6 avril 2004)
1. Il résulte de la combinaison des articles 16, 27 et 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (CNIL), 226-16 du Code pénal, L. 121-8, L. 432-2-1 et L. 122-14-3 du Code du travail, qu'à défaut de déclaration à la CNIL d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en oeuvre d'un tel traitement ne peut lui être reproché.
2. Est dès lors légalement justifié l'arrêt qui décide que le refus par un salarié d'utiliser à sa sortie de l'entreprise un badge géré par des moyens automatisés, et dont le traitement n'a pas été déclaré à la CNIL, ne peut justifier son licenciement, et cela nonobstant le fait qu'une disposition du règlement intérieur faisait obligation aux salariés d'utiliser le badge.
CE Fr., n°290593 (2 juillet 2007)
1. Les dispositions de l'article R. 351-30 du code du travail issues du décret n° 2005-1624 du 22 décembre 2005 relatif au suivi de la recherche d'emploi n'ont pas pour objet de définir le cadre général de la protection des droits et libertés des personnes à l'égard du principe du traitement de données à caractère personnel. Elles ne relèvent donc pas des dispositions du 4° de l'article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dont la seule obligation qu'elles instituent est de soumettre à la consultation préalable de la commission nationale de l'informatique et des libertés (CNIL) les projets de textes qui, sans avoir pour objet la création d'un traitement automatisé, définissent le cadre général de la protection des droits et libertés des personnes à l'égard du principe du traitement de données à caractère personnel.
2. Les dispositions de l'article R. 351-30 du code du travail issues du décret n° 2005-1624 du 22 décembre 2005 relatif au suivi de la recherche d'emploi, qui organisent les modalités selon lesquelles les agents chargés du contrôle de la recherche d'emploi par les travailleurs involontairement privés d'emploi ont accès, pour l'exercice de leur mission, à certaines de ces données, parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, autorisent des traitements de données à caractère personnel et relèvent ainsi, eu égard à la nature des données en cause, des dispositions de l'article 27 de la loi du 6 janvier 1978. En conséquence, le Gouvernement était tenu de recueillir l'avis motivé de la commission nationale de l'informatique et des libertés, dès lors que les modifications apportées au traitement antérieurement autorisé par décret en Conseil d'Etat, qui portent tant sur le champ des personnes ayant accès à ces données que sur les finalités de ce traitement, étaient substantielles.
3. Il résulte des dispositions de l'article 15 de la loi du 6 janvier 1978 que, si la commission peut déléguer à son président ou à son vice-président certaines de ses attributions, seule la commission réunie en formation plénière peut régulièrement émettre un avis sur les projets de texte qui lui sont soumis par le Gouvernement.
Cass. Fr., n°06-21.964 (28 novembre 2007)
Aux termes de l'article 22 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la CNIL, et, aux termes des articles 1er et 3 de la norme simplifiée n° 46 adoptée par la CNIL le 13 janvier 2005, modifiée le 17 novembre 2005, les traitements automatisés relatifs à l'évaluation professionnelle des salariés font l'objet d'une déclaration simplifiée. Doit dès lors être cassé l'arrêt d'une cour d'appel qui fait interdiction à un employeur de mettre en application un projet d'entretiens annuels d'évaluation de ses salariés tant que le traitement des données à caractère personnel recueillies au cours de ces entretiens n'aura pas fait l'objet d'une déclaration auprès de la CNIL, sans constater que ces données sont destinées à faire l'objet d'un traitement automatisé.
Cass. Fr., n°11-26.099 (23 avril 2013)
1. Seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la CNIL.
2. Une simple mise à jour d'un logiciel de traitement de données à caractère personnel n'entraîne pas l'obligation pour le responsable du traitement de procéder à une nouvelle déclaration.
3. Doit être cassé l'arrêt qui retient que les données à caractère personnel enregistrées par les salariés étaient nominatives en sorte que la modification du traitement des données devait être préalablement déclarée à la CNIL sans rechercher si le passage d'un logiciel à un autre n'avait pas consisté en une simple mise à jour qui ne nécessitait pas une nouvelle déclaration.
Cass. Fr., n°12-17.037 (25 juin 2013)
Un fichier de clientèle informatisé contenant des données à caractère personnel, qui n'a pas été déclaré auprès de la Commission nationale informatique et libertés, n'est pas dans le commerce, et sa vente a un objet illicite.
Cass. Fr., n°13-14.991 (8 octobre 2014)
Constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL.
Encourt la cassation l'arrêt qui, pour retenir la faute du salarié, se fonde uniquement sur des éléments de preuve obtenus à l'aide d'un tel système alors que l'illicéité d'un moyen de preuve doit entraîner son rejet des débats.
CE Fr., n°358876 (15 octobre 2014)
1. En application des dispositions de l'article 28 de la loi n° 78-17 du 6 janvier 1978, un avis implicite favorable naît du silence gardé par la CNIL pendant les deux mois qui suivent la réception d'une saisine effectuée sur le fondement des articles 26 ou 27 de cette même loi. La loi a ainsi prévu que soient rendus des avis favorables implicites qui, par leur nature même, ne sauraient être motivés.
2. Un décret autorise la mise en œuvre, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel qui a pour finalités, d'une part, la gestion administrative des demandes de pensions d'invalidité présentées en application du code des pensions militaires d'invalidité et des victimes de la guerre et, d'autre part, la préparation et le suivi de la liquidation des dossiers des pensions attribuées au titre du même code. Ce décret, eu égard à son objet et à ses finalités, est justifié par un intérêt public et échappe ainsi, en application du IV de l'article 8 de la loi n° 78-17 du 6 janvier 1978, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article. Compte tenu des dispositions de l'article 5 de la loi n°55-356 du 3 avril 1955, qui autorisent la communication de renseignements médicaux ou de pièces médicales susceptibles de faciliter l'instruction d'une demande de pension aux services administratifs chargés de l'instruction des demandes, dont les agents sont eux-mêmes tenus au secret professionnel, le décret n'a par lui-même et ne pourrait d'ailleurs avoir légalement ni pour objet ni pour effet d'autoriser les services du ministère de la défense à accéder à des données personnelles relatives à la santé dans des conditions dérogeant aux exigences de protection du secret médical garanti par les dispositions de l'article L 1110-4 du code de la santé publique.
CE Fr., n°406664 (6 avril 2018)
1. Les données susceptibles de figurer dans les traitements créés par le décret du 28 décembre 2016, qui sont, ainsi que le prévoit le 2° de l'article R. 332-15 du code du sport créé par ce dernier, relatives à des manquements aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives, sont collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle.
2. Il s'ensuit qu'alors même que certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés, les données ayant vocation à figurer dans les traitements en cause ne sont pas relatives à des infractions au sens de l'article 25 la loi n° 78-17 du 6 janvier 1978 dès lors qu'elles ne sont pas collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions, et ne sauraient d'ailleurs être mobilisées au soutien d'une plainte déposée devant le juge pénal. Ces traitements ne relèvent par suite pas du régime d'autorisation prévu par cet article mais du régime de déclaration prévu par l'article 22 de la même loi.
Retour au sommaire
Art. 87 Les États membres peuvent préciser les conditions spécifiques du traitement d'un numéro d'identification national ou de tout autre identifiant d'application générale. Dans ce cas, le numéro d'identification national ou tout autre identifiant d'application générale n'est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées en vertu du présent règlement. |
Proposition 1
close
Pas de disposition correspondante |
Proposition 2
close
Les États membres peuvent fixer les conditions spécifiques du traitement d'un numéro d'identification national ou de tout autre identifiant d'application générale. Dans un tel cas, le numéro d'identification national ou tout autre identifiant d'application générale n'est utilisé que dans le respect des garanties appropriées applicables aux droits et libertés de la personne concernée prévues par le présent règlement. |
Directive close
Art. 8 (…). 7. Les États membres déterminent les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement. |
Belgique
Loi du 03.12.17 portant création de l'Autorité de protection des données Art.114 § 4. Le mandat des membres externes du comité sectoriel du Registre national cesse le jour où la loi met fin à leur mandat. |
Ancienne loi
close
Cfr. Comité sectoriel du Registre national. Art. 31bis. § 1er. La loi institue au sein de la Commission des comités sectoriels compétents pour instruire et statuer sur des demandes relatives au traitement ou à la communication de données faisant l'objet de législations particulières, dans les limites déterminées par celle-ci. (…). Les articles 5 et 16, 15°, de la Loi du 8 août 1983 organisant un Registre national des personnes physiques. L'article 6bis, § 3 de la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d’identité, aux cartes d'étranger et aux documents de séjour, ainsi que l’amendement de la loi du 8 août 1983 organisant un Registre national des personnes physiques. |