Article 9
Traitement portant sur des catégories particulières de données à caractère personnel
Articles liés à l'article 9
(33) Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.
(35) Les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l'inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil1 au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro.
(51) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de l'ex
(52) Des dérogations à l'interdiction de traiter des catégories particulières de données à caractère personnel devraient également être autorisées lorsque le droit de l'Union ou le droit d'un État membre le prévoit, et sous réserve de garanties appropriées, de manière à protéger les données à caractère personnel et d'autres droits fondamentaux, lorsque l'intérêt public le commande, notamment le traitement des données à caractère personnel dans le domaine du droit du travail et du droit de la protection sociale, y compris les retraites, et à des fins de sécurité, de surveillance et d'alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d'autres menaces graves pour la santé. Ces dérogations sont possibles à des fins de santé, en ce compris la santé publique et la gestion des services de soins de santé, en particulier pour assurer la qualité et l'efficience des procédures de règlement des demandes de prestations et et de services dans le régime d'assurance-maladie, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Une dérogation devrait, en outre, permettre le traitement de ces données à caractère personnel, si cela est nécessaire aux fins de la constatation, de l'exercice ou de la défense d'un droit en justice, que ce soit dans le cadre d'une procédure judiciaire, administrative ou extrajudiciaire.
(53) Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu’à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des systèmes et des services sanitaires ou sociaux , y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l'information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d'assurer la continuité des soins de santé ou de la protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance et d'alerte sanitaire, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit des États membres qui doit répondre à un objectif d'intérêt public, ainsi que pour des études menées dans l'intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne devrait pas entraver le libre flux des données à caractère personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données.
(54) Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de "santé publique" devrait s'interpréter selon la définition contenue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil1, à savoir tous les éléments relatifs à la santé, à savoir l'état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l'accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d'intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques.
(55) En outre, le traitement de données à caractère personnel par des autorités publiques aux fins de réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public, d'associations à caractère religieux officiellement reconnues est effectué pour des motifs d'intérêt public.
(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
(33) considérant que les données qui sont susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ne devraient pas faire l'objet d'un traitement, sauf consentement explicite de la personne concernée; que, cependant, des dérogations à cette interdiction doivent être expressément prévues pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est mis en oeuvre à certaines fins relatives à la santé par des personnes soumises à une obligation de secret professionnel ou pour la réalisation d'activités légitimes par certaines associations ou fondations dont l'objet est de permettre l'exercice de libertés fondamentales;
(34) considérant que les États membres doivent également être autorisés à déroger à l'interdiction de traiter des catégories de données sensibles lorsqu'un motif d'intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance maladie - et tels que la recherche scientifique et les statistiques publiques; qu'il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes;
(35) considérant, en outre, que le traitement de données à caractère personnel par des autorités publiques pour la réalisation de fins prévues par le droit constitutionnel ou le droit international public, au profit d'associations à caractère religieux officiellement reconnues, est mis en oeuvre pour un motif d'intérêt public important;
(36) considérant que, si, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique suppose, dans certains États membres, que les partis politiques collectent des données relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé en raison de l'intérêt public important, à condition que des garanties appropriées soient prévues;
Le GDPR
L’article 9 du Règlement s’inspire de l’article 8 de la Directive, en ce qu’il interdit le traitement des données sensibles, au motif qu’elles méritent une protection spécifique, compte tenu des risques importants pour les droits et libertés fondamentaux inhérents à leur traitement.
Sont visés par l’interdiction de principe :
- le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ;
- le traitement des données génétiques et des données biométriques aux fins d’identifier une personne physique de manière unique ;
- le traitement des données s concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Le considérant 51 du Règlement précise qu’en cas de dérogation à l’interdiction de traiter des données sensibles, les principes généraux et les autres dispositions du Règlement devraient être applicables, en particulier en ce qui concerne les conditions de licéité du traitement.
La notion de « données sensibles » au sens de l’article 9 du Règlement a fait l’objet de nouveaux développements, compte tenu des importantes évolutions technologiques. Ainsi, sont visées par l’interdiction de traitement, outre les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion, les convictions philosophiques ou l'appartenance syndicale, la santé ou la vie sexuelle :
- les données génétiques : elle sont définies à l’article 4(13) comme visant toutes les données à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises et qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne, résultant en particulier d'une analyse d'un échantillon biologique de la personne en question) ;
-les données biométriques : elles sont définies à l’article 4 (14) comme visant les données à caractère personnel résultant d’un traitement technique spécifique relatives à des caractéristiques physiques, physiologiques ou comportementales d’un individu, qui permettent ou confirment une identification unique de l’individu, telles que des images faciales ou des données dactyloscopiques) traitées aux fins d’identification unique de la personne. .
A noter également que les données relatives à la santé reçoivent une définition spécifique à l’article 4 (15) comme visant toute donnée à caractère personnel relative à la santé physique ou mentale d’un individu, incluant des prestations de soins de santé, qui révèlent de l’information sur l’état de santé de l’individu.
Le Règlement reprend les exceptions déjà contenues dans la Directive parfois en étendant ou limitant leur champ d’application (consentement explicite; droit du travail et droit de la sécurité sociale pour autant que le traitement soit fondé sur une loi de l’Union ou de l’État membre ou une convention collective, sauvegarde de la vie humaine, association sans but lucratif, données rendues publiques par la personne concernée, constatation, défense, exercice ou constatation d’un droit en justice, médecine préventive ou pour des motifs importants d’intérêt public).
Le Règlement introduit cependant de nouvelles dérogations :
- pour les traitements nécessaires pour des motifs d'intérêt public dans le domaine de la santé publique (cfr art. 9, §2,i), tels que la protection contre les menaces transfrontières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux sur la base d’une loi de l’Union ou de l’État membre prévoyant des mesures de sauvegarde, notamment du secret professionnel ;
- pour les traitements nécessaires à des fins d'archivage dans l'intérêt public ou à des fins historiques, statistiques ou scientifiques dans les conditions fixées à l’article 89 et sur une base légale de l’Union ou de l’État membre (cfr. art. 9, § 2, j)). La version finale du Règlement précise que le traitement doit être proportionné au but poursuivi ; respecter l’essence des droits des personnes concernées ; prévoir des mesures appropriées et spécifiques en vue de sauvegarder les droits fondamentaux et les intérêts légitimes de la personne concernée.
Les données « sensibles » visées au paragraphe 1er peuvent traitées à des fins de médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de soins ou de traitements de santé ou sociaux ou de la gestion de systèmes et de services de soins de santé ou sociaux au sens de l’article 9, § 2, h), pour autant qu’elles soient traitées par un ou sous la responsabilité d’un professionnel ou par ou sous la responsabilité d’une autre personne soumise au secret professionnel (cfr. art. 9, § 3).
Enfin, les États membres ont la faculté de maintenir ou d’introduire des dispositions plus précises, incluant des limitations, en ce qui concerne les données génétiques, biométriques ou les données concernant la santé (cfr. art. 9, § 4).
La Directive
Le premier paragraphe de l’article 8 de la Directive prévoyait une interdiction générale de traiter les données dites « sensibles », sauf consentement explicite de la personne concernée. On vise ici les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données relatives à la santé ou à la vie sexuelle.
Le législateur de l’Union avait considéré que, dans la mesure où ces données sont, par leur nature, susceptibles de porter atteinte aux libertés fondamentales ou à la vie privée, celles-ci ne devraient pas faire l’objet d’un traitement.
Toutefois, il s’agissait d’une interdiction relative. Au terme du second paragraphe de l’article 8 de la Directive, différentes dérogations avaient été prévues à l’interdiction générale de traiter ces données.
La première exception au principe d’interdiction visait les traitements pour lesquels la personne concernée a donné son consentement explicite au traitement (art. 8, § 2, a) (voir à cet égard, G29, Avis 15/2011 relatif à la définition du consentement, WP 187).
En outre, plusieurs exceptions ont été introduites pour répondre à des besoins spécifiques, tels que les traitements nécessaires à la sauvegarde de la vie humaine (art. 8, § 2, c)) ; les traitements portant sur des données rendues publiques par la personne concernée (art. 8, § 2, e)) ; les traitements nécessaires aux fins de la constatation, à l’exercice ou à la défense d’un droit en justice (art. 8, § 2, e) ; les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé (art. 8, § 3 )).
Les traitements nécessaires aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail (art. 8, § 2, b)).
Il était également fait exception au principe d’interdiction pour les traitements mis en œuvre par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale. L’exception ne joue que pour le traitement des données relatives aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers (art. 8, § 2, f)).
La Directive prévoyait, sous certaines conditions, une exception pour le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté (art. 8, § 5). Dans la mesure où le futur Règlement prévoit une disposition spécifique pour ces traitements, nous les examinerons plus en détail dans le cadre du commentaire de l’article 9 bis du Règlement.
Outre les dérogations expressément contenues dans la Directive, l’article 8, paragraphe 4 autorisait les États membres à prévoir, sous réserve de garanties appropriées, des dérogations supplémentaires pour un motif d’intérêt public important, soit par leur législation nationale, soit par leur autorité de contrôle. Ces dérogations supplémentaires doivent néanmoins être notifiées à la Commission européenne (art. 8, § 4).
BelgiqueEn droit belge, la loi du 8 décembre 1992 prévoyait également une douzaine d’exceptions (article12 §2) à l’interdiction de traitement des données sensibles. On y retrouve notamment le consentement écrit (et non pas explicite), la nécessité de défense des intérêts vitaux de la personne, ou lorsque le traitement porte sur des données manifestement rendues publiques par la personne ou encore lorsque le traitement est nécessaire à des recherches scientifiques dans les conditions fixées par l’arrêté royal du 13 février 2001. Ce dernier prévoyait des garanties particulières qui devaient être impérativement respectées dans la mise en œuvre de chaque exception (art. 25 à 27 de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.).
Difficultés probables ?
Pour différentes finalités ou types de données, les États membres gardent une marge de manœuvre importante dans la détermination d’exceptions qui doivent se baser sur une législation spécifique prise par cet État. Des différences significatives peuvent dès lors encore apparaître selon les États, ce qui met à mal l’objectif d’harmonisation complète du droit de la protection des données personnelles poursuivi par le Règlement.
Sommaire
Union Européenne
Belgique
France
-
La Cnil
- Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté (11 mars 2021)
- Référentiel des durées de conservation dans le domaine de la recherche en santé
Union Européenne
Comité européen de la protection des données (EDPB)
Lignes directrices sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19 - 03/2020 (21 avril 2020)
Groupe 29
Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01 (6 février 2018)
Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.
Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.
Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.
La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.
Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.
Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.
Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.
Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.
Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.
Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI
Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.
Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.
Retour au sommaireBelgique
Autorité de protection des données (APD)
Recommandation relative au Registre des activités de traitements (article 30 du RGPD) n° 06/2017 (14 juin 2017)
-
Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.
-
Au chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, l’article 30 met à charge des responsables de traitement et des sous-traitants une obligation de tenir un registre des activités de traitement (ci-après le Registre). Un certain nombre d’informations relatives aux traitements opérés doivent figurer dans ce Registre : dans quel but sont-elles traitées, quelles sont les catégories de personnes concernées par les données traitées, quels sont les destinataires des données, quel est leur délai de conservation etc.
-
La Commission de la protection de la vie privée (ci-après la CPVP) reçoit un grand nombre de questions relatives à ce Registre. Partant, elle adopte la présente recommandation afin de guider les responsables de traitement et les sous-traitants dans la préparation de celui-ci d’ici au 25 mai 2018, date à partir de laquelle ce Registre devra être en place et date à partir de laquelle la CPVP pourra également demander qu’il soit mis à sa disposition, dans le cadre de contrôles par exemple.
-
Pour établir ce Registre, la/les déclaration(s) préalable(s) de traitement prévue(s) à l’article 17 de la Loi Vie privée (ci-après LVP) que les responsables de traitement ont introduit auprès de la CPVP pourra/ pourront, dans une certaine mesure, être utile(s). Il sera précisé dans cette recommandation dans quelles limites, cette ou ces déclaration(s) de traitement introduite(s) et disponibles via le Registre public en ligne pourra/pourront être exploitée(s).
-
La recommandation abordera les questions suivantes :
-
Qui doit tenir un Registre ? Existe-t-il des exceptions ?
-
Pourquoi cette obligation de tenir un Registre ?
-
Que doit contenir le Registre ? Quelles informations ?
-
Comment établir le Registre ?
-
A qui est-il destiné ?
-
Quelle(s) sanction(s) ?
-
Recommandation relative au traitement de données biométriques (1er décembre 2021)
Les données biométriques sont les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. Les citoyens sont de plus en plus souvent confrontés au traitement de données biométriques sur leurs smartphones ou leurs tablettes mais aussi par les autorités publiques et par des entreprises privées. Conformément à l’article 9.1 du RGPD, les données biométriques constituent une catégorie particulière de données à caractère personnel, et ce contrairement à la situation antérieure à l’entrée en vigueur du RGPD.
Ce sont des données à caractère personnel qui, par leur nature, sont particulièrement sensibles car leur traitement peut comporter des risques significatifs pour les libertés et droits fondamentaux des personnes. En vertu de l’article 9.1 du RGPD, le traitement de données biométriques est donc interdit, à moins que le responsable du traitement puisse légitimement invoquer l’un des motifs d’exception énumérés de manière limitative à l’article 9.2 du RGPD. Ce sont notamment ce changement de qualification juridique de la notion de données biométriques et l’augmentation considérable de processus de traitement biométriques dans le quotidien qui ont incité le Centre de Connaissances de l’Autorité de protection des données (ci-après : le Centre de Connaissances) à s’exprimer sur ce sujet.
La recommandation vise principalement à accompagner les responsables du traitement et les sous-traitants afin de leur permettre d’interpréter et d’appliquer correctement les règles du RGPD en matière de traitement de données biométriques. Il convient toutefois de faire remarquer dans ce contexte que la recommandation ne s’applique pas au traitement de données biométriques réalisé par des autorités compétentes au sens de la Directive Police-Justice. En outre, la présente recommandation entend inviter le législateur à prévoir une base légale pour le traitement de données biométriques.
Dans un premier temps, la présente recommandation explique en détail au Chapitre II le cadre juridique du traitement visé. Une attention particulière est notamment accordée aux notions de ‘données à caractère personnel’, ‘traitement de données à caractère personnel’, ‘responsable du traitement’ et ‘sous-traitant’. La recommandation fournit ensuite des explications sur la portée concrète de la notion de ‘traitement de données biométriques’. Une bonne compréhension de la terminologie utilisée est en effet fondamentale avant de pouvoir appliquer les principes de protection des données au traitement de données biométriques.
Le Chapitre III traite ensuite des principes pertinents de protection des données dans le cadre du traitement de données biométriques. Dans ce cadre, une attention particulière est consacrée au choix d’une base juridique correcte (motif d’exception), à la définition correcte des finalités du traitement, à l’exigence de proportionnalité, à la sécurité du traitement, au principe de limitation de la conservation, à l’obligation de transparence et à l’obligation (éventuelle) de réaliser une analyse d’impact relative à la protection des données.
Cette analyse, en particulier en ce qui concerne le recours à une base juridique ou à un motif d’exception qui justifie le traitement de données biométriques, nous apprend qu’actuellement, il existe une lacune en droit belge de sorte que tout traitement de données biométriques dans le cadre de l’authentification de personnes, dans la mesure où l’on ne peut pas recourir au consentement explicite et à l’exception du traitement de données biométriques dans le cadre de l’eID (carte d’identité électronique) et du passeport, a lieu sans base juridique. Cela signifie concrètement que le législateur belge devra définir dans la loi les modalités du traitement de données biométriques dans la mesure où il veut (continuer à) autoriser l’utilisation de données biométriques dans un contexte déterminé.
Retour au sommaireFrance
La Cnil
Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté (11 mars 2021)
Ce référentiel porte sur les traitements de données à caractère personnel mis en œuvre couramment par les organismes dans le cadre de l’accompagnement social et/ou médicosocial qu’ils fournissent aux personnes âgées, en situation de handicap ou en difficulté (les personnes qui sont menacées d’exclusion pour des motifs divers et confrontées à des problèmes euxmêmes diversifiés, telles que les demandeurs d’asile, les personnes en situation de grande précarité face au logement, les demandeurs d’emploi, les personnes en difficulté financière, etc.). Il a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel. Les traitements mis en œuvre par les organismes dans le cadre de l’accompagnement social et/ou médico-social doivent être inscrits dans le registre prévu à l’article 30 du RGPD (voir modèle de registre).
Ce référentiel n’a pas de valeur contraignante. Il permet en principe d’assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d’évolution des pratiques à l’ère du numérique. Les organismes qui s’écarteraient du référentiel au regard des conditions particulières tenant à leur situation peuvent le faire. Il peut néanmoins leur être demandé de justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.
Le référentiel n’a pas pour objet d’interpréter les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent par ailleurs trouver à s’appliquer (p. ex. : CASF, CSP, etc.). Ce référentiel constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD), dans le cas où celle-ci est nécessaire. Les organismes peuvent également se reporter aux outils méthodologiques proposés par la CNIL sur son site web en vue de faciliter la mise en conformité des traitements mis en œuvre. Ils seront ainsi à même de définir les mesures permettant d’assurer la nécessité et la proportionnalité de leurs traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). L’organisme pourra également s’appuyer sur les lignes directrices de la CNIL sur les AIPD. Si l’organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.
Référentiel des durées de conservation dans le domaine de la recherche en santé
Retour au sommaireSommaire
Union Européenne
-
Jurisprudence de la CJUE
- C-101/01 (6 novembre 2003) - Lindqvist
- C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.
- C-136/17 ( 24 septembre 2019) - GC e.a. (Déréférencement de données sensibles)
- C-184/20 (1er octobre 2022), Vyriausioji tarnybinės etikos komisija
- C-252/21 (4 juillet 2023), Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social)
- C-667/21, ZQ contre Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts (21 décembre 2023)
Belgique
France
Union Européenne
Jurisprudence de la CJUE
C-101/01 (6 novembre 2003) - Lindqvist
1) L'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .
2) Un tel traitement de données à caractère personnel ne relève d'aucune des exceptions figurant à l'article 3, paragraphe 2, de la directive 95/46.
3) L'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46.
4) Il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d'une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.
5) Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d'ex
6) Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.
Conclusions de l'Avocat général
C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.
1) L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.
2) L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.
3) L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.
Conclusions de l'Avocat général
C-136/17 ( 24 septembre 2019) - GC e.a. (Déréférencement de données sensibles)
1) Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.
2) Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.
L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.
Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.
3) Les dispositions de la directive 95/46 doivent être interprétées en ce sens que,
– d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et
– d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de cette charte.
Conclusions de l'Avocat général
C-184/20 (1er octobre 2022), Vyriausioji tarnybinės etikos komisija
|
2) L’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que la publication, sur le site Internet de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l’orientation sexuelle d’une personne physique constitue un traitement portant sur des catégories particulières de données à caractère personnel, au sens de ces dispositions. Conclusions de l'avocat général C-252/21 (4 juillet 2023), Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social)1) Les articles 51 et suivants du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ainsi que l’article 4, paragraphe 3, TUE doivent être interprétés en ce sens que : sous réserve du respect de son obligation de coopération loyale avec les autorités de contrôle, une autorité de la concurrence d’un État membre peut constater, dans le cadre de l’examen d’un abus de position dominante de la part d’une entreprise, au sens de l’article 102 TFUE, que les conditions générales d’utilisation de cette entreprise relatives au traitement des données à caractère personnel et leur mise en œuvre ne sont pas conformes à ce règlement, lorsque ce constat est nécessaire pour établir l’existence d’un tel abus. Au vu de cette obligation de coopération loyale, l’autorité de la concurrence nationale ne peut s’écarter d’une décision de l’autorité de contrôle nationale compétente ou de l’autorité de contrôle chef de file compétente relative à ces conditions générales ou à des conditions générales similaires. Lorsqu’elle nourrit des doutes à l’égard de la portée d’une telle décision, lorsque lesdites conditions ou des conditions similaires font, en même temps, l’objet d’un examen de la part de ces autorités, ou encore lorsque, en l’absence d’enquête ou de décision desdites autorités, l’autorité de la concurrence considère que les conditions en cause ne sont pas conformes au règlement 2016/679, elle doit consulter ces mêmes autorités de contrôle et solliciter leur coopération, afin de lever ses doutes ou de déterminer s’il y a lieu d’attendre l’adoption d’une décision de leur part avant d’entamer sa propre appréciation. En l’absence d’objection de leur part ou de réponse dans un délai raisonnable, l’autorité de la concurrence nationale peut poursuivre sa propre enquête. 2) L’article 9, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : dans le cas où un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en rapport avec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s’inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l’opérateur de ce réseau social en ligne, consistant en la collecte, au moyen d’interfaces intégrées, de cookies ou de technologies d’enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l’utilisateur, en la mise en relation de l’ensemble de ces données avec le compte du réseau social de celui-ci et en l’utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d’une de ces catégories, que ces informations concernent un utilisateur de ce réseau ou toute autre personne physique. 3) L’article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que : lorsqu’un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en rapport avec une ou plusieurs des catégories visées à l’article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l’opérateur de ce réseau social en ligne à travers des cookies ou des technologies d’enregistrement similaires. Lorsqu’il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu’il active des boutons de sélection intégrés à ces sites et à ces applications, tels que les boutons « j’aime » ou « partager » ou les boutons permettant à l’utilisateur de s’identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d’utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l’activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d’un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes. 4) L’article 6, paragraphe 1, premier alinéa, sous b), du règlement 2016/679 doit être interprété en ce sens que : le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire à l’exécution d’un contrat auquel les personnes concernées sont parties, au sens de cette disposition, qu’à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes utilisateurs, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement. 5) L’article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679 doit être interprété en ce sens que : le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu’à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime et qu’il ressort d’une pondération des intérêts opposés, au regard de l’ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d’un tiers. 6) L’article 6, paragraphe 1, premier alinéa, sous c), du règlement 2016/679 doit être interprété en ce sens que : le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, est justifié, au titre de cette disposition, lorsqu’il est effectivement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, en vertu d’une disposition du droit de l’Union ou du droit de l’État membre concerné, que cette base juridique répond à un objectif d’intérêt public et est proportionnée à l’objectif légitime poursuivi et que ce traitement est opéré dans les limites du strict nécessaire. 7) L’article 6, paragraphe 1, premier alinéa, sous d) et sous e), du règlement 2016/679 doit être interprété en ce sens que : le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut, en principe et sous réserve d’une vérification à effectuer par la juridiction de renvoi, être considéré comme étant nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, au sens du point d), ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens du point e). 8) L’article 6, paragraphe 1, premier alinéa, sous a), et l’article 9, paragraphe 2, sous a), du règlement 2016/679 doivent être interprétés en ce sens que : la circonstance que l’opérateur d’un réseau social en ligne occupe une position dominante sur le marché des réseaux sociaux en ligne ne fait pas obstacle en tant que telle à ce que les utilisateurs d’un tel réseau puissent valablement consentir, au sens de l’article 4, point 11, de ce règlement, au traitement de leurs données à caractère personnel, effectué par cet opérateur. Cette circonstance constitue néanmoins un élément important pour déterminer si le consentement a effectivement été donné valablement et, notamment, librement, ce qu’il incombe audit opérateur de prouver. Conclusions de l'avocat général C-667/21, ZQ contre Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts (21 décembre 2023)1) L’article 9, paragraphe 2, sous h), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que : l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par le paragraphe 3 dudit article 9. 2) L’article 9, paragraphe 3, du règlement 2016/679 doit être interprété en ce sens que : le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, n’est pas tenu, en vertu de ces dispositions, de garantir qu’aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l’état de santé de celle‑ci. Toutefois, une telle obligation peut s’imposer au responsable d’un tel traitement soit en vertu d’une réglementation adoptée par un État membre sur la base de l’article 9, paragraphe 4, dudit règlement, soit au titre des principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), du même règlement et concrétisés à l’article 32, paragraphe 1, sous a) et b), de celui-ci. 3) L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que : un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1. 4) L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive. 5) L’article 82 du règlement 2016/679 doit être interprété en ce sens que : d’une part, l’engagement de la responsabilité du responsable du traitement est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée à moins que ce dernier prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement de cette disposition. |
Belgique
Jurisprudence belge
C. const. Be., n°31/2000 (21 mars 2000)
En cause : le recours en annulation totale ou partielle de la loi du 2 juin 1998 portant création d'un Centre d'information et d'avis sur les organisations sectaires nuisibles et d'une Cellule administrative de coordination de la lutte contre les organisations sectaires nuisibles (ci-après « loi attaquée »), introduit par l'a.s.b.l. Société anthroposophique belge et autres.
1. Il résulte tant de la loi du 8 décembre 1992, qui ne prévoit en effet aucune exception en la matière (voy. l’article 3, §§ 2, 3, 4 et 5), que des travaux préparatoires de la loi attaquée que la loi du 8 décembre 1992 est applicable au traitement des données personnelles par le Centre.
2. Le traitement de données à caractère personnel relatives aux opinions philosophiques ou religieuses est, selon cette loi, en principe interdit (article 6, § 1er), sauf les exceptions expressément mentionnées (article 6, § 2), parmi lesquelles figure le cas dans lequel, comme en l’espèce, « le traitement des données à caractère personnel […] est permis par une loi, un décret ou une ordonnance pour un autre motif important d’intérêt public » (littera l) et moyennant le respect des conditions particulières déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée (article 6, § 4).
3. La loi attaquée habilite le Centre à traiter des données à caractère personnel relatives aux opinions et aux activités philosophiques et religieuses pour l’accomplissement de ses missions visées à l’article 6, § 1er, 1°, de la loi attaquée - étudier le phénomène des organisations sectaires nuisibles en Belgique ainsi que leurs liens internationaux – et à l’article 6, § 1er, 3°, de la loi attaquée – assurer l’accueil et l’information du public et informer toute personne qui en fait la demande sur l’étendue de ses droits et obligations et sur les moyens de faire valoir ses droits.
4. Les garanties relatives à la confidentialité et à la sécurité des données à caractère personnel, le statut et les tâches d’un préposé à la protection des données au sein du Centre et la façon dont le Centre devra faire rapport à la Commission de la protection de la vie privée sur le traitement de données à caractère personnel sont fixés par le Roi, en application de l’article 6, § 3, alinéa 2, de la loi attaquée, dans un arrêté délibéré en Conseil des ministres. En adoptant cette disposition, le législateur a voulu prévoir des garanties particulières en la matière « vu le caractère particulièrement délicat des données sensibles que le Centre sera habilité à traiter ». Ces garanties, qui ne sauraient évidemment porter atteinte aux garanties contenues dans la loi du 8 décembre 1992, ne peuvent dès lors constituer que des garanties supplémentaires.
5. Le moyen n’est pas fondé en tant qu’il objecte que la loi attaquée entoure le traitement de données à caractère personnel par le Centre de moins de garanties que n’en prévoit le régime de droit commun.
C. const. Be., n°29/2010 (18 mars 2010)
Le législateur a prévu expressément qu’il n’entendait pas déroger à la loi précitée du 8 décembre 1992 (article 6 de la loi du 21 août 2008). Les garanties de cette loi restent par conséquent d’application en même temps que les garanties qui sont contenues dans la loi du 21 août 2008 lative à l’institution et à l’organisation de la plate-forme eHealth.
Pour le surplus, il est rappelé que la plate-forme eHealth n’a pas été instaurée pour obtenir ou enregistrer des données relatives à la santé mais pour organiser l’échange sécurisé de données existantes. La seule exception à ce principe, comme l’observe le Conseil des ministres, est le répertoire des références précité, pour lequel le législateur a expressément rappelé le consentement exigé par la loi du 8 décembre 1992.
C. const. Be., n°67/2020 (14 mai 2020)
En cause : les recours en annulation totale ou partielle (les articles 2 et 4) de la loi du 29 novembre 2017 « relative à la continuité du service de transport ferroviaire de personnes en cas de grève », introduits par l’ASBL « Syndicat pour la Mobilité et Transport Intermodal des Services Publics - Protect » et par le Secteur « Cheminots » de la Centrale générale des services publics et autres.
Sans qu’il soit besoin de se prononcer sur la question de savoir si les données collectées dans le cadre de la mise en œuvre de la loi attaquée ont ou non un caractère sensible au sens de l’article 9, paragraphe 1, du RGPD, il suffit de constater que la collecte de telles données est « nécessaire pour des motifs d’intérêt public important », conformément à l’article 9, paragraphe 2, g), du RGPD, à savoir l’organisation d’une offre de transport adaptée en cas de grève.
À cet égard, la loi attaquée prévoit expressément que les déclarations d’intention sont traitées de manière confidentielle, dans le seul but d’organiser le service en fonction des effectifs disponibles lors du jour de grève. Le conseil d’administration de HR Rail doit par ailleurs déterminer les modalités concrètes de communication des déclarations d’intention, après avis du comité de pilotage. Il s’agit de mesures appropriées et spécifiques pour sauvegarder les droits fondamentaux des personnes concernées, au sens de l’article 9, paragraphe 2, g), du RGPD. Par ailleurs, dans le silence de la loi attaquée, les garanties ordinaires en matière de protection des données à caractère personnel, et notamment le RGPD, s’appliquent de plein droit. Il en résulte que la loi attaquée ne porte pas atteinte au droit au respect de la vie privée et au droit à la protection des données à caractère personnel des personnes concernées.
C. const. Be., n°118/2020 (24 septembre 2020)
1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.
Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.
2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.
Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.
C. const. Be., n°2/2021 (14 janvier 2021)
1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.
L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.
Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter
« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.
2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.
L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.
En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.
3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.
Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».
La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.
Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.
C. const. Be, n°23/2021 (25 février 2021)
1. Les articles 30bis et 51/3 de la loi du 15 décembre 1980 déterminent les personnes concernées par le traitement litigieux et les circonstances dans lesquelles celui-ci peut avoir lieu. Ils habilitent par ailleurs le Roi à fixer le délai de conservation des données biométriques et prévoient le contrôle de l’Autorité de protection des données.
Il s’ensuit que les dispositions attaquées ne méconnaissent pas l’essence du droit à la protection des données et qu’elles sont assorties de mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts des étrangers concernés, au sens de l’article 9, paragraphe 2, point g), du RGPD. Pour le surplus, c’est aux autorités compétentes, en leur qualité de responsable de traitement, qu’il appartient de veiller au respect des principes énoncés à l’article 5, paragraphe 1, du RGPD, dont les parties requérantes n’établissent pas qu’il serait violé par les dispositions attaquées.
2. La faculté, pour les instances chargées de l’examen de la demande de protection internationale, d’inviter le demandeur à produire certains éléments, prévue à l’article 48/6, § 1er, alinéa 4, de la loi du 15 décembre 1980, vise à permettre à ces instances de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée.
La licéité du traitement des données visées par l’article 48/6, § 1er, alinéa 4, précité, ne repose pas sur le seul consentement des personnes concernées, mais également sur la nécessité du traitement en vue de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens de l’article 6, paragraphe 1, point e), du RGPD, mission qui correspond à des motifs d’intérêt public important en ce qui concerne les données à caractère personnel sensibles, au sens de l’article 9, paragraphe 2, point g), du RGPD.
La disposition attaquée vise à permettre aux instances chargées de l’examen de la demande de protection internationale de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée. Cet objectif est légitime.
3. L’exigence selon laquelle les instances chargées de l’examen de la demande de protection internationale doivent avoir de bonnes raisons de penser que le demandeur retient des informations, pièces, documents ou autres éléments essentiels à une évaluation correcte de la demande pour l’inviter à produire ces éléments est de nature à baliser le pouvoir d’appréciation de ces instances.
L’ingérence dans le droit du demandeur au respect de la vie privée et à la protection des données à caractère personnel n’entraîne donc pas des effets disproportionnés eu égard à l’objectif poursuivi.
C. const. Be., n°22/2022 (10 février 2022)
1. En cause : le recours en annulation de l’article 5 de la loi du 29 mars 2018 « modifiant les articles 2 et 9ter de la loi du 2 avril 1965 relative à la prise en charge des secours accordés par les centres publics d’action sociale », en tant qu’il remplace le paragraphe 5 de l’article 9ter de la loi du 2 avril 1965 précitée, introduit par l’ASBL « Medimmigrant » et autres. La disposition attaquée confie au médecin-contrôle de la Caisse auxiliaire d’assurance maladie-invalidité (ci-après : la CAAMI) la mission de contrôler a posteriori le caractère urgent des soins médicaux dispensés par les prestataires de soins dans le cadre de l’aide médicale urgente aux personnes en séjour illégal, et, le cas échéant, d’infliger une sanction financière aux prestataires qui auraient dispensé des soins non conformes aux critères fixés par la loi.
2. Le droit au respect de la vie privée des personnes physiques dans le cadre du traitement automatique des données à caractère personnel n’est pas absolu. L’article 23 du RGPD précise que les droits consacrés par ce règlement peuvent être limités moyennant le respect de l’essence de ceux-ci et que la limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment, des objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale (article 23, paragraphe 1, e)), de la prévention et de la détection de manquements à la déontologie des professions réglementées, ainsi que des enquêtes et des poursuites en la matière (article 23, paragraphe 1, g)) et d’une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique (article 23, paragraphe 1, h)). […]
3. Les contrôles prévus par la disposition attaquée peuvent déboucher sur des sanctions de nature civile, dans l’intérêt du financement de la sécurité sociale, destinées à mettre fin à une situation contraire à la loi. Il s’agit d’un objectif d’intérêt général. Ces contrôles sont effectués par le seul médecin-contrôle de la CAAMI, à l’exclusion de tout autre membre de l’administration. En tant que médecin, il est soumis au secret professionnel ainsi qu’aux règles déontologiques propres à sa profession. Pour le surplus, la disposition attaquée confie au Roi le soin de préciser les modalités des contrôles prévus par la disposition attaquée, ce qui ne Le dispense pas de respecter, à cette occasion, la réglementation relative à la protection des données à caractère personnel, sous le contrôle du juge compétent.
4. La Cour constitutionnelle belge conclut que le moyen pris en violation des articles 5 et 9 du RGPD est non fondé.
Retour au sommaireFrance
Jurisprudence française
CE Fr., n°354629 (12 mars 2014)
1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.
2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.
3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.
CE Fr., n°354903 (26 mai 2014)
Les délibérations par lesquelles la CNIL, sur le fondement des dispositions du III de l'article 8 de la loi n° 78-17 du 6 janvier 1978 qui définissent les possibilités de dérogation à l'interdiction de principe posée au I du même article, autorise, compte tenu de leurs finalités, certaines catégories de traitement de données sensibles, sont au nombre des actes devant obligatoirement être motivés en vertu de l'article 2 de la loi n° 79-587 du 11 juillet 1979.
Cass. Fr., n°13-25.156 (19 novembre 2014)
1. Une cour d'appel qui relève que la consultation du registre qui porte mention du baptême d'une personne baptisée, à l'âge de deux jours, n'est ouverte, l'intéressé mis à part, qu'aux ministres du culte, eux-mêmes tenus au secret, et que la seule publicité donnée à cet événement et à son reniement mentionné en 2001 en regard de son nom sur le registre, émanait de la personne elle-même a pu retenir que cette dernière ne pouvait invoquer aucune atteinte au droit au respect de sa vie privée du fait du refus d'effacement de la mention de son baptême sur le registre paroissial.
2. Après avoir relevé que les représentants légaux de l'enfant avaient donné leur consentement à la relation de cet événement sur le registre des baptêmes et constaté qu'à la demande de l'intéressé, la mention "a renié son baptême par lettre du 31 mai 2001" a été inscrite sur ce registre le 6 juin 2001 en regard de son nom, la cour d'appel, qui a justement retenu que, dès le jour de son administration et en dépit de son reniement, le baptême constituait un fait dont la réalité historique ne pouvait être contestée, a décidé, à bon droit, qu'il n'y avait pas lieu d'ordonner l'effacement de sa mention du registre.
Cass. Fr., n°13-86.267 (8 juillet 2015)
1. L'inscription d'un candidat au don du sang dans un fichier automatisé de données personnelles entre dans les prévisions du paragraphe II, 6°, de l'article 8 de la loi n° 78-17 du 6 janvier 1978, selon lesquelles l'interdiction, posée au paragraphe I du même article, de collecter ou de traiter des données à caractère personnel relatives, notamment, à la santé ou à la vie sexuelle des personnes, ne s'applique pas aux traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé, et mis en œuvre par un membre d'une profession de santé, ou par une autre personne soumise au secret professionnel ; il s'en déduit qu'à défaut même de consentement exprès de l'intéressé à la mise en mémoire ou à la conservation des données le concernant, le comportement à cet égard des personnels et établissements de santé ne saurait tomber sous le coup de l'incrimination prévue par l'article 226-19 du code pénal, qui renvoie lui-même à des exceptions, prévues par la loi, à l'interdiction d'enregistrement informatique des données personnelles sensibles
2. L'exception à l'exigence d'un consentement de la personne à l'enregistrement et à la conservation de données personnelles relatives à la santé ou à l'orientation sexuelle, qui découle des dispositions combinées des articles 226-19 du code pénal et 8 de la loi n° 78-17 du 6 janvier 1978, constitue une mesure légitime, nécessaire à la protection de la santé, définie par la loi avec suffisamment de précision pour éviter l'arbitraire, et de nature à assurer, en l'état, entre le respect de la vie privée et la sauvegarde de la santé publique, une conciliation qui n'est pas déséquilibrée.
CE Fr., n°433069 (16 octobre 2019)
1. Les avis, recommandations, mises en garde et prises de position adoptés par les autorités de régulation dans l'exercice des missions dont elles sont investies, peuvent être déférés au juge de l'excès de pouvoir lorsqu'ils revêtent le caractère de dispositions générales et impératives ou lorsqu'ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance. Ces actes peuvent également faire l'objet d'un tel recours, introduit par un requérant justifiant d'un intérêt direct et certain à leur annulation, lorsqu'ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent.
2. L'acte révélé par deux communiqués de presse qui présentent le plan d'actions élaboré par la CNIL dans le domaine du ciblage publicitaire en ligne constitue une prise de position publique de la commission quant au maniement des pouvoirs dont elle dispose, en particulier en matière répressive, pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs. Elle doit être regardée comme ayant pour objet d'influer sur le comportement des opérateurs auxquels elle s'adresse et comme étant de nature à produire des effets notables tant sur ces opérateurs que sur les utilisateurs et abonnés de services électroniques. Compte tenu de leur objet social qui est la défense des libertés sur internet et la protection de la confidentialité des données personnelles, elle fait grief aux associations requérantes qui sont recevables à en demander l'annulation.
3. Pour l'application des articles 8 et 20 de loi n° 78-17 du 6 janvier 1978, la CNIL dispose, s'agissant de l'usage des prérogatives qui lui ont été conférées pour l'accomplissement de ses missions, d'un large pouvoir d'appréciation, en particulier pour ce qui concerne l'exercice de son pouvoir de sanction, que ce soit pour apprécier l'opportunité d'engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu'elle peut recevoir. A cet égard, la CNIL peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. Il lui est loisible, dans ce domaine comme dans tout autre domaine relevant de ses attributions, de rendre publiques les orientations qu'elle a arrêtées pour l'exercice de ses pouvoirs. Il s'ensuit que la CNIL n'a pas méconnu l'étendue de sa compétence en élaborant un plan d'actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu'elle a prise quant à l'usage de ses pouvoirs, notamment de sanction, afin d'atteindre les objectifs qu'elle a définis.
4. a) S'il est vrai que la CNIL a laissé aux opérateurs, dans le cadre de ce plan d'actions, une période d'adaptation, s'achevant six mois après la publication de cette recommandation, durant laquelle elle annonce que la poursuite de la navigation comme ex
b) L'acte attaqué, qui n'exclut pas que la CNIL puisse en tout état de cause faire usage de son pouvoir répressif en cas d'atteinte particulièrement grave au droit au respect de la vie privée protégé par l'article 7 de la charte des droits fondamentaux de l'Union européenne et l'article 8 de la Conv. EDH ainsi qu'au droit à la protection des données personnelles garanti par l'article 8 de cette charte, contribue à remédier à des pratiques ne respectant pas les exigences posées par l'article 4 du RGPD et l'article 82 de la loi du 6 janvier 1978, en fixant pour l'ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l'exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles doit être écarté.
5. Le juge de l'excès de pouvoir exerce un contrôle restreint à l'erreur manifeste d'appréciation sur les orientations retenues par la CNIL quant au maniement des pouvoirs dont elle dispose pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs.
Retour au sommaire
Art. 9 1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie: a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée; c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement; d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées; e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée; f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle; g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée; h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, la prise en charge sanitaire ou sociale, ou la gestion des systèmes et des services sanitaires ou sociaux sur la base du droit de l'Union, du droit d'un' État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3; i) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel; ou j) le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée. 3. Les données à caractère personnel visées au paragraphe 1 peuvent faire l'objet d'un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents. 4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. |
Proposition 1
close
1. Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. 2. Le paragraphe 1 ne s'applique pas lorsque: a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel, dans les conditions fixées à l’article 7 et à l'article 8, sauf lorsque le droit de l’Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; ou b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par une législation nationale prévoyant des garanties appropriées; ou c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement, ou d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée; ou f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou g) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général sur le fondement du droit de l’Union ou d’un État membre, qui doit prévoir des mesures appropriées à la sauvegarde des intérêts légitimes de la personne concernée; ou h) le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties prévues à l'article 81; ou i) le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 83; ou j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. 3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriées pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2. |
Proposition 2
close
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion, les convictions philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou la vie sexuelle (…) sont interdits. 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie (…): a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel (…), sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité et de la protection sociales, dans la mesure où ce traitement est autorisé par le droit de l'Union, par la législation nationale ou par une convention collective relevant de celle-ci prévoyant des garanties appropriées; c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement; d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à des tiers sans le consentement des personnes concernées; e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée (...); f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle; g) le traitement est nécessaire pour des motifs (...) d'intérêt public, sur la base du droit de l'Union ou de la législation nationale, qui doit prévoir des mesures appropriées et spécifiques en vue de sauvegarder les intérêts légitimes de la personne concernée; h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de soins ou de traitements de santé ou sociaux ou de la gestion de systèmes et de services de soins de santé ou sociaux, sur la base du droit de l'Union, de la législation nationale ou d'un contrat conclu avec un professionnel de la santé et dans le respect des conditions et des garanties prévues au paragraphe 4; h bis)(...); h ter)le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou la législation nationale prévoyant des mesures appropriées et spécifiques en vue de sauvegarder les droits et libertés de la personne concernée; i) le traitement est nécessaire à des fins d'archivage dans l'intérêt public ou à des fins historiques, statistiques ou scientifiques (...) et est effectué dans le respect des conditions et des garanties prévues dans le droit de l'Union ou la législation des États membres, y compris celles visées à l'article 83. j) (...) 3. (...) 4. Les données à caractère personnel visées au paragraphe 1 peuvent faire l'objet, sur la base du droit de l'Union ou de la législation nationale, d'un traitement aux fins prévues au paragraphe 2, point h) (...), si ces données sont traitées par un praticien soumis au secret professionnel conformément au droit de l'Union, à la législation nationale ou aux règles arrêtées par les autorités nationales compétentes, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément à la législation nationale ou de l'Union ou aux règles arrêtées par les autorités nationales compétentes. 4 bis. (...). 5. Les États membres peuvent maintenir ou introduire des dispositions plus précises en ce qui concerne les données génétiques ou liées à la santé. Cela englobe la possibilité pour les États membres de (...) prévoir de nouvelles conditions pour le traitement de telles données. |
Directive close
Art. 8 1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle. 2. Le paragraphe 1 ne s'applique pas lorsque: a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée ou b) le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates ou c) le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ou d) le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées ou e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice. 3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente. 4. Sous réserve de garanties appropriées, les États membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle. 5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. Les États membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l'autorité publique. 6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission. 7. Les États membres déterminent les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement. |
Belgique
Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel Art. 8 En exécution de l’article 9.2.g) du Règlement, les traitements ci-après sont considérés comme traitements nécessaires pour des motifs d’intérêt public important: 1° le traitement effectué par des associations dotées de la personnalité juridique ou par des fondations qui ont pour objet statutaire principal la défense et la promotion des droits de l’homme et des libertés fondamentales,en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par le Roi, par arrêté délibéré en Conseil des ministres, après avis de l’autorité de contrôle compétente. Le Roi peut prévoir des modalités de ce traitement; 2° le traitement géré par la fondation d’utilité publique “Fondation pour Enfants Disparus et Sexuellement Exploités” pour la réception, la transmission à l ’autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées, dans un dossier déterminé de disparition ou d’exploitation sexuelle, d’avoir commis un crime ou un délit; 3° le traitement de données à caractère personnel concernant la vie sexuelle, effectué par une association dotée de la personnalité juridique ou par une fondation,qui a pour objet statutaire principal l’évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d’infraction, et qui est agréée et subventionné par l’autorité compétente en vue de la réalisation de cet objet. Ces traitements, qui doivent être destinés à l’évaluation, la guidance et le traitement des personnes visées dans le présent paragraphe et qui ne peuvent porter que sur des données à caractère personnel qui, pour autant qu’elles soient relatives à la vie sexuelle, concernent les personnes visées dans le présent paragraphe, sont soumis à une autorisation spéciale individuelle accordée par le Roi, dans un arrêté royal délibéré en Conseil des ministres, après avis de l’autorité de contrôle compétente. L’arrêté visé à l’alinéa 1er, 3°, précise la durée de validité de l’autorisation, les modalités du traitement des données, les modalités de contrôle de l’association ou de la fondation par l’autorité compétente et la façon dont cette autorité informe l’autorité de contrôle compétente sur le traitement de données à caractère personnel effectué dans le cadre de l’autorisation accordée. Sauf dispositions légales particulières, le traitement de données génétiques et biométriques aux fins d’identifier une personne physique de manière unique par ces associations et fondations est interdit. § 2. Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l’autorité de contrôle compétente. Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées. § 3. La fondation visée au paragraphe 1er, alinéa 1er, 2°, ne peut tenir un fichier de personnes suspectes d’avoir commis un crime ou un délit ou de personnes condamnées. Elle désigne également un délégué à la protection des données. Art. 9 En exécution de l’article 9.4 du Règlement, le responsable du traitement prend les mesures supplémentaires suivantes lors du traitement de données génétiques, biométriques ou des données concernant la santé: 1° les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées; 2° la liste des catégories des personnes ainsi désignées est tenue à la disposition de l’autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant; 3° il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
|
Ancienne loi
close
Art. 6. § 1. Le traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la vie sexuelle, est interdit.
|