Article 10
Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 10 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 10 keyboard_arrow_up

(19) La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/… du Parlement européen et du Conseil1*. Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/…** des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.

En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 10.

Le GDPR

Le Règlement a choisi d’introduire dans le Règlement une disposition spécifique au traitement des données relatives aux condamnations, aux infractions pénales ou aux mesures de sûreté et de procéder à une clarification de ladite disposition dont la mouture initiale était source de confusion (article 10).

Le traitement de données relatives à ces données ne peut être effectué qu’à condition :

- qu’il ait lieu sous le contrôle de l’autorité publique ;

- ou qu’il soit autorisé par le droit de l’Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.

Contrairement au texte de la Directive, le droit national ne peut plus déroger à ces conditions.

Enfin, la centralisation exhaustive des condamnations pénales ne peut être effectuée que sous le contrôle de l’autorité publique.

La Directive

La Directive prévoyait une dérogation à l’interdiction de traiter des données sensibles pour les traitements de données relatives aux infractions, condamnations pénales ou aux mesures de sûreté (article 8§5), à condition que ceux-ci soient effectués sous le contrôle de l’autorité publique ou que des garanties appropriées et spécifiques soient prévues en droit national.

Le paragraphe 5 in fine de l’article 8 de la Directive précisait qu’un fichier reprenant de manière exhaustive l’intégralité des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

France

Comme l’impose la Directive, la loi Informatique et Libertés n’autorisait le traitement de données relatives aux infractions, condamnations et mesures de sûreté que sous le contrôle des autorités publiques et uniquement dans le cadre de leurs attributions légales. Le texte énonçait de manière exhaustive les entités habilitées pour la mise en œuvre de telles données (deux catégories à l’origine dont les juridictions, autorités publiques et personnes morales gérant un service public, agissant dans le cadre de leurs obligations légales…). Ces entités devaient adresser à la CNIL une déclaration normale (article 22 I, et 25 I 3° de la loi modifiée du 6 janvier 1978) sauf si le traitement effectué n’est pas automatisé, conformément au droit commun en vigueur. Cette possibilité de traitement avait été étendue à deux autres catégories (sociétés de perception et réception des droits d’auteurs art 9 4°, et le traitement visé à l’article 67 de la loi Informatique et Libertés).

Difficultés probables ?

Des différences entre États membres pourront apparaître concernant le traitement des données relatives aux condamnations, ou aux infractions pénales ou aux mesures de sécurité dès lors que les conditions de traitement se déterminent dans les législations nationales (modalités de contrôles de l’autorité publique ou autorisation législative spécifique).

Jurisprudence de la CJUE

C-141/12 ; C-372/12 (17 juillet 2014)

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2)      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3)      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

Règlement
1e 2e

Art. 10

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un 'État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Proposition 1 close

1. Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits.

2. Le paragraphe 1 ne s'applique pas lorsque:

le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par la législation d'un État membre prévoyant des garanties adéquates.

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

 

Proposition 2 close

Le traitement des données relatives aux condamnations et aux infractions pénales ou aux mesures de sûreté connexes, sur la base de l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou lorsque le traitement est autorisé par le droit de l'Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Directive close

Art. 8

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque:

(…)

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 46

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d'exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n'est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits ;

5° Les réutilisateurs des informations publiques figurant dans les décisions mentionnées à l'article L. 10 du code de justice administrative et à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que les traitements mis en œuvre n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Art. 31

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et :

1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;

2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.

L'avis de la commission est publié avec l'arrêté autorisant le traitement.

II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 6 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement.

III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise. Pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.

IV. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Art. 33

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Les demandes d'avis adressées à la Commission nationale de l'informatique et des libertés en vertu de la présente loi précisent :

1° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de l'Union européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;

2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 31 et 32, la description générale de ses fonctions ;

3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements ;

4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

5° La durée de conservation des informations traitées ;

6° Le ou les services chargés de mettre en œuvre le traitement ainsi que, pour les traitements relevant des articles 31 et 32, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

8° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu aux articles 49,105 et 119, ainsi que les mesures relatives à l'exercice de ce droit ;

9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l'indication du recours à un sous-traitant ;

10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne, sous quelque forme que ce soit.

Les demandes d'avis portant sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d'avis portant sur ces traitements doivent comporter au minimum.

II. - Le responsable d'un traitement déjà autorisé et susceptible de faire l'objet d'une mise à jour rendue publique dans les conditions prévues à l'article 36 informe sans délai la commission :

1° De tout changement affectant les informations mentionnées au I ;

2° De toute suppression du traitement.

Art. 34

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 31 ou 32, se prononce dans un délai de huit semaines à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé de six semaines sur décision motivée du président.

II. - L'avis demandé à la commission sur un traitement, qui n'est pas rendu à l'expiration du délai prévu au I, est réputé favorable.

Art. 35

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les actes autorisant la création d'un traitement en application des articles 31 et 32 précisent :

1° La finalité du traitement et, le cas échéant, sa dénomination ;

2° Le service auprès duquel s'exerce le droit d'accès prévu aux articles 49,105 et 119 ;

3° Les catégories de données à caractère personnel enregistrées ;

4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;

5° Le cas échéant, les dérogations à l'obligation d'information prévues au III de l'article 116 ;

6° Le cas échéant, les limitations et restrictions aux droits des personnes concernées prévues à l'article 23 du règlement (UE) 2016/679 du 27 avril 2016 et à l'article 107.

7° Le cas échéant, la désignation, parmi les responsables conjoints du traitement, du point de contact pour les personnes concernées.

Art. 36

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La commission met à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 31 et 32, à l'exception de ceux mentionnés au III de l'article 31, ainsi que par la section 3 du chapitre III du titre II.

Cette liste précise pour chacun de ces traitements :

1° L'acte décidant la création du traitement ;

2° La finalité du traitement et, le cas échéant la dénomination ;

3° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de l'Union européenne, celles de son représentant ;

4° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu aux articles 49,105 et 119 ;

5° Les catégories de données à caractère personnel faisant l'objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;

6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne.

II. - La commission tient à la disposition du public ses avis, décisions ou recommandations.

 

Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 9.

Version initiale

Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits.

Art. 9

Modifié par la loi n°2018-493 du 20 juin 2018

Les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que [dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018.] par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d'exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n'est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits ;

5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l'article L. 10 du code de justice administrative et les décisions mentionnées à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que les traitements mis en œuvre n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Décret d'application.

CF art. 41 du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

Greece close

close