Article 17
Droit à l'effacement ("droit à l'oubli")

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 17 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 17 keyboard_arrow_up

(65) Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d'un "droit à l'oubli" lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l'Union ou du droit d'un État membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d’une autre manière le présent règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu'elle n'est plus un enfant. Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu'elle est nécessaire à l'exercice du droit à la liberté d'expression et d'information, au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l'exercice ou à la défense de droits en justice.

(66) Afin de renforcer le 'droit à l'oubli' numérique, le droit à l'effacement devrait également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d'informer les responsables du traitement qui traitent ces données à caractère personnel qu'il convient d'effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d'informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

(156) Le traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données à caractère personnel qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.

Afficher les considérants de la Directive 95/46 liés à l'article 17 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 17 keyboard_arrow_up

(25) considérant que les principes de la protection doivent trouver leur expression, d'une part, dans les obligations mises à la charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l'autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d'autre part, dans les droits donnés aux personnes dont les données font l'objet d'un traitement d'être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines circonstances.

Le GDPR

L’article 17 du Règlement investit toute personne concernée par un traitement de données à caractère personnel d’un droit à l’oubli numérique et à l'effacement.

L’apport majeur de cette disposition est de fixer et les conditions d’exercice du droit à l’oubli numérique, notamment l’obligation qui est faite au responsable du traitement ayant rendu publiques des données à caractère personnel d’informer les tiers de la demande de la personne concernée d'effacer tout lien vers ces données ou les copies ou reproductions qui en ont été faites.

Ainsi, en vertu l’article 17 du Règlement, l’effacement doit être obtenu dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

-les données ne sont plus nécessaires au regard des finalités présidant le traitement ;

-lorsque la personne concernée a retiré le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;

-lorsque la personne concernée exerce son droit général d’opposition (art. 21), et qu’il n'existe pas de motif légitime impérieux pour le traitement ou lorsqu’elle exerce son droit spécifique d’opposition en matière de marketing direct (art. 21, § 2) ;

-lorsque les données ont fait l'objet d'un traitement illicite ;

-lorsque les données doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis.

- lorsque les données ont été collectées dans le cadre d’une offre de services de la société de l’information s’adressant aux enfants, au sens de l’article 8, paragraphe 1er.

Compte tenu des technologies disponibles et des coûts de mise en œuvre, le responsable du traitement qui a rendu publiques les données et serait tenu de les effacer suite à l’exercice du droit à l’oubli, doit prendre des mesures raisonnables, y compris d’ordre technique, afin d’informer les autres responsables qui traitent les données dont la personne concernée a demandé l’effacement, de procéder également audit effacement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci.

Le droit à l’oubli numérique et à l’effacement ne pourra cependant pas être exercé lorsque le traitement des données est nécessaire:

-  pour l’exercice de la liberté d’expression et d’information ;

- pour respecter une obligation légale à laquelle est soumis le responsable et qui requiert le traitement ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable ;

-pour des motifs d’intérêt public dans le domaine de la santé publique, conformément aux dispositions sur les données sensibles, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3.

-à des fins d’archivage dans l’intérêt général ou à des fins scientifiques, statistiques et historiques conformément à l’article 89 pour autant que l’exercice du droit à l’oubli rende vraisemblablement impossible ou porte sérieusement atteinte à la réalisation des objectifs des finalités d’archivage dans l’intérêt public ou des finalités scientifiques, de recherche historique ou encore statistique ;

-à la constatation, à l’exercice ou à la défense de droits en justice.

La Directive

Présenté en grandes pompes comme l’innovation majeure du Règlement, le droit à l’effacement était toutefois déjà contenu, à tout le moins, en germe dans la Directive, en son article 12, point b).

On renvoie ici à l’arrêt important rendu par la grande chambre de la Cour de justice de l’Union européenne le 13 mai 2014 ((CJUE, Google Spain SL c. Costeja, 13 mai 2014, C-121/12). Après avoir considéré que Google est soumis aux dispositions de la Directive 95/46/CE (ou de la loi de transposition) et qu’il est considéré comme le responsable du traitement, la Cour a jugé que les droits de rectification et d’opposition consacrés par ces dispositions permettent à une personne de réclamer le déréférencement de liens litigieux.

Les demandes au titre des articles 12, sous b) (correction), et 14, premier alinéa, sous a) (opposition), de la Directive pouvaient donc être directement adressées par la personne concernée au responsable du traitement qui doit alors dûment examiner le bien-fondé de celles-ci et, le cas échéant, mettre fin au traitement des données en cause. Lorsque le responsable du traitement ne donnait pas suite à ces demandes, la personne concernée pouvait saisir l’autorité de contrôle ou l’autorité judiciaire pour que celles-ci effectuent les vérifications nécessaires et ordonnent à ce responsable des mesures précises en conséquence.

France

En vertu de l’article 40 de la loi Informatique et Libertés, toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Il appartient au responsable de démontrer qu’il a accompli les opérations nécessaires pour donner suite à la demande de la personne concernée, à moins qu’il ne démontre que les données contestées ont été communiquées par l'intéressé ou avec son accord. Si les données ont été communiquées à un tiers, le responsable doit notifier auxdits tiers les opérations accomplies.

 

Difficultés probables ?

Tant sous l’empire de la Directive que sous l’égide du Règlement, ni le droit général d’opposition, ni le droit à l’oubli numérique ne sont absolus. 

Il est certain que les précisions apportées par la disposition sur les hypothèses dans lesquelles ce droit peut être exercé seront précieuses et permettront de rendre plus prévisibles les demandes légitimes d’effacement. Le problème viendra plutôt de la mise en œuvre des exceptions, imposant de difficiles pondérations d’intérêts, dont la responsabilité reposera d’abord sur le responsable du traitement.

Le caractère ubiquitaire d’internet et la possibilité de reproduction illimitée des informations sur la toile obligent en outre les personnes concernées à répéter inlassablement leur demande de déréférencement auprès des moteurs de recherche, dès l’apparition de nouveaux sites web hébergeant lesdites informations. Cette répétition chronophage et énergivore a parfois vite fait de décourager les personnes concernées. Cette situation n’est pas de nature à garantir au citoyen une maîtrise réelle de ses données à caractère personnel.

Le devoir à charge du responsable du traitement d’informer les autres responsables qui traitent les données faisant l’objet de la demande d’effacement permettra-t-il de simplifier la tâche des personnes concernées ? On verra en pratique et au regard des limites admises par le texte lui-même (à partir de quel moment, cela sortira-t-il du raisonnable ?).

Sommaire

Union Européenne

Belgique

Union Européenne

Comité européen de la protection des données (CEPD)

Lignes directrices sur les critères du droit à l’oubli au titre du RGPD dans le cas des moteurs de recherche - 5/2019 (7 juillet 2020)

1. Conformément à l’arrêt de la Cour de justice de l’Union européenne («CJUE») rendu le 13 mai 20142, la personne concernée peut demander au fournisseur de moteur de recherche en ligne («fournisseur de moteur de recherche») d’effacer un ou plusieurs liens vers des pages web de la liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom.

2. Selon le rapport de transparence de Google4 , le pourcentage d’URL que Google n’a pas déréférencées n’a pas augmenté au cours des cinq dernières années depuis cet arrêt. Toutefois, à la suite de l’arrêt de la CJUE, les personnes concernées semblent être davantage conscientes de leur droit de déposer une plainte pour refus de leurs demandes de déréférencement, étant donné que les autorités de contrôle ont constaté une augmentation du nombre de plaintes à l’encontre de fournisseurs de moteurs de recherche refusant de retirer des liens de la liste de résultats.

3. Conformément à son plan d’action, le comité européen de la protection des données prépare des lignes directrices relatives à l’article 17 du règlement général sur la protection des données («RGPD»). Dans l’attente de la finalisation de ces lignes directrices, les autorités de contrôle doivent continuer de traiter et d’examiner, dans la mesure du possible, les plaintes déposées par les personnes concernées, et ce dans les meilleurs délais.

4. Ainsi, le présent document vise à interpréter le droit à l’oubli en fonction des dispositions de l’article 17 du RGPD dans le cas des moteurs de recherche (le «droit de demande de déréférencement»). En effet, le droit à l’oubli a été spécialement inscrit à l’article 17 du RGPD afin de tenir compte du droit de demande de déréférencement établi dans l’arrêt «Costeja».

5. Néanmoins, au titre de la directive 95/46/CE du 24 octobre 1995 (la «directive»), et comme l’a déclaré la CJUE dans l’arrêt «Costeja» précité , le droit de demande de déréférencement suppose l’application de deux droits (droit d’opposition et droit à l’effacement, RGPD). En effet, l’application de l’article 21 est expressément citée comme troisième motif du droit à l’effacement. Par conséquent, les articles 17 et 21 du RGPD peuvent servir de fondement juridique aux demandes de retrait. Le droit d’opposition et le droit à l’effacement étaient déjà prévus par la directive. Toutefois, comme nous le verrons, le libellé du RGPD requiert une adaptation de l’interprétation de ces droits.

6. À titre liminaire, il convient de noter que, si l’article 17 du RGPD s’applique à tous les responsables du traitement, le présent document porte uniquement sur le traitement effectué par les fournisseurs de moteurs de recherche et les demandes de déréférencement soumises par les personnes concernées.

7. Diverses considérations entrent en ligne de compte lorsqu’il s’agit d’appliquer l’article 17 au traitement de données effectué par un fournisseur de moteur de recherche. À cet égard, il convient d’indiquer que le traitement de données à caractère personnel effectué dans le cadre des activités d’un fournisseur de moteur de recherche se distingue du traitement par les éditeurs des sites web de tiers tels que les médias proposant du contenu journalistique en ligne .

8. Si la personne concernée obtient le retrait d’un contenu particulier, cela entraîne l’effacement dudit contenu de la liste de résultats de recherche affichée sur la personne concernée lorsque la recherche est effectuée essentiellement à partir de son nom. Toutefois, ledit contenu reste accessible lorsque d’autres critères de recherche sont appliqués.

9. Les demandes de retrait des listes de résultats de recherche ne donnent pas lieu à l’effacement complet des données à caractère personnel. De fait, ces données ne sont effacées ni du site web concerné, ni de l’index et de la mémoire cache du fournisseur de moteur de recherche. Par exemple, la personne concernée peut demander le retrait de données à caractère personnel provenant d’un média de l’index d’un moteur de recherche, tel qu’un article de presse. Dans ce cas, le lien vers les données à caractère personnel peut être retiré de l’index du moteur de recherche. Toutefois, l’article en question demeure sous le contrôle du média et peut rester disponible et accessible au public, même s’il n’apparaît plus dans la liste des résultats affichée à la suite d’une recherche incluant en principe le nom de la personne concernée.

10. Cependant, en règle générale, les fournisseurs de moteurs de recherche ne sont pas exemptés de l’obligation de procéder à un effacement complet des données. Dans certains cas exceptionnels, ils devront procéder à un effacement complet et définitif de leurs index et mémoires caches. Par exemple, si les fournisseurs de moteurs de recherche cessent de respecter les instructions des fichiers robots.txt appliquées par l’éditeur original, ils ont l’obligation d’effacer complètement l’URL vers le contenu, tandis que le retrait de la liste des résultats de recherche porte essentiellement sur le nom de la personne concernée.

11. Le présent document est divisé en deux parties. La première partie concerne les motifs qui peuvent être invoqués par les personnes concernées pour introduire une demande de retrait auprès d’un fournisseur de moteur de recherche au titre de l’article 17, paragraphe 1, du RGPD. La deuxième partie porte sur les exceptions au droit de demande de déréférencement prévues à l’article 17, paragraphe 3, du RGPD. Ce document sera complété d’une annexe consacrée à l’évaluation des critères relatifs au traitement des plaintes pour refus de retrait des listes. Le présent document n’aborde pas la question de l’article 17, paragraphe 2, du RGPD7 . En effet, cet article exige que les responsables du traitement qui ont rendu publiques les données à caractère personnel informent les responsables du traitement qui traitent ensuite ces données à caractère personnel par l’intermédiaire de liens vers les données ou de copies ou reproductions de celles-ci. Cette obligation d’information ne s’applique pas aux fournisseurs de moteurs de recherche lorsque ceux-ci trouvent des informations contenant des données à caractère personnel publiées ou placées sur l’internet par des tiers, les indexent de manière automatique, les stockent temporairement et, enfin, les mettent à la disposition des internautes selon un ordre de préférence donné . En outre, l’article 17, paragraphe 2, du RGPD, n’exige pas des fournisseurs de moteurs de recherche qui ont reçu une demande de retrait d’une personne concernée d’informer le tiers qui a rendu les informations publiques sur l’internet. Cette obligation vise à renforcer la responsabilité des responsables du traitement initial et à empêcher la multiplication des initiatives des personnes concernées. À cet égard, la déclaration du groupe de travail «article 29» selon laquelle les fournisseurs de moteurs de recherche, «[e]n règle générale, [...] ne devraient pas informer les administrateurs des sites web dont des pages ont été déréférencées du fait que ces pages ne sont pas accessibles au moyen de recherches spécifiques effectuées dans leur moteur de recherche», car «[i]l n’y a aucune base juridique prévue pour une telle communication dans la législation européenne sur la protection des données9», reste valable. Il est également prévu de rédiger des lignes directrices spécifiques distinctes concernant l’article 17, paragraphe 2, du RGPD.

Lien

 

Retour au sommaire

Groupe 29

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01  (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative aux techniques de nettoyage de données et de destruction de supports de données - 3/2020 (7 janvier 2021)

L’Autorité de protection des données (APD) remplit de nombreuses missions, dont celle d’éclairer les citoyens, entreprises et acteurs publics quant à certaines questions en lien avec la protection des données. Parmi ces questions, celles liées à une élimination ‘sécurisée’ de données ou de supports de données sont assurément récurrentes.

Quelles que soient leurs motivations, les responsables du traitement souhaitent mener à bien cette opération mais manquent parfois d’une vision claire sur ce qui constitue un résultat satisfaisant (notamment sur le plan de la protection des données à caractère personnel) et sur la manière d’atteindre un tel résultat.

La rareté, au niveau international, des documents de référence sur le sujet, voir leur absence au niveau européen et national, conjuguée avec la volonté de l’APD de fournir aux parties intéressées un guide utile sous forme de lignes directrices claires, à jour et complètes, sont à l’origine de la présente recommandation.

Ce document présente les différentes techniques de « nettoyage » existantes (réécriture, effacement cryptographique, démagnétisation,…) pour différents types de supports (HD, SSD, papier,…) qui, soit rendent l’accès aux données impossible sur un support préservé (effacement sans possibilité de reconstitution et chiffrement), soit aboutissent à la destruction du support (sans possibilité de reconstruction).

La recommandation aborde aussi ce traitement (nettoyage et destruction) d’une manière plus large en détaillant ses différents aspects, tant légaux (notamment liés au RGPD) que techniques ou organisationnels et examine le traitement dès avant l’achat des supports jusqu’aux étapes de vérification et d’enregistrement des résultats.

Enfin, un tableau récapitulatif présente au lecteur, en fonction du type de support, les techniques de nettoyage et destruction recommandées permettant d’atteindre le niveau de confidentialité désiré.

Si les principes et concepts évoqués dans ce document sont par nature relativement pérennes, il est certains outils, méthodes ou exemples présentés qui, au vu de l’évolution des connaissances et des techniques dans le domaine, pourraient devoir être actualisés plus rapidement. Les paragraphes ou parties de texte potentiellement concernés sont précédés des caractères ‘\\’ (double barres obliques inversées).

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-553/07 (7 mai 2009) - Rijkeboer

L’article 12, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, impose aux États membres de prévoir un droit d’accès à l’information sur les destinataires ou les catégories de destinataires des données ainsi qu’au contenu de l’information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres de fixer un délai de conservation de cette information ainsi qu’un accès corrélatif à celle-ci qui constituent un juste équilibre entre, d’une part, l’intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d’intervention et de recours prévus par la directive 95/46, et, d’autre part, la charge que l’obligation de conserver cette information représente pour le responsable du traitement.

Une réglementation limitant la conservation de l’information sur les destinataires ou les catégories de destinataires des données et le contenu des données transmises à une durée d’un an et limitant corrélativement l’accès à cette information, alors que les données de base sont conservées beaucoup plus longtemps, ne saurait constituer un juste équilibre des intérêt et obligation en cause, à moins qu’il ne soit démontré qu’une conservation plus longue de cette information constituerait une charge excessive pour le responsable du traitement. Il appartient à la juridiction nationale d’effectuer les vérifications nécessaires.

Conclusions de l'Avocat général

Arrêt rendu

C-486/12 (12 décembre 2013) - X

1)      L’article 12, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il ne s’oppose pas à la perception de frais à l’occasion de la communication par une autorité publique de données à caractère personnel.

2)      L’article 12, sous a), de la directive 95/46 doit être interprété en ce sens que, afin de garantir que les frais perçus à l’occasion de l’exercice du droit d’accès aux données à caractère personnel ne soient pas excessifs au sens de cette disposition, leur montant ne doit pas excéder le coût de la communication de ces données. Il appartient à la juridiction nationale d’effectuer, au regard des circonstances de l’affaire au principal, les vérifications nécessaires. 

Arrêt rendu

C-131/12 (13 mai 2014) - Google Spain et Google

1)      L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).

2)      L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.

3)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

4)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Conclusions de l'Avocat général

Arrêt rendu

C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2)      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3)      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

C-398/15 (9 mars 2017) - Manni

L’article 6, paragraphe 1, sous e), l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus en combinaison avec l’article 3 de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers, telle que modifiée par la directive 2003/58/CE du Parlement européen et du Conseil, du 15 juillet 2003, doivent être interprétés en ce sens que, en l’état actuel du droit de l’Union, il appartient aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, peuvent demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données.

Conclusions de l'Avocat général 

Arrêt rendu

C‑507/17 (24 septembre 2019) - Google (Portée territoriale du déréférencement)

L’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l’article 17, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.

Conclusions de l'Avocat général

Arrêt rendu

C-136/17 (24 septembre 2019) - GC e.a. (Déréférencement de données sensibles)

1)      Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.

2)      Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.

L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.

Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.

3)      Les dispositions de la directive 95/46 doivent être interprétées en ce sens que,

–        d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et

–        d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de cette charte.

Arrêt de la cour

Conclusions de l'avocat général

C-129/21, (27 octobre 2022) Proximus (Annuaires électroniques publics)

2)      L’article 17 du règlement 2016/679

doit être interprété en ce sens que :

la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires ainsi que des services de renseignements téléphoniques accessibles au public constitue un recours au « droit à l’effacement », au sens de cet article.

3)      L’article 5, paragraphe 2, et l’article 24 du règlement 2016/679

doivent être interprétés en ce sens que :

une autorité de contrôle nationale peut exiger que le fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d’annuaires et de services de renseignements téléphoniques accessibles au public auxquels il a fourni de telles données, du retrait du consentement de cet abonné.

4)      L’article 17, paragraphe 2, du règlement 2016/679

doit être interprété en ce sens que :

il ne s’oppose pas à ce qu’une autorité de contrôle nationale ordonne à un fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, auquel l’abonné d’un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d’informer les fournisseurs de moteurs de recherche de cette demande d’effacement des données.

Arret de la cour

Conclusions de l'avocat général

C-460/20, 8 décembre 2022, Google (Déréférencement d’un contenu prétendument inexact)

1)      L’article 17, paragraphe 3, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

dans le cadre de la mise en balance qu’il convient d’opérer entre les droits visés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, d’une part, et ceux visés à l’article 11 de la charte des droits fondamentaux, d’autre part, aux fins de l’examen d’une demande de déréférencement adressée à l’exploitant d’un moteur de recherche et tendant à ce que soit supprimé de la liste de résultats d’une recherche le lien menant vers un contenu comportant des allégations que la personne ayant introduit la demande estime inexactes, ce déréférencement n’est pas soumis à la condition que la question de l’exactitude du contenu référencé ait été résolue, au moins à titre provisoire, dans le cadre d’un recours intenté par cette personne contre le fournisseur de contenu.

2)      L’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et l’article 17, paragraphe 3, sous a), du règlement 2016/679

doivent être interprétés en ce sens que :

dans le cadre de la mise en balance qu’il convient d’opérer entre les droits visés aux articles 7 et 8 de la charte des droits fondamentaux, d’une part, et ceux visés à l’article 11 de la charte des droits fondamentaux, d’autre part, aux fins de l’examen d’une demande de déréférencement adressée à l’exploitant d’un moteur de recherche et tendant à ce que soient supprimées des résultats d’une recherche d’images effectuée à partir du nom d’une personne physique des photographies affichées sous la forme de vignettes qui représentent cette personne, il y a lieu de tenir compte de la valeur informative de ces photographies indépendamment du contexte de leur publication sur la page Internet d’où elles sont extraites, mais en prenant en considération tout élément textuel qui accompagne directement l’affichage de ces photographies dans les résultats de recherche et qui est susceptible d’apporter un éclairage sur la valeur informative de celles-ci.

Arret de la cour

Conclusions de l'avocat général

C-60/22 (4 mai 2023) - Bundesrepublik Deutschland

1)      L’article 17, paragraphe 1, sous d), et l’article 18, paragraphe 1, sous b), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d’un accord déterminant la responsabilité conjointe du traitement et à la tenue d’un registre des activités de traitement, ne constitue pas un traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement, dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

2)      Le droit de l’Union doit être interprété en ce sens que, lorsque le responsable du traitement de données à caractère personnel a méconnu les obligations lui incombant en vertu des articles 26 ou 30 du règlement, la licéité de la prise en compte de telles données par une juridiction nationale n’est pas subordonnée au consentement de la personne concernée.

Arret rendu

C‑26/22 et C‑64/22, UF (C‑26/22), AB (C‑64/22) contre Land Hessen (7 décembre 2023)

1)      L’article 78, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier.

2)      L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement,

doit être interprété en ce sens que :

il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public.

3)      L’article 17, paragraphe 1, sous c), du règlement 2016/679

doit être interprété en ce sens que :

la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsqu’elle s’oppose au traitement conformément à l’article 21, paragraphe 1, de ce règlement et qu’il n’existe pas de motifs légitimes impérieux de nature à justifier, à titre exceptionnel, le traitement en cause.

4)      L’article 17, paragraphe 1, sous d), du règlement 2016/679

doit être interprété en ce sens que :

le responsable du traitement est tenu d’effacer, dans les meilleurs délais, les données à caractère personnel ayant fait l’objet d’un traitement illicite.

Arrêt rendu

Conclusions de l'avocat général

C‑118/22, Direktor na Glavna direktsia "Natsionalna politsia" pri MVR - Sofia (30 janvier 2024)

L’article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen etdu Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard dutraitement des données à caractère personnel par les autorités compétentes à des fins deprévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière oud’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant ladécision-cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l’article 13,paragraphe 2, sous b), ainsi que l’article 16, paragraphes 2 et 3, de celle-ci, et à la lumière desarticles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que :

il s’oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l’effacement de ces données, dès lors que leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.

Arrêt rendu

Conclusions de l'avocat général

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°51/2014 (27 mars 2014)

La Cour - annule l'article 11 de la loi du 3 août 2012 « portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions » en ce qu'il permet au responsable du traitement des données de (i) refuser l'exercice des droits garantis par les articles 9, § 2, 10 et 12 de la loi du 8 décembre 1992 « relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel » à l'égard des données personnelles du contribuable qui sont étrangères à l'objet de l'enquête ou du contrôle en cours et (ii) en ce qu'il ne prévoit pas de limitation dans le temps de la possibilité de faire exception à l'application de ces droits justifiée par l'accomplissement d'actes préparatoires à un contrôle ou à une enquête

La circonstance que la loi ne définisse pas explicitement ce qu’il faut entendre par la notion de « préparatifs » à une enquête ou à un contrôle n’a pas forcément pour effet que le critère de distinction, qui repose en partie sur cette notion, soit non objectif ou dénué de pertinence. Dans le silence de la loi, cette notion doit s’entendre dans son sens courant. Elle implique que des actes indiquant l’intention de l’administration d’ouvrir une enquête ou de procéder à un contrôle à l’égard d’un contribuable déterminé aient été posés préalablement à la demande de celui-ci d’exercer les droits garantis par la loi du 8 décembre 1992 et qu’une mention de ces actes figure dans le dossier du contribuable. En d’autres termes, la demande formulée par le contribuable d’avoir accès aux données personnelles le concernant ne peut pas constituer elle-même l’élément déclencheur d’une enquête ou d’un contrôle à partir duquel l’accès peut lui être refusé.

Arrêt rendu

C. const. Be., n°144/2020 (12 novembre 2020)

1. En ce qu’il permet au gestionnaire de réseau de distribution de traiter les informations issues des compteurs d’électricité intelligents uniquement pour réaliser ses « missions légales ou réglementaires », l’article 35septies, § 2, alinéa 2, du décret du 12 avril 2001 n’autorise pas le gestionnaire de réseau de distribution à traiter des données personnelles en dehors des hypothèses limitatives de l’article 6 du RGPD. En effet, en vertu de l’article 6, paragraphe 1, c), du RGPD, le traitement des données personnelles est licite s’il est nécessaire au respect d’une « obligation légale ». Ce renvoi « au respect d’une obligation légale » ne signifie pas que cette obligation doit nécessairement s’inscrire dans une « loi » au sens formel du terme, étant donné que le renvoi se situe dans une norme européenne. Ainsi, le renvoi à une « obligation légale » se borne à faire référence à toute obligation découlant d’une norme de l’ordre juridique de l’Union ou de l’État membre, comme le confirme l’article 6, paragraphe 3, du RGPD qui dispose que « le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis ».

En conséquence, le fait que le gestionnaire de réseau peut, conformément à l’article 35septies, § 2, alinéa 2, précité, traiter des données personnelles pour réaliser ses missions légales ou réglementaires n’entraîne aucune violation de l’article 6, paragraphe 1, c), du RGPD.

2. En permettant au gestionnaire de réseau de distribution de conserver des données personnelles issues des compteurs d’électricité intelligents au-delà d’une durée de cinq ans lorsqu’il y est obligé pour réaliser ses « missions », l’article 35septies, § 2, alinéa 3, du décret du 12 avril 2001 s’inscrit dans le droit fil de l’article 17, paragraphe 3, b), du RGPD. En effet, les « missions » auxquelles il est fait référence dans cette disposition décrétale visent les missions d’intérêt général qui sont attribuées par voie légale ou réglementaire au gestionnaire de réseau de distribution, sans qu’il soit nécessaire de les énumérer exhaustivement. Ainsi, si un traitement des données personnelles, qui peut entraîner la conservation de ces données, est nécessaire pour réaliser une mission légale ou réglementaire du gestionnaire de réseau de distribution, le droit à l’effacement ne peut pas s’exercer pendant le temps limité à l’exercice de cette mission, sans que cela ne viole l’article 5, paragraphe 1, e), ni l’article 17, paragraphe 1, du RGPD.

3. La notion de « sous-traitant » dans l’article 35septies, § 3, du décret du 12 avril 2001, n’est ni floue, ni plus étendue que celle qui est contenue dans le RGPD. Il est clair que le « sous-traitant » visé par l’article 35septies, § 3, précité, est celui qui opère, au nom et pour le compte du gestionnaire de réseau de distribution, un traitement des données personnelles dans le cadre de l’exécution d’une ou de plusieurs missions légales et réglementaires confiées à ce dernier. En effet, en vertu du paragraphe 2, alinéa 2, de l’article 35septies, le gestionnaire de réseau de distribution peut uniquement traiter les données personnelles issues des compteurs d’électricité intelligents pour réaliser ses missions légales ou réglementaires ou pour réaliser toute autre mission légitime pour laquelle le consentement des personnes concernées a été donné de manière libre et explicite pour des finalités spécifiques. Le traitement de données par un sous-traitant qui agit au nom et pour le compte du gestionnaire de réseau de distribution doit se situer dans ce même cadre, c’est-à-dire dans le cadre précis de l’exécution des missions dont le gestionnaire de réseau de distribution est investi par la loi ou le règlement.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2020/AR/1111 (30 juin 2021)

La Cour a annulé la décision au motif que la décision imposait une mesure corrective à Google Belgium alors que le responsable du traitement en cause est Google LLC (contre laquelle la plainte devrait être déposée), sans motiver suffisamment en quoi les activités de Google Belgium seraient inextricablement liées au responsable du traitement (Google LLC).

Google Belgium ne pourrait faire l'objet d'une mesure corrective que si l'APD peut prouver le lien entre les deux sociétés.

De plus, la Cour confirme la décision de publier la décision sans supprimer le nom de Google. Toutefois, la Cour reconnaît qu'elle n'est pas compétente pour annuler toute communication de l'APD autour de l'affaire, ni pour imposer une action à cet égard. Néanmoins, la Cour regrette que l'APD et ses membres communiquent dans la presse sur une affaire toujours pendante.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2020/AR/1160 (24 février 2021)

S'agissant de la question de savoir si un consentement est requis pour figurer ou non dans les annuaires téléphoniques et quelle est la portée de ce consentement, la Cour d'appel a également considéré que :

1° Dans les situations où la directive e-Privacy précise les règles édictées par le RGPD, ces dispositions particulières de la directive e-Privacy en tant que lex specialis prévalent sur les dispositions plus générales du RGPD. (principe de Lex specialis derogate legi generali)

2° L'article 12, paragraphe 1, et le considérant 38 de la directive ePrivacy font référence à l'exigence du consentement éclairé au sens de la directive 95/46/EG des abonnés pour être inclus dans les annuaires publics. Suite à l'article 94 GDPR qui stipule que toutes les références à 95/46/EG doivent être considérées comme des références au GDPR, les articles susmentionnés font donc référence au "consentement" à la lumière du GDPR et donc à la condition d'un consentement valide (article 7 GDPR) doit être respecté.

3° Ce consentement porte sur la finalité de publication des données personnelles dans les annuaires, mais pas sur l'identité du fournisseur de l'annuaire. Par conséquent, le tribunal déclare que le consentement donné sera également valable pour le traitement ultérieur des données personnelles par d'autres fournisseurs d'annuaires, à condition que ce traitement ait la même finalité.

Etant donné qu'il s'agit d'une matière complexe qui soulève des questions qui ne sont pas encore abordées par le législateur, la Cour d'appel de Bruxelles a sursis à statuer pour demander à la Cour de justice une décision préjudicielle sur les questions suivantes :

1° L'article 72.2 de la directive e-Privacy 2002/58/CE, lu en combinaison avec l'article 2, sous f), de cette directive et avec l'article 95 du règlement général sur la protection des données doit-il être interprété comme permettant d'interpréter un contrôle national comme permettant à une autorité de contrôle nationale d'exiger le "consentement" d'un abonné au sens du règlement général sur la protection des données comme base pour la publication des données à caractère personnel de l'abonné dans les annuaires publics et les services de renseignements téléphoniques, tant ceux publiés par l'opérateur lui-même et par des prestataires tiers, prestataires, en l'absence de législation nationale contraire ?

2° Le droit d'effacement prévu à l'article 17 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle considère une demande de radiation d'un particulier des annuaires publics et des services de renseignements comme une demande d'effacement au sens de l'article 17 du Règlement général sur la protection des données ?

3° L'article 24 et l'article 5, paragraphe 2, du règlement général sur la protection des données doivent-ils être interprétés en ce sens qu'ils s'opposent à ce qu'une autorité nationale de contrôle conclue de l'obligation de responsabilité qui y est contenue que le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour informer les tiers responsables du traitement, à savoir le fournisseur de services téléphoniques et, entre autres, les fournisseurs d'annuaires téléphoniques et de services de renseignements téléphoniques qui ont reçu des données de ce responsable du traitement, de tout retrait de consentement par la personne concernée conformément à l'article 6 en liaison avec l'article 7 du règlement ?

4° L'article 17.2 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle enjoigne à un fournisseur d'annuaires publics et de services de renseignements téléphoniques auquel il est demandé de cesser de divulguer des données relatives à une personne physique de prendre des mesures raisonnables pour informer les moteurs de recherche de cette demande de suppression de données ?

Arrêt rendu (Néerlandais)

Bruxelles – Section Cour des marchés n° 2022/AR/549 (07 décembre 2022)

La Cour d'appel a annulé la décision le l'APD qui avait infligé une amende de 7 500 € à un responsable du traitement pour avoir restauré des données personnelles sur l'ordinateur portable de travail d'un ancien employé parce que l'APD n'avait pas suffisamment précisé les violations alléguées du RGPD par le responsable du traitement.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°148975 (9 juillet 1997)

Les résultats d'un sondage comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité ne constituent pas des informations nominatives concernant cette personnalité. Celle-ci ne saurait, par suite, être titulaire du droit d'accès organisé par l'article 34 de la loi du 6 janvier 1978, ni des droits de communication, de rectification et d'effacement qui en découlent.

Arrêt rendu

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

CE Fr., n°360759 (11 avril 2014)

Si les données nominatives figurant dans le fichier traitement des antécédents judiciaires (TAJ) portent sur des informations recueillies au cours d'enquêtes préliminaires ou de flagrance ou d'investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que certaines contraventions de cinquième classe, les décisions en matière d'effacement ou de rectification prises par le procureur de la République ou par le magistrat désigné à cet effet, qui ont pour objet la tenue à jour de ce fichier et sont détachables d'une procédure judiciaire, constituent non pas des mesures d'administration judiciaire, mais des actes de gestion administrative du fichier. Elles peuvent, par suite, faire l'objet d'un recours pour excès de pouvoir devant le juge administratif.

Arrêt rendu

Cass. Fr., n°17-10.499 (14 février 2018)

Il résulte des articles 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui réalisent la transposition en droit interne des article 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et de l'arrêt Google Spain rendu le 13 mai 2014 par la Cour de justice de l'Union européenne (C-131/12) que la juridiction saisie d'une demande de déréférencement est tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence, de sorte qu'elle ne peut ordonner une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages internet contenant des informations relatives à cette personne. Dès lors, viole les articles 38 et 40 de la loi n° 78-17 du 6 janvier 1978, le second dans sa rédaction applicable au litige issue de la loi n° 2004-801 du 6 août 2004, ensemble l'article 5 du code civil, une cour d'appel qui, saisie d'une telle demande, prononce une injonction d'ordre général et sans procéder, comme il le lui incombait, à la mise en balance des intérêts en présence.

Arrêt rendu

CE Fr., n°405939 (3 octobre 2018)

Lorsque l'auteur de la plainte se fonde sur la méconnaissance des droits qu'il tient du I de l'article 40 de la loi n° 78-17 du 6 janvier 1978, notamment le droit de rectification de ses données personnelles, le pouvoir d'appréciation de la CNIL pour décider des suites à y donner s'exerce, eu égard à la nature des droits individuels en cause, sous l'entier contrôle du juge de l'excès de pouvoir.

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

Arrêt rendu

CE Fr., n°391000, 393769, 395335, 397755, 401258, 40368, 405464, 405910, 407776, 409212, 423326 et 49154, X c. CNIL (6 décembre 2019)

"Les 13 décisions du 6 décembre 2019 ont été adoptées à la lumière de l’arrêt de la Cour de Justice de l’Union européenne rendu le 24 septembre 2019 en réponse à une question du Conseil d’État. Elles définissent, sur le fondement du RGPD, le cadre dans lequel un exploitant de moteur de recherche doit, sous le contrôle de la CNIL, respecter le droit au déréférencement". Certaines des décisions portent sur des catégories de données particulières d'autres non.

"Les grands principes de ce cadre sont :

  • Le juge se prononce en tenant compte des circonstances et du droit applicable à la date à laquelle il statue.

  • Le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit.

  • Le droit à l’oubli n’est pas absolu. Une balance doit être effectuée entre le droit à la vie privée du demandeur et le droit à l’information du public.

  • L’arbitrage entre ces deux libertés fondamentales dépend de la nature des données personnelles.

Trois catégories de données personnelles sont concernées :

  • des données dites sensibles (données les plus intrusives dans la vie d’une personne comme celles concernant sa santé, sa vie sexuelle, ses opinions politiques, ses convictions religieuses …),

  • des données pénales (relatives à une procédure judiciaire ou à une condamnation pénale),

  • et des données touchant à la vie privée sans être sensibles.

La protection dont bénéficient les deux premières catégories est la plus élevée : il ne peut être légalement refusé de faire droit à une demande de déréférencement que si l’accès aux données sensibles ou pénales à partir d’une recherche portant sur le nom du demandeur est strictement nécessaire à l’information du public. Pour la troisième catégorie, il suffit qu’il existe un intérêt prépondérant du public à accéder à l’information en cause.

Les différents paramètres à prendre en compte, au-delà des caractéristiques des données personnelles en cause, sont le rôle social du demandeur (sa notoriété, son rôle dans la vie publique et sa fonction dans la société) et les conditions dans lesquelles les données ont été rendues publiques (par exemple, si l’intéressé a de lui-même rendu ces informations publiques) et restent par ailleurs accessibles".

Source

Décisions rendues: 391000, 393769, 395335, 397755, 399999, 401258, 403868, 405464, 405910, 407776, 409212, 423326 et 429154

Fiche juridique "Droit à l'oubli" du CE français

CE Fr., n°399922 (27 mars 2020)

1. Par un arrêt du 24 septembre 2019, Google LLC contre CNIL (C-507/17), la CJUE a dit pour droit que l'article 12, sous b), et l'article 14, premier alinéa, sous a), de la directive 95/46/CE du 24 octobre 1995 ainsi que l'article 17, paragraphe 1, du règlement (UE) 2016/679 du 27 avril 2016 doivent être interprétés en ce sens que, lorsque l'exploitant d'un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d'opérer ce déréférencement non pas sur l'ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l'ensemble des Etats membres et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d'empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l'un des Etats membres d'avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l'objet de cette demande.

2. a) Si la CNIL soutient en défense que la sanction contestée trouve son fondement dans la faculté que la CJUE a reconnue aux autorités de contrôle d'ordonner de procéder à un déréférencement portant sur l'ensemble des versions d'un moteur de recherche, il ne résulte, en l'état du droit applicable, d'aucune disposition législative qu'un tel déréférencement pourrait excéder le champ couvert par le droit de l'Union européenne pour s'appliquer hors du territoire des Etats membres de l'Union européenne.

b) Au surplus, il résulte en tout état de cause des énonciations du point 72 de l'arrêt de la CJUE du 24 septembre 2019 qu'une telle faculté ne peut être ouverte qu'au terme d'une mise en balance entre, d'une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d'autre part, le droit à la liberté d'information.

Or, il ressort des termes mêmes de la délibération attaquée que, pour constater l'existence de manquements persistants et reprocher à la société requérante d'avoir méconnu l'obligation de principe de procéder au déréférencement portant sur l'ensemble des versions d'un moteur de recherche, la formation restreinte de la CNIL n'a pas effectué une telle mise en balance.

Arrêt rendu

CE fr, N° 463487 (20 avril 2023), 

2. Il résulte de l'arrêt du 24 septembre 2019 de la Cour de justice de l'Union européenne (C-136/17) que, lorsque des liens accessibles depuis un moteur de recherche mènent vers des pages web contenant des données à caractère personnel relatives à des procédures pénales visées à l'article 10 du RGPD, l'ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée est susceptible d'être particulièrement grave en raison de la sensibilité de ces données. Il s'ensuit qu'il appartient en principe à la Commission nationale de l'informatique et des libertés (CNIL), saisie d'une demande tendant à ce qu'elle mette l'exploitant d'un moteur de recherche en demeure de procéder au déréférencement de liens renvoyant vers de telles pages web, publiées par des tiers et contenant de telles données, de faire droit à cette demande. Il n'en va autrement que s'il apparaît, compte tenu du droit à la liberté d'information, que l'accès à une telle information à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public. Pour apprécier s'il peut être légalement fait échec au droit au déréférencement au motif que l'accès à des données à caractère personnel relatives à une procédure pénale à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public, il incombe à la CNIL de tenir notamment compte, d'une part, de la nature des données en cause, de leur contenu, de leur caractère plus ou moins objectif, de leur exactitude, de leur source, des conditions et de la date de leur mise en ligne et des répercussions que leur référencement est susceptible d'avoir pour la personne concernée et, d'autre part, de la notoriété de cette personne, de son rôle dans la vie publique et de sa fonction dans la société. Il lui incombe également de prendre en compte la possibilité d'accéder aux mêmes informations à partir d'une recherche portant sur des mots-clés ne mentionnant pas le nom de la personne concernée.

Arrêt rendu

Conclusions du Rapporteur

Retour au sommaire
Règlement
1e 2e

Art. 17

1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement;

c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;

d) les données à caractère personnel ont fait l'objet d'un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

2. Lorsqu'il a rendu publiques les données à caractère personnel et qu'il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en oeuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où ce traitement est nécessaire:

a) à l'exercice du droit à la liberté d'expression et d'information;

b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

c) pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;


d) à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e) à la constatation, à l'exercice ou à la défense de droits en justice.

Proposition 1 close

1. La personne concernée a le droit d'obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu’elle était enfant, ou pour l'un des motifs suivants:

 a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées

 b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données;

c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19;

d) le traitement des données n'est pas conforme au présent règlement pour d'autres motifs.

2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication.

3. Le responsable du traitement procède à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire:

a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80;

b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81;

c) à des fins de recherche historique, statistique et scientifique, conformément à l'article 83;

d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; la législation de l'État membre doit répondre à un objectif d’intérêt général, respecter le contenu essentiel du droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi;

e) dans les cas mentionnés au paragraphe 4.

4. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel:

a) pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données lorsque cette dernière est contestée par la personne concernée;

b) lorsqu’elles ne sont plus utiles au responsable du traitement pour qu’il s’acquitte de sa mission, mais qu'elles doivent être conservées à des fins probatoires,

ou c) lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation; d) lorsque la personne concernée demande le transfert des données à caractère personnel à un autre système de traitement automatisé, conformément à l'article 18, paragraphe 2.

5. Les données à caractère personnel énumérées au paragraphe 4 ne peuvent être traitées, à l’exception de la conservation, qu’à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits d’une autre personne physique ou morale ou pour un objectif d’intérêt général.

 6. Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 4, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.

7. Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l’effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données.

8. Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel. 9. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser:

a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données;

b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2; c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4.

Proposition 2 close

1. Le (…) responsable du traitement est tenu d'effacer les données à caractère personnel dans les meilleurs délais, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée a le statut d'enfant, et la personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant, dans les meilleurs délais, pour l'un des motifs suivants:

a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), (…) et il n'existe pas d'autre motif légal au traitement des données;

c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19, paragraphe 2;

d) les données ont fait l'objet d'un traitement illicite;

e) les données doivent être effacées pour respecter une obligation légale à laquelle le responsable du traitement est soumis.

1bis. En outre, la personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant, dans les meilleurs délais, si les données ont été collectées dans le cadre de l'offre de services de la société de l'information visés à l'article 8, paragraphe 1. (...).

2. (...).

2 bis. Lorsqu'il (...) a rendu publiques les données à caractère personnel et est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, en tenant compte des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, permettant d'informer les responsables qui traitent les données que la personne concernée (...) a demandé l'effacement par ces responsables de tout lien vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci.

3. Les paragraphes 1, 1 bis et 2 bis ne s'appliquent pas dans la mesure où (…) le traitement des données à caractère personnel est nécessaire:

a. à l'exercice du droit à la liberté d'expression et d'information ;

b. pour respecter une obligation légale qui requiert le traitement de données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ; c. pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et h ter), ainsi qu'à l'article 9, paragraphe 4 ;

d. à des fins d'archivage dans l'intérêt général ou à des fins scientifiques, statistiques et historiques (...), conformément à l'article 83 ;

e. (...)

f. (...)

g. à la constatation, à l'exercice ou à la défense de droits en justice .

4. (...)

5. (...)

Directive close

Art. 12

Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement:

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

- la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données,

- la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1;

b) selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 51

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I.-Le droit à l'effacement s'exerce dans les conditions prévues à l'article 17 du règlement (UE) 2016/679 du 27 avril 2016.

II.-En particulier, sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

En cas de non-exécution de l'effacement des données à caractère personnel ou en cas d'absence de réponse du responsable du traitement dans un délai d'un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l'informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.

Art. 52

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, les droit d'accès, de rectification et d'effacement s'exercent dans les conditions prévues à l'article 118, si de telles restrictions ont été prévues par l'acte instaurant le traitement.

Il est fait application des mêmes dispositions lorsque le traitement intéresse la sécurité publique, sous réserve de l'application des dispositions du titre III.

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles prévues par le code des juridictions financières, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d'une procédure juridictionnelle, le droit d'accès peut être limité dans les conditions prévues aux e et h du 1 de l'article 23 du règlement (UE) 2016/679 du 27 avril 2016.

Art. 54

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

L'obligation de notification en cas de rectification ou d'effacement de données à caractère personnel ou la limitation du traitement s'exerce dans les conditions prévues à l'article 19 du règlement (UE) 2016/679 du 27 avril 2016.

Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 40

Version initiale

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.

Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

Art. 40

I. — Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

II. — Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

En cas de non-exécution de l'effacement des données à caractère personnel ou en cas d'absence de réponse du responsable du traitement dans un délai d'un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l'informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.

Les deux premiers alinéas du présent II ne s'appliquent pas lorsque le traitement de données à caractère personnel est nécessaire :

1° Pour exercer le droit à la liberté d'expression et d'information ;

2° Pour respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

3° Pour des motifs d'intérêt public dans le domaine de la santé publique ;

4° A des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit mentionné au présent II est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;

5° A la constatation, à l'exercice ou à la défense de droits en justice.

III.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. La dérogation prévue au présent III n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement.

Art. 40-1

Modifié par loi n°2016-1321 du 7 octobre 2016

I. - Les droits ouverts à la présente section s'éteignent au décès de leur titulaire. Toutefois, ils peuvent être provisoirement maintenus conformément aux II et III suivants.

II. - Toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières.

Les directives générales concernent l'ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés.

Les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées sont inscrites dans un registre unique dont les modalités et l'accès sont fixés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.

Les directives particulières concernent les traitements de données à caractère personnel mentionnées par ces directives. Elles sont enregistrées auprès des responsables de traitement concernés. Elles font l'objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d'utilisation.

Les directives générales et particulières définissent la manière dont la personne entend que soient exercés, après son décès, les droits mentionnés à la présente section. Le respect de ces directives est sans préjudice des dispositions applicables aux archives publiques comportant des données à caractère personnel.

Lorsque les directives prévoient la communication de données qui comportent également des données à caractère personnel relatives à des tiers, cette communication s'effectue dans le respect de la présente loi.

La personne peut modifier ou révoquer ses directives à tout moment.

Les directives mentionnées au premier alinéa du présent II peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés.

Toute clause contractuelle des conditions générales d'utilisation d'un traitement portant sur des données à caractère personnel limitant les prérogatives reconnues à la personne en vertu du présent article est réputée non écrite.

III. - En l'absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès les droits mentionnés à la présente section dans la mesure nécessaire :

  - à l'organisation et au règlement de la succession du défunt. A ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d'identifier et d'obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers ;

  - à la prise en compte, par les responsables de traitement, de son décès. A ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s'opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour.

Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en application du troisième alinéa du présent III.

Les désaccords entre héritiers sur l'exercice des droits prévus au présent III sont portés devant le tribunal de grande instance compétent.

IV. - Tout prestataire d'un service de communication au public en ligne informe l'utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu'il désigne.

Décret d'application.

CF chapitre II TITRE VI décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

 

close