Article 19
Obligation de notification concernant la rectification, l'effacement de données ou limitation du traitement

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 19 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 19 keyboard_arrow_up

(67) Les méthodes visant à limiter le traitement de données à caractère personnel pourraient consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d'un site internet. Dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l'objet d'opérations de traitements ultérieures et ne puissent pas être modifiées. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 19.

Le GDPR

L’article 19 met en place une obligation de notification à charge du responsable de traitement qui l’oblige à communiquer à chaque destinataire des données toute rectification, effacement ou limitation du traitement sur la base des articles 16, 17, paragraphe 1, et de l’article 18 du Règlement.

Le responsable peut toutefois se soustraire à cette obligation s’il démontre qu’une telle communication se révèle impossible ou suppose un effort disproportionné.

Le compromis final sur le futur Règlement complète l’article 18 avec une obligation d’information de la personne concernée sur l’identité des destinataires, lorsque la personne concernée en fait la demande.

La Directive

La Directive obligeait déjà les États de garantir à la personne concernée le droit d’obtenir la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage, si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné (cfr. article 12, c)).

France

Cette obligation d’information des destinataires des données en cas de rectification, d’effacement ou de verrouillage, a été transposée en droit français à l’article 40 de la loi Informatique et Libertés. Le responsable est donc tenu à une obligation de notification des opérations qu’il a effectuées, lorsque les données ont été transmises à un tiers.

Difficultés probables ?

Ce droit est difficile à gérer. Il demande une parfaite gestion des transmissions de données à des tiers et dépend fortement de la pérennité des tiers (transformation, faillite, etc.). L’impossibilité permettant de s’y soustraire doit cependant être objective et ne peut se confondre avec l’absence de mise en place d’une procédure de suivi des transmissions.

Règlement
1e 2e

Art. 19

Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l'article 16, à l'article 17, paragraphe 1, et à l'article 18, à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

Proposition 1 close

Pas de disposition correspondante.

Proposition 2 close

Le responsable du traitement communique à chaque destinataire à qui les données ont été communiquées toute rectification, effacement ou limitation du traitement en vertu de l'article 16, de l'article 17, paragraphe 1, et de l'article 17 bis, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.

Directive close

Art. 12

Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement: (…).

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 54

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

L'obligation de notification en cas de rectification ou d'effacement de données à caractère personnel ou la limitation du traitement s'exerce dans les conditions prévues à l'article 19 du règlement (UE) 2016/679 du 27 avril 2016.

Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 40

Version initiale

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

(….).

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

Art. 40

Modifié par la loi n°2018-493 du 20 juin 2018

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

(...)

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

II. — Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

close