Article 21
Droit d'opposition
Articles liés à l'article 21
Mots clés liés à l'article 21
(65) Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d'un "droit à l'oubli" lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l'Union ou du droit d'un État membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d’une autre manière le présent règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu'elle n'est plus un enfant. Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu'elle est nécessaire à l'exercice du droit à la liberté d'ex
(69) Lorsque des données à caractère personnel pourraient être traitées de manière licite parce que le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement ou d'un tiers, les personnes concernées devraient néanmoins avoir le droit de s'opposer au traitement de toute donnée à caractère personnel en rapport avec leur situation particulière. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes impérieux prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.
(70) Lorsque des données à caractère personnel sont traitées à des fins de prospection, la personne concernée devrait avoir le droit, à tout moment et sans frais, de s'opposer à ce traitement, y compris le profilage dans la mesure où il est lié à une telle prospection, qu'il s'agisse d'un traitement initial ou ultérieur. Ce droit devrait être explicitement porté à l'attention de la personne concernée et présenté clairement et séparément de toute autre information.
(73) Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, et au droit de rectification ou d'effacement de ces données, ou au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée, et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre , notamment un intérêt économique ou financier important de l'Union ou d'un État membre , la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
(25) considérant que les principes de la protection doivent trouver leur ex
Le GDPR
Selon l’article 21 du Règlement, le droit d’opposition ne pourra s’exercer pour des raisons tenant à la situation de la personne concernée, que pour les traitements fondés sur :
- l’article 6.1. e), c’est-à-dire « lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ».
-l’article 6.1. f), c’est-à-dire « lorsque le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».
Notons qu’il a été précisé in extremis que ces hypothèses incluaient le profilage effectué sur ces fondements.
En d’autres termes, le droit d’opposition, tel qu’il était initialement prévu dans la Directive, ne pourra être invoqué que dans les deux cas de légitimité du traitement visés et non plus, par exemple, lorsque le traitement est fondé sur le consentement de la personne concernée. Alors que la Directive imposait aux États membres de prévoir au minimum l’application du droit d’opposition dans ces deux hypothèses de traitement, le Règlement paraît bien s’opposer à l’extension du champ d’application du droit d’opposition comme le prévoyait pourtant le droit belge et français sous l’empire de la Directive.
Cette limitation nous semble être partiellement compensée par la possibilité de retirer à tout moment son consentement à un traitement, ce qui obligera le responsable à renoncer à poursuivre ledit traitement, sachant que le retrait du consentement ne remet pas en cause la légalité du traitement préalable au retrait (art. 7 (3)).
Par ailleurs, le responsable du traitement pourra refuser de mettre en œuvre le droit d’opposition des personnes concernées lorsqu’il établit l'existence de motifs impérieux et légitimes justifiant le traitement, qui priment les intérêts ou les droits et les libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense d'un droit en justice.
Le Règlement prévoit également que la personne concernée peut s’opposer à tout moment au traitement de ses données à caractère personnel à des fins de prospection, en ce compris le profilage effectué dans ce but (§ 2).
L’existence de ces droits d’opposition doit être portée à la connaissance de la personne concernée, de manière claire et séparée de toute autre information, au plus tard au moment de la première communication avec la personne concernée. Il peut s’exercer par des moyens automatisés dans le cadre d’une offre de l’utilisation d’un service de la société de l’information et nonobstant la directive 2002/58/CE.
Enfin, le responsable du traitement pourra refuser de donner suite au droit d’opposition de la personne concernée lorsque les données sont traitées à des fins historiques, statistiques ou scientifiques au sens de l’article 89, s’il parvient à démontrer que le traitement est nécessaire à l'exécution d'une mission d'intérêt public.
La Directive
Le droit d’opposition de la personne concernée par un traitement de données à caractère personnel était déjà prévu par l’article 14 de la Directive. Il permettait à toute personne concernée de s’opposer à au traitement de ses données, en faisant état de « raisons prépondérantes et légitimes tenant à sa situation particulière », au-moins lorsque le traitement était nécessaire à l'exécution d'une mission de service public, dont était investi le responsable du traitement (art. 7(e)) ou lorsque le traitement se fondait sur l’intérêt légitime du responsable ou du destinataire (art. 7(f)). En outre, il permettait à toute personne de s’opposer au traitement de ses données à des fins de prospection, quel que soit le fondement du traitement.
FranceL’article 38 de la loi Informatique et Libertés reconnaît à toute personne physique le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Le législateur français a même prévu un droit d’opposition plus large que celui mis en place par la Directive. En effet, selon la loi Informatique et Libertés, le droit d’opposition peut être exercé pour des motifs légitimes, quel que soit le fondement du traitement de données (consentement, nécessité contractuelle, intérêt vital de la personne concernée,…), sauf lorsque le traitement répond à une obligation légale ou lorsque l’article 39 de la loi a été écarté par une disposition expresse de l'acte autorisant le traitement. Enfin, en ce qui concerne l’article 14, b) de la Directive, le droit français le reprend et accorde le droit à chacun de s’opposer sur demande et gratuitement et sans aucune justification, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de direct marketing (prospection dans la Directive).
Difficultés probables ?
Selon la Commission belge de protection de la vie privée dans son avis 10/2014 du 5 février 2014, le libellé de l’article 21 du second projet de Règlement conduisait au « risque inacceptable de voir les responsables de traitement continuellement invoquer leur intérêt légitime pour s’opposer au droit d’opposition exercé par la personne concernée ».
Il est sans doute vrai que la faculté laissée au responsable du traitement de refuser de donner suite au droit d’opposition de la personne concernée en lui confiant la mission de procéder à une balance entre ses intérêts légitimes et ceux de la personne concernée ne sera sans doute pas facile à exercer. La personne dispose cependant de recours plus efficace en cas de refus injustifié et le responsable risque en outre de se voir imposer des sanctions par l’autorité de contrôle.
Union Européenne
Groupe 29
Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01 (6 février 2018)
Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.
Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.
Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.
La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.
Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.
Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.
Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.
Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.
Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.
Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI
Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.
Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.
Retour au sommaireBelgique
Recommandation relative aux traitements de données à caractère personnel à des fins de marketing direct - 01/2020 (17 janvier 2020)
La présente recommandation a pour objet d’aider les responsables de traitement recourant à des techniques de marketing direct (ou y participant) à acquérir les bons réflexes afin d’agir en conformité avec les règles du RGPD applicables. Elle examine dès lors les questions fréquemment posées relatives à la protection des données à caractère personnel dans le cadre du marketing direct.
La Recommandation tient également compte, le cas échéant, de la multitude d’acteurs pouvant interagir avec les responsables de traitement mais s’adresse principalement à ces derniers. La Recommandation ne se limite pas aux seules communications réalisées dans le cadre du marketing direct mais examine également l’ensemble des traitements de données à caractère personnel réalisés à cette fin et les règles qui s’y appliquent.
Les règles, concepts et principes développés dans cette Recommandation le sont sur la base du RGPD et ne tiennent pas compte d’autres législations applicables. La Recommandation n’a cependant pas non plus vocation à être une étude exhaustive du RGPD. Cela ne signifie pas que les responsables du traitement effectuant des traitements de donnés pour des finalités de marketing direct sont dispensés du respect de l’ensemble des règles qui leurs sont applicables, en ce compris celles édictées par le RGPD et qui ne font pas l’objet de l’examen fourni par cette recommandation, tel que le respect de l’ensemble des droits accordés aux personnes concernées prévus aux articles 12 à 22 du RGPD ou encore en matière de transferts internationaux tels qu’encadrés par le Chapitre V du RGPD.
Les points examinés sont illustrés par des situations propres au marketing direct. Chaque exemple n’implique pas pour autant un examen approfondi et exhaustif des différentes questions ou problèmes de conformité au RGPD.
La Recommandation fait également état de certaines sanctions adoptées par les Autorités de protection des données en la matière. Certaines de ces décisions sont toutefois susceptibles d’appel ou autres voies de recours au moment de l’adoption de la Recommandation. Ces décisions sont donc susceptibles d’être révisées, le cas échéant.
Retour au sommaireSommaire
Union Européenne
Belgique
France
-
Jurisprudence français
- Cass. Fr., n°94-13.347 (6 mai 1996)
- Cass. Fr., n°03-86.604 (28 septembre 2004)
- CE Fr., n°336382 (24 août 2011)
- CE Fr. n°353717 (23 mars 2015)
- Cass. Fr., n°15-17.729 (12 mai 2016), MM. Stéphane et Pascal X c. Les Echos.
- CE Fr., n°392145 (27 juin 2016)
- CE Fr., n°406313 (18 mars 2019)
- Cass. Fr., n°18-14.675 (27 novembre 2019)
- CE Fr., n°399922 (27 mars 2020)
Union Européenne
Jurisprudence de la CJUE
C-131/12 (13 mai 2014) - Google Spain et Google
1) L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).
2) L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.
3) Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.
4) Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.
Conclusions de l'Avocat général
C-398/15 (9 mars 2017) - Manni
L’article 6, paragraphe 1, sous e), l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus en combinaison avec l’article 3 de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers, telle que modifiée par la directive 2003/58/CE du Parlement européen et du Conseil, du 15 juillet 2003, doivent être interprétés en ce sens que, en l’état actuel du droit de l’Union, il appartient aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, peuvent demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données.
Conclusions de l'Avocat général
C‑507/17 (24 septembre 2019) - Google (Portée territoriale du déréférencement)
L’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l’article 17, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.
Conclusions de l'Avocat général
Retour au sommaireBelgique
Jurisprudence belge
C. const. Be., n°51/2014 (27 mars 2014)
La Cour - annule l'article 11 de la loi du 3 août 2012 « portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions » en ce qu'il permet au responsable du traitement des données de (i) refuser l'exercice des droits garantis par les articles 9, § 2, 10 et 12 de la loi du 8 décembre 1992 « relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel » à l'égard des données personnelles du contribuable qui sont étrangères à l'objet de l'enquête ou du contrôle en cours et (ii) en ce qu'il ne prévoit pas de limitation dans le temps de la possibilité de faire exception à l'application de ces droits justifiée par l'accomplissement d'actes préparatoires à un contrôle ou à une enquête
La circonstance que la loi ne définisse pas explicitement ce qu’il faut entendre par la notion de « préparatifs » à une enquête ou à un contrôle n’a pas forcément pour effet que le critère de distinction, qui repose en partie sur cette notion, soit non objectif ou dénué de pertinence. Dans le silence de la loi, cette notion doit s’entendre dans son sens courant. Elle implique que des actes indiquant l’intention de l’administration d’ouvrir une enquête ou de procéder à un contrôle à l’égard d’un contribuable déterminé aient été posés préalablement à la demande de celui-ci d’exercer les droits garantis par la loi du 8 décembre 1992 et qu’une mention de ces actes figure dans le dossier du contribuable. En d’autres termes, la demande formulée par le contribuable d’avoir accès aux données personnelles le concernant ne peut pas constituer elle-même l’élément déclencheur d’une enquête ou d’un contrôle à partir duquel l’accès peut lui être refusé.
Bruxelles – Section Cour des marchés n° 2021/AR/205 (26 mai 2021)
La Cour d'appel a annulé la décision de la DPA.
Elle a estimé que, malgré la résiliation du contrat de gestion, la société de musique avait toujours un intérêt légitime à gérer la fanpage. En effet, selon un contrat d'artiste du 26 juillet 2008, un contrat de licence du 20 novembre 2015, et conformément aux droits du producteur de musique conformément à l'article XI.209 du Code belge de droit économique ("Wetboek van Economisch recht', 'WEB'), la société de musique est exclusivement autorisée à utiliser le nom et l'image de l'artiste musical des œuvres musicales qui font l'objet de ces accords, pendant la durée des droits d'auteur (70 ans à compter du premier enregistrement). Le plaignant perçoit des redevances en retour. Dans ce contexte, la page Facebook a été créée et utilisée, entre autres, pour promouvoir le nom de l'artiste et favoriser la vente des œuvres musicales concernées. La Cour a déclaré que les données personnelles sur la fanpage sont en tout état de cause très limitées et que l'intérêt légitime du défendeur à traiter ces données, qui aide le plaignant à accroître sa portée, est plus important. Aucune violation de l'article 21(1) lu conjointement avec l'article 12(3) n'a donc pu être constatée par l'APD
Retour au sommaireFrance
Jurisprudence française
Cass. Fr., n°94-13.347 (6 mai 1996)
S'il est vrai que l'article 26 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose que toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement, une interprétation stricte des dispositions de l'article R. 10-1 du Code des postes et télécommunications n'est pas nécessaire à son application, dans sa rédaction alors en vigueur, dès lors que France Télécom précise aux personnes éditant des annuaires professionnels et qui demandent à pouvoir publier les noms des abonnés figurant sur la liste orange qu'elles doivent respecter la volonté de ces abonnés tendant à ce que leurs noms ne soient pas extraits des annuaires pour des traitements à des fins commerciales.
Cass. Fr., n°03-86.604 (28 septembre 2004)
Justifie sa décision l'arrêt qui, pour condamner le président de l'Association spirituelle de l'église de scientologie d'Ile-de-France, pour entrave aux fonctions de la CNIL retient qu'il a envoyé volontairement à cet organisme des informations qu'il savait inexactes, dès lors que cette attitude démontre la volonté d'éluder le contrôle de cette commission.
CE Fr., n°336382 (24 août 2011)
Concerne : L'arrêté du 25 novembre 2009 du ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'Etat porte création par la direction générale des finances publiques (DGFiP) d'un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales dénommé « EVAFISC »
1. En vertu de l'article 32 de la loi n° 78-17 du 6 janvier 1978, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée des caractéristiques essentielles du traitement de données et de ses droits. Toutefois, en application des V et VI de l'article 32, cette obligation d'information ne concerne pas les traitements intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, ainsi que la prévention, la recherche, la constatation ou la poursuite d'infractions pénales. Il résulte de ces dispositions que la dispense de l'obligation d'information ne peut avoir d'effet utile, préservant les finalités mentionnées par les V et VI de l'article 32, qu'appliquée à l'ensemble du traitement de données en cause, dès lors que ces finalités s'avèrent, sous le contrôle du juge, essentielles à ce traitement et alors même que ce dernier aurait également d'autres finalités, insusceptibles par elles-mêmes d'ouvrir droit à cette dispense. L'article 6 de l'arrêté mentionne que le droit à l'information garanti par l'article 32 ne s'applique pas au traitement qu'il crée. L'article 2 de l'arrêté dispose que ce traitement a pour principale finalité la prévention, la recherche, la constatation ou la poursuite d'infractions pénales en matière fiscale. Les autres finalités de ce traitement, également mentionnées à l'article 2, sont accessoires par rapport à sa finalité principale, qui nécessite une dispense de l'obligation d'information. Par suite, l'arrêté pouvait légalement écarter l'application de l'obligation d'information pour l'ensemble du traitement qu'il crée.
2. L'article 6 de l'arrêté a exclu l'application du droit d'opposition pour le traitement qu'il crée. En prévoyant ainsi, conformément au troisième alinéa de l'article 38 de la loi du 6 janvier 1978, que le droit d'opposition prévu au premier alinéa de cet article 38 ne s'exerce pas, l'arrêté a entendu, d'une part, concilier l'intérêt général qui s'attache à la prévention et à la recherche des infractions fiscales avec la protection de la vie privée, et, d'autre part, assurer l'effectivité de la finalité poursuivie à titre principal par le traitement en cause, en ne permettant pas aux personnes en infraction avec les textes pénaux ou fiscaux de s'opposer au recensement des informations permettant d'établir ces infractions. La CNIL a émis un avis public et motivé sur le projet d'arrêté créant ce traitement et qu'elle est légalement tenue de garantir, sous le contrôle du juge, l'effectivité du droit d'accès direct ou indirect et du droit de rectification. Par suite, c'est sans erreur de droit et sans atteinte disproportionnée au droit garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales que l'arrêté a fait application de la faculté prévue par l'article 38 de la loi du 6 janvier 1978 d'écarter l'application du droit d'opposition.
CE Fr. n°353717 (23 mars 2015)
1. Il résulte des dispositions des articles 2 et 38 de la loi n°78-17 du 6 janvier 1978 que la mise en ligne sur le réseau internet d'une base de données de jurisprudence non totalement anonymisée doit être regardée comme un traitement automatisé de données à caractère personnel au sens de la loi du 6 janvier 1978, auquel s'applique le droit d'opposition qu'elle ouvre aux personnes concernées.
2. Il ne résulte ni des dispositions de l'article 46 de la loi n° 78-17 du 6 janvier 1978 ni de celles des articles 75 et 76 du décret n° 2005-1309 du 20 octobre 2005 que le délai ouvert au responsable du traitement pour formuler des observations écrites en réponse au rapport qui lui a été notifié par la CNIL doive être cumulé avec celui dans lequel il est informé de la date de la séance de la commission à l'ordre du jour de laquelle est inscrite l'affaire qui le concerne.
Cass. Fr., n°15-17.729 (12 mai 2016), MM. Stéphane et Pascal X c. Les Echos.
Le fait d'imposer à un organe de presse, soit de supprimer du site internet dédié à l'archivage de ses articles, qui ne peut être assimilé à l'édition d'une base de données de décisions de justice, l'information elle-même contenue dans l'un de ces articles, le retrait des nom et prénom des personnes visées par la décision privant celui-ci de tout intérêt, soit d'en restreindre l'accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse, la cour d'appel a légalement justifié sa décision.
CE Fr., n°392145 (27 juin 2016)
1. Si la personne responsable du traitement, au sens des dispositions du I de l'article 3 de la loi n°78-17 du 6 janvier 1978, est, en principe, celle auprès de laquelle s'exerce le droit d'opposition (prévu par l'article 38 de la loi), ni cette loi, ni le décret n°2005-1309 du 20 octobre 2005 pris pour son application ne font obstacle à ce qu'elle délègue sa compétence en la matière.
2. La base élève premier degré (BE1D) a pour finalités d'assurer la gestion administrative et pédagogique des élèves du premier degré, la gestion et le pilotage de l'enseignement du premier degré dans les circonscriptions scolaires du premier degré et les inspections d'académie et le pilotage académique et national, et la base nationale identifiant élève (BNIE) a la finalité d'attribuer un identifiant unique à chaque élève, afin de permettre le suivi de toute sa scolarité. Ces bases concourent aux missions relatives à l'action éducatrice et à son organisation, au sens des dispositions des articles R. 222-25 et R. 222-26 du code de l'éducation et, dès lors, en application de ces dispositions, la compétence en matière d'exercice du droit d'opposition doit être regardée comme étant exercée à l'échelon départemental des services de l'éducation nationale.
CE Fr., n°406313 (18 mars 2019)
Il résulte de l'article 38 de la loi n° 78-17 du 6 janvier 1978 que le droit qu'elles ouvrent à toute personne physique de s'opposer pour des motifs légitimes à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement est subordonné à l'existence de raisons légitimes tenant de manière prépondérante à sa situation particulière. Ne commet pas d'erreur de droit la cour administrative d'appel qui relève que, pour faire opposition au traitement des données concernant ses enfants, la requérante se bornait à invoquer des craintes d'ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants, pour en déduire qu'elle ne justifiait pas de motifs légitimes de nature à justifier cette opposition.
Cass. Fr., n°18-14.675 (27 novembre 2019)
Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.
CE Fr., n°399922 (27 mars 2020)
1. Par un arrêt du 24 septembre 2019, Google LLC contre CNIL (C-507/17), la CJUE a dit pour droit que l'article 12, sous b), et l'article 14, premier alinéa, sous a), de la directive 95/46/CE du 24 octobre 1995 ainsi que l'article 17, paragraphe 1, du règlement (UE) 2016/679 du 27 avril 2016 doivent être interprétés en ce sens que, lorsque l'exploitant d'un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d'opérer ce déréférencement non pas sur l'ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l'ensemble des Etats membres et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d'empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l'un des Etats membres d'avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l'objet de cette demande.
2. a) Si la CNIL soutient en défense que la sanction contestée trouve son fondement dans la faculté que la CJUE a reconnue aux autorités de contrôle d'ordonner de procéder à un déréférencement portant sur l'ensemble des versions d'un moteur de recherche, il ne résulte, en l'état du droit applicable, d'aucune disposition législative qu'un tel déréférencement pourrait excéder le champ couvert par le droit de l'Union européenne pour s'appliquer hors du territoire des Etats membres de l'Union européenne.
b) Au surplus, il résulte en tout état de cause des énonciations du point 72 de l'arrêt de la CJUE du 24 septembre 2019 qu'une telle faculté ne peut être ouverte qu'au terme d'une mise en balance entre, d'une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d'autre part, le droit à la liberté d'information.
Or, il ressort des termes mêmes de la délibération attaquée que, pour constater l'existence de manquements persistants et reprocher à la société requérante d'avoir méconnu l'obligation de principe de procéder au déréférencement portant sur l'ensemble des versions d'un moteur de recherche, la formation restreinte de la CNIL n'a pas effectué une telle mise en balance.
Retour au sommaire|
Art. 21 1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l'article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne prouve qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. 2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. 3. Lorsque la personne concernée s'oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins. 4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l'attention de la personne concernée et est présenté clairement et séparément de toute autre information. 5. Dans le cadre de l'utilisation de services de la société de l'information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d'opposition à l'aide de procédés automatisés utilisant des spécifications techniques.
|
Proposition 1
close
1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d), e) et f), à moins que le responsable du traitement n'établisse l’existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée. 2. Lorsque les données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer au traitement de ses données à caractère personnel en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations. 3. Lorsqu'il est fait droit à une opposition conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées. |
Proposition 2
close
1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, point e) ou f), la première phrase de l'article 6, paragraphe 4, en liaison avec l'article 6, paragraphe 1, point e), ou la deuxième phrase de l'article 6, paragraphe 4. Le responsable du traitement ne traite plus les données à caractère personnel (...), à moins qu'il n'établisse l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les droits et les libertés (…) de la personne concernée, ou pour la constatation, l'exercice ou la défense d'un droit en justice. 1 bis. (...) 2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer (…) à tout moment au traitement des données à caractère personnel la concernant en vue de cette prospection. Au plus tard au moment de la première communication avec la personne concernée, ce droit est explicitement porté à l'attention de la personne concernée (…) et est présenté clairement et séparément de toute autre information. 2 bis. Lorsque la personne concernée s'oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins. 2 bis bis. Lorsque des données à caractère personnel sont traitées à des fins historiques, statistiques ou scientifiques, la personne concernée peut s'opposer, pour des raisons tenant à sa situation particulière, au traitement des données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l'exécution d'une mission effectuée pour des motifs d'intérêt public. 3. (...) 4. (...) |
Directive close
Art. 14 Les États membres reconnaissent à la personne concernée le droit: a) au moins dans les cas visés à l'article 7 points e) et f), de s'opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l'objet d'un traitement, sauf en cas de disposition contraire du droit national. En cas d'opposition justifiée, le traitement mis en oeuvre par le responsable du traitement ne peut plus porter sur ces données; b) de s'opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de prospection ou d'être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s'opposer, gratuitement, à ladite communication ou utilisation. Les États membres prennent les mesures nécessaires pour garantir que les personnes concernées ont connaissance de l'existence du droit visé au point b) premier alinéa.
|
France
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Art. 56 Le droit d'opposition s'exerce dans les conditions prévues à l'article 21 du règlement (UE) 2016/679 du 27 avril 2016. Ce droit ne s'applique pas lorsque le traitement répond à une obligation légale ou, dans les conditions prévues à l'article 23 du même règlement, lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte instaurant le traitement. |
Ancienne loi
close
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Art. 38 Version initiale Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur. Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement. Art. 38 Modifié par la loi n°2004-801 du 6 août 2004 Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement. Art. 40-1 Modifié par loi n°2016-1321 du 7 octobre 2016 I. - Les droits ouverts à la présente section s'éteignent au décès de leur titulaire. Toutefois, ils peuvent être provisoirement maintenus conformément aux II et III suivants. II. - Toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières. Les directives générales concernent l'ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés. Les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées sont inscrites dans un registre unique dont les modalités et l'accès sont fixés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés. Les directives particulières concernent les traitements de données à caractère personnel mentionnées par ces directives. Elles sont enregistrées auprès des responsables de traitement concernés. Elles font l'objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d'utilisation. Les directives générales et particulières définissent la manière dont la personne entend que soient exercés, après son décès, les droits mentionnés à la présente section. Le respect de ces directives est sans préjudice des dispositions applicables aux archives publiques comportant des données à caractère personnel. Lorsque les directives prévoient la communication de données qui comportent également des données à caractère personnel relatives à des tiers, cette communication s'effectue dans le respect de la présente loi. La personne peut modifier ou révoquer ses directives à tout moment. Les directives mentionnées au premier alinéa du présent II peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés. Toute clause contractuelle des conditions générales d'utilisation d'un traitement portant sur des données à caractère personnel limitant les prérogatives reconnues à la personne en vertu du présent article est réputée non écrite. III. - En l'absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès les droits mentionnés à la présente section dans la mesure nécessaire : - à l'organisation et au règlement de la succession du défunt. A ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d'identifier et d'obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers ; - à la prise en compte, par les responsables de traitement, de son décès. A ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s'opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour. Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en application du troisième alinéa du présent III. Les désaccords entre héritiers sur l'exercice des droits prévus au présent III sont portés devant le tribunal de grande instance compétent. IV. - Tout prestataire d'un service de communication au public en ligne informe l'utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu'il désigne. Décret d'application. CF chapitre II TITRE VI décret pris pour l'application de la loi n°78-17 du 6 janvier 1978. |