menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : France) language
Contactez notre membre local en France mail_outline
Visitez le site web de De Gaulle Fleurance account_balance

arrow_backArticle précédent
Article 23
Article suivantarrow_forward

Limitations

Textes
Officiels Guidelines Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 23 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 23 keyboard_arrow_up

Articles liés à l'article 23

Mots clés liés à l'article 23

Afficher les considérants du Règlement liés à l'article 23 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 23 keyboard_arrow_up

(8) Lorsque le présent règlement dispose que le droit d'un État membre peut apporter des précisions ou des limitations aux règles qu'il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s'appliquent.

(73) Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, et au droit de rectification ou d'effacement de ces données, ou au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée, et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre , notamment un intérêt économique ou financier important de l'Union ou d'un État membre , la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Afficher les considérants de la Directive 95/46 liés à l'article 23 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 23 keyboard_arrow_up

(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;

(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;

Le GDPR

L’article 23 du Règlement, directement inspiré de l’article 13 de la Directive, précise que les États membres peuvent maintenir ou introduire par voie législative des limitations aux droits de la personne concernée prévus aux articles 12 à 22, ainsi qu’à l’article 34 relatif à la communication à la personne concernée d'une violation de données à caractère personnel et aux principes énoncés à l’article 5, pour autant que ces limitations respectent l’essence des droits et libertés fondamentaux et qu’elles constituent une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains intérêts énumérés limitativement.

Au regard de la Directive, on remarque une extension de ces intérêts notamment, la protection contre les menaces pour la sécurité publique et la prévention de celles-ci, des objectifs importants d’intérêts publics généraux de l’Union ou d’un Etat membre notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale, ou encore la protection de l’indépendance de la justice et des procédures judiciaires ou en vue de permettre l’exécution de demandes de droit civil.

L’article 23 in fine prévoit néanmoins que les limitations législatives introduites par les États membres doivent contenir de nombreuses dispositions spécifiques relatives notamment aux finalités, aux catégories de traitement et de données à caractère personnel, à l'étendue des limitations introduites, ou encore aux risques pour les droits et les libertés des personnes concernées et au droit de la personne concernée d’être informée de telles restrictions.

La Directive

Sous l’empire de la Directive (art. 13), les États membres étaient déjà autorisés à limiter la portée des droits et obligations prévus à l’article 6 relatif à la qualité des données ; aux articles 10 et 11 relatifs à l’information à fournir à la personne concernée ; à l’article 12 relatif au droit d’opposition et à l’article 21 relatif à la publicité des traitements. 

Il fallait cependant que de telles limitations constituent des mesures nécessaires à la réalisation d’intérêts limitativement énumérés, par exemple, sauvegarder la sûreté de l'État, la défense, la sécurité publique ou la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées.

France

Le droit français a traduit dans sa législation différentes limitations aux droits et obligations prévues aux articles 6, 10, 11, 12 et 21 de la Directive transposée. L’articles 32, IV de la loi Informatique et Libertés prévoit que les informations à fournir à la personne concernée peuvent se limiter à l’identité du responsable du traitement et à la finalité du traitement auquel les données sont destinées lorsque les données sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation certifié préalablement par la Commission Nationale de l’Informatique et des Libertés.

La même disposition, en son paragraphe V énonce que l’obligation d’information des personnes concernées n’est pas applicable lors d'un traitement mis en œuvre pour le compte de l'État et intéressant la sûreté de l'État, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement. Selon l’article 33, V. il en va de même lorsque le traitement de données a pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales.

Difficultés probables ?

Les possibilités de restrictions étant étendues, la marge de manœuvre des États augmente ce qui entraîne un risque de divergence des régimes de protection, au détriment de l’objectif d’harmonisation de la nouvelle réglementation. Il est vrai qu’en contrepartie, les États devront assortir celles-ci de plus de garanties pour les personnes, ce qui pourra alors être contrôlé par la Cour de Justice.

arrow_back Article précédentArticle 23Article suivant arrow_forward
arrow_back Article précédentArticle 23 Article suivant arrow_forward

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Déclaration sur le traitement des données à caractère personnel dans le contexte de l’épidémie de COVID-19 (19 mars 2020)

Le comité européen de la protection des données (EDPB) a adopté la déclaration suivante: Partout en Europe, les gouvernements et les organisations publiques et privées prennent des mesures pour enrayer et atténuer la COVID-19. Ces mesures peuvent impliquer le traitement de différents types de données à caractère personnel. Les règles en matière de protection des données (telles que le RGPD) n’entravent pas les mesures prises dans le cadre de la lutte contre la pandémie de coronavirus. La lutte contre les maladies transmissibles constitue un important objectif partagé par toutes les nations et il convient donc de la soutenir de la meilleure manière possible. Il est dans l’intérêt de l’humanité de freiner la propagation des maladies et d’utiliser des techniques modernes pour lutter contre les fléaux qui frappent de grandes parties du monde. Malgré tout, l’EDPB souhaite souligner le fait que, même en cette période hors du commun, le responsable du traitement des données et le sous-traitant doivent garantir la protection des données à caractère personnel des personnes concernées. Par conséquent, il y a lieu de tenir compte d’un certain nombre de considérations pour garantir la licéité du traitement des données à caractère personnel et, en tout état de cause, il convient de rappeler que toute mesure prise dans ce contexte doit respecter les principes généraux du droit et ne pas être irréversible. L’urgence est une circonstance juridique susceptible de légitimer des restrictions aux libertés à condition que ces restrictions soient proportionnées et limitées à la période d’urgence.

Lien

Déclaration relative aux limitations imposées aux droits des personnes concernées dans le cadre de l’état d’urgence1 dans les États membres (2 juin 2020)

Lien

Guidelines on restrictions under Article 23 GDPR - 10/2020 (13 Octobre 2021)

This document seeks to provide guidance as to the application of Article 23 GDPR. These Guidelines provide a thorough analysis of the criteria to apply restrictions, the assessments that need to be observed, how data subjects can exercise their rights once the restriction is lifted and the consequences for infringements of Article 23 GDPR.

The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 16(2) of the Treaty on the Functioning of the European Union mandates the European Parliament and the Council to lay down the rules in relation to the protection of personal data and the rules relating to the free movement of personal data. The GDPR protects the rights and freedoms of natural persons and in particular their right to data protection. Data protection cannot be ensured without adhering to the rights and principles set out in the GDPR (Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided in Articles 12 to 22 GDPR). All these rights and obligations are at the core of the fundamental right to data protection and their application should be the general rule. In particular, any limitation to the fundamental right to data protection needs to observe Article 52 of the Charter of fundamental rights of the European Union (‘the Charter’).

It is against this background that Article 23 GDPR should be read and interpreted. This provision is entitled ‘restrictions’. It provides that, under Union or Member State law, the application of certain provisions of the Regulation, relating to the rights of the data subjects and controllers’ obligations, may be restricted in the situations therein listed. Restrictions should be seen as exceptions to the general rule allowing the exercise of rights and imposing the obligations enshrined in the GDPR . 

As such, restrictions should be interpreted narrowly, only be applied in specifically provided circumstances and only when certain conditions are met.

Even in exceptional situations, the protection of personal data cannot be restricted in its entirety. It must be upheld in all emergency measures, as per Article 23 GDPR thus contributing to the respect of the overarching values of democracy, rule of law and fundamental rights on which the Union is founded: any measure taken by Member States shall respect the general principles of law, the essence of the fundamental rights and freedoms and shall not be irreversible and data controllers and processors shall continue to comply with data protection rules.

In all cases, where Union or Member State law allows restrictions to data subjects’ rights or to the obligations of the controllers (including joint controllers3 ) and processors4 , it should be noted that the accountability principle, as laid down in Article 5(2) GDPR, is still applicable. This means that the controller is responsible for, and shall be able to demonstrate to the data subjects his or her compliance with the EU data protection framework, including the principles relating to the processing of their data.

When the EU or national legislator lays down restrictions based on Article 23 GDPR, it shall ensure that it meets the requirements set out in Article 52(1) of the Charter, and in particular conduct a proportionality assessment so that restrictions are limited to what is strictly necessary.

Lien

Retour au sommaire
arrow_back Article précédent Article 23 Article suivant arrow_forward

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-473/12 (7 novembre 2013) - IPI

L’article 13, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les États membres ont non pas l’obligation, mais la faculté de transposer dans leur droit national une ou plusieurs des exceptions qu’il prévoit à l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel.

L’activité de détective privé agissant pour le compte d’un organisme professionnel afin de rechercher des manquements à la déontologie d’une profession réglementée, en l’occurrence celle d’agent immobilier, relève de l’exception prévue à l’article 13, paragraphe 1, sous d), de la directive 95/46.

Arrêt rendu

C-201/14 (1 octobre 2015) - Bara e.a.

Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.

Conclusions de l'Avocat général

Arrêt rendu

C-817/19 (21 juin 2022), Ligue des droits humains contre Conseil des ministres

)

L’article 2, paragraphe 2, sous d), et l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétés en ce sens que ce règlement est applicable aux traitements de données à caractère personnel prévus par une législation nationale visant à transposer, en droit interne, à la fois les dispositions de la directive 2004/82/CE du Conseil, du 29 avril 2004, concernant l’obligation pour les transporteurs de communiquer les données relatives aux passagers, de la directive 2010/65/UE du Parlement européen et du Conseil, du 20 octobre 2010, concernant les formalités déclaratives applicables aux navires à l’entrée et/ou à la sortie des ports des États membres et abrogeant la directive 2002/6/CE, et de la directive (UE) 2016/681 du Parlement européen et du Conseil, du 27 avril 2016, relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, pour ce qui est, d’une part, des traitements de données effectués par des opérateurs privés et, d’autre part, des traitements de données effectués par des autorités publiques relevant, uniquement ou également, de la directive 2004/82 ou de la directive 2010/65. En revanche, ledit règlement n’est pas applicable aux traitements de données prévus par une telle législation ne relevant que de la directive 2016/681, qui sont effectués par l’unité d’information passagers (UIP) ou par les autorités compétentes aux fins visées à l’article 1er, paragraphe 2, de cette directive.

Arret de la cour

Conclusions de l'avocat général

C‑307/22, FT contre DW, (26 octobre 2023)

1)      L’article 12, paragraphe 5, et l’article 15, paragraphes 1 et 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que

l’obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données à caractère personnel faisant l’objet d’un traitement s’impose au responsable du traitement même lorsque cette demande est motivée dans un but étranger à ceux visés au considérant 63, première phrase, dudit règlement.

2)      L’article 23, paragraphe 1, sous i), du règlement 2016/679

doit être interprété en ce sens que :

est susceptible de relever du champ d’application de cette disposition une législation nationale adoptée avant l’entrée en vigueur de ce règlement. Toutefois, une telle faculté ne permet pas d’adopter une législation nationale qui, en vue de protéger les intérêts économiques du responsable du traitement, met à la charge de la personne concernée les frais d’une première copie de ses données à caractère personnel faisant l’objet de ce traitement.

3)      L’article 15, paragraphe 3, première phrase, du règlement 2016/679

doit être interprété en ce sens que

dans le cadre d’une relation médecin/patient, le droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie intégrale des documents figurant dans son dossier médical qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est nécessaire pour permettre à la personne concernée d’en vérifier l’exactitude et l’exhaustivité ainsi que pour garantir leur intelligibilité. S’agissant de données relatives à la santé de la personne concernée, ce droit inclut en tout état de cause celui d’obtenir une copie des données de son dossier médical contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés à celle‑ci.

Arrêt rendu

Conclusions de l'avocat général
Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°31/2000 (21 mars 2000)

En cause : le recours en annulation totale ou partielle de la loi du 2 juin 1998 portant création d'un Centre d'information et d'avis sur les organisations sectaires nuisibles et d'une Cellule administrative de coordination de la lutte contre les organisations sectaires nuisibles (ci-après « loi attaquée »), introduit par l'a.s.b.l. Société anthroposophique belge et autres.

1. Il résulte tant de la loi du 8 décembre 1992, qui ne prévoit en effet aucune exception en la matière (voy. l’article 3, §§ 2, 3, 4 et 5), que des travaux préparatoires de la loi attaquée que la loi du 8 décembre 1992 est applicable au traitement des données personnelles par le Centre.

2. Le traitement de données à caractère personnel relatives aux opinions philosophiques ou religieuses est, selon cette loi, en principe interdit (article 6, § 1er), sauf les exceptions expressément mentionnées (article 6, § 2), parmi lesquelles figure le cas dans lequel, comme en l’espèce, « le traitement des données à caractère personnel […] est permis par une loi, un décret ou une ordonnance pour un autre motif important d’intérêt public » (littera l) et moyennant le respect des conditions particulières déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée (article 6, § 4).

3. La loi attaquée habilite le Centre à traiter des données à caractère personnel relatives aux opinions et aux activités philosophiques et religieuses pour l’accomplissement de ses missions visées à l’article 6, § 1er, 1°, de la loi attaquée - étudier le phénomène des organisations sectaires nuisibles en Belgique ainsi que leurs liens internationaux – et à l’article 6, § 1er, 3°, de la loi attaquée – assurer l’accueil et l’information du public et informer toute personne qui en fait la demande sur l’étendue de ses droits et obligations et sur les moyens de faire valoir ses droits.

4. Les garanties relatives à la confidentialité et à la sécurité des données à caractère personnel, le statut et les tâches d’un préposé à la protection des données au sein du Centre et la façon dont le Centre devra faire rapport à la Commission de la protection de la vie privée sur le traitement de données à caractère personnel sont fixés par le Roi, en application de l’article 6, § 3, alinéa 2, de la loi attaquée, dans un arrêté délibéré en Conseil des ministres. En adoptant cette disposition, le législateur a voulu prévoir des garanties particulières en la matière « vu le caractère particulièrement délicat des données sensibles que le Centre sera habilité à traiter ». Ces garanties, qui ne sauraient évidemment porter atteinte aux garanties contenues dans la loi du 8 décembre 1992, ne peuvent dès lors constituer que des garanties supplémentaires.

5. Le moyen n’est pas fondé en tant qu’il objecte que la loi attaquée entoure le traitement de données à caractère personnel par le Centre de moins de garanties que n’en prévoit le régime de droit commun.

Arrêt rendu

Cass. Be., P.14.0069.N (26 mai 2015)

L’article 17 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel impose au responsable du traitement automatisé de données l’obligation d’en faire la déclaration préalable auprès de la Commission de la protection de la vie privée.

Ni le fait que les services de police puissent, sur la base de l’article 44/1 de la loi du 5 août 1992 sur la fonction de police, traiter des informations à caractère personnel, ni la dispense d’autorisation pour effectuer des communications électroniques fournie par le comité sectoriel pour l’autorité fédérale par l’arrêté royal du 4 juin 2003 fixant dérogation à l’autorisation visée à l’article 36bis de la loi du 8 décembre 1992 relative à la protection de la vie privée au profit de la banque de données nationale générale de la police, n’ont pour conséquence qu’il ne doit pas y avoir de déclaration préalable des traitements, ainsi qu’il est prévu à l’article 17 de la loi du 8 décembre 1992.

Arrêt rendu

C. const., n°28/2016 (25 février 2016)

La Cour constitutionnelle belge annule l’article 9 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel dans la mesure où il s’applique automatiquement à l’organisme professionnel de droit public qui est chargé par la loi de rechercher des manquements à la déontologie d’une profession réglementée, et à l’activité d’un détective privé ayant été autorisé à agir pour l’organisme professionnel en question conformément à l’article 13 de la loi du 19 juillet 1991 organisant la profession de détective privé. Ces situations tombent dès lors en dehors du champ d’application de l’article 9 de la loi du 8 décembre 1992, dans l’attente de l’extension formelle, par le législateur, des exemptions prévues par l’article 3 de ladite loi.

Arrêt rendu

C. const. Be., n°22/2022 (10 février 2022)

1. En cause : le recours en annulation de l’article 5 de la loi du 29 mars 2018 « modifiant les articles 2 et 9ter de la loi du 2 avril 1965 relative à la prise en charge des secours accordés par les centres publics d’action sociale », en tant qu’il remplace le paragraphe 5 de l’article 9ter de la loi du 2 avril 1965 précitée, introduit par l’ASBL « Medimmigrant » et autres. La disposition attaquée confie au médecin-contrôle de la Caisse auxiliaire d’assurance maladie-invalidité (ci-après : la CAAMI) la mission de contrôler a posteriori le caractère urgent des soins médicaux dispensés par les prestataires de soins dans le cadre de l’aide médicale urgente aux personnes en séjour illégal, et, le cas échéant, d’infliger une sanction financière aux prestataires qui auraient dispensé des soins non conformes aux critères fixés par la loi.

2. Le droit au respect de la vie privée des personnes physiques dans le cadre du traitement automatique des données à caractère personnel n’est pas absolu. L’article 23 du RGPD précise que les droits consacrés par ce règlement peuvent être limités moyennant le respect de l’essence de ceux-ci et que la limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment, des objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale (article 23, paragraphe 1, e)), de la prévention et de la détection de manquements à la déontologie des professions réglementées, ainsi que des enquêtes et des poursuites en la matière (article 23, paragraphe 1, g)) et d’une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique (article 23, paragraphe 1, h)). […]

3. Les contrôles prévus par la disposition attaquée peuvent déboucher sur des sanctions de nature civile, dans l’intérêt du financement de la sécurité sociale, destinées à mettre fin à une situation contraire à la loi. Il s’agit d’un objectif d’intérêt général. Ces contrôles sont effectués par le seul médecin-contrôle de la CAAMI, à l’exclusion de tout autre membre de l’administration. En tant que médecin, il est soumis au secret professionnel ainsi qu’aux règles déontologiques propres à sa profession. Pour le surplus, la disposition attaquée confie au Roi le soin de préciser les modalités des contrôles prévus par la disposition attaquée, ce qui ne Le dispense pas de respecter, à cette occasion, la réglementation relative à la protection des données à caractère personnel, sous le contrôle du juge compétent.

4. La Cour constitutionnelle belge conclut que le moyen pris en violation des articles 5 et 9 du RGPD est non fondé.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

CE Fr., n°336382 (24 août 2011)

Concerne : L'arrêté du 25 novembre 2009 du ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'Etat porte création par la direction générale des finances publiques (DGFiP) d'un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales dénommé « EVAFISC »

1. En vertu de l'article 32 de la loi n° 78-17 du 6 janvier 1978, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée des caractéristiques essentielles du traitement de données et de ses droits. Toutefois, en application des V et VI de l'article 32, cette obligation d'information ne concerne pas les traitements intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, ainsi que la prévention, la recherche, la constatation ou la poursuite d'infractions pénales. Il résulte de ces dispositions que la dispense de l'obligation d'information ne peut avoir d'effet utile, préservant les finalités mentionnées par les V et VI de l'article 32, qu'appliquée à l'ensemble du traitement de données en cause, dès lors que ces finalités s'avèrent, sous le contrôle du juge, essentielles à ce traitement et alors même que ce dernier aurait également d'autres finalités, insusceptibles par elles-mêmes d'ouvrir droit à cette dispense. L'article 6 de l'arrêté mentionne que le droit à l'information garanti par l'article 32 ne s'applique pas au traitement qu'il crée. L'article 2 de l'arrêté dispose que ce traitement a pour principale finalité la prévention, la recherche, la constatation ou la poursuite d'infractions pénales en matière fiscale. Les autres finalités de ce traitement, également mentionnées à l'article 2, sont accessoires par rapport à sa finalité principale, qui nécessite une dispense de l'obligation d'information. Par suite, l'arrêté pouvait légalement écarter l'application de l'obligation d'information pour l'ensemble du traitement qu'il crée.

2. L'article 6 de l'arrêté a exclu l'application du droit d'opposition pour le traitement qu'il crée. En prévoyant ainsi, conformément au troisième alinéa de l'article 38 de la loi du 6 janvier 1978, que le droit d'opposition prévu au premier alinéa de cet article 38 ne s'exerce pas, l'arrêté a entendu, d'une part, concilier l'intérêt général qui s'attache à la prévention et à la recherche des infractions fiscales avec la protection de la vie privée, et, d'autre part, assurer l'effectivité de la finalité poursuivie à titre principal par le traitement en cause, en ne permettant pas aux personnes en infraction avec les textes pénaux ou fiscaux de s'opposer au recensement des informations permettant d'établir ces infractions. La CNIL a émis un avis public et motivé sur le projet d'arrêté créant ce traitement et qu'elle est légalement tenue de garantir, sous le contrôle du juge, l'effectivité du droit d'accès direct ou indirect et du droit de rectification. Par suite, c'est sans erreur de droit et sans atteinte disproportionnée au droit garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales que l'arrêté a fait application de la faculté prévue par l'article 38 de la loi du 6 janvier 1978 d'écarter l'application du droit d'opposition.

Arrêt rendu

CE Fr., n°328634 (3 juin 2013)

Il résulte des dispositions de l'article 41 de la loi n° 78-17 du 6 janvier 1978, dans sa rédaction issue de la loi du 6 août 2004, et de l'article 88 du décret n° 2005-1309 du 20 octobre 2005 pris pour son application que, quand le responsable d'un traitement intéressant la sûreté de l'Etat, la défense ou la sécurité publique oppose un refus à une demande d'accès indirect ou de rectification, l'indication alors fournie au demandeur par le président de la Commission nationale de l'informatique et des libertés (CNIL) selon laquelle il a été procédé aux vérifications nécessaires ne peut être regardée comme l'exercice par la CNIL de l'une de ses compétences, mais comme la simple notification d'une décision de refus d'accès prise par le responsable du traitement. Cette décision relève, en cas de litige, de la compétence du tribunal administratif dans le ressort duquel l'autorité qui l'a prise à son siège.

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

Arrêt rendu

Cass. Fr., n°20-12.263 (10 novembre 2021)

En application de l'article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004, dans sa version antérieure à l'entrée en vigueur du RGPD, les salariés concernés doivent être informés, préalablement à la mise en œuvre d'un traitement de données à caractère personnel, de l'identité du responsable du traitement des données ou de son représentant, de la (ou les) finalité(s) poursuivie(s) par le traitement, des destinataires ou catégorie de destinataires de données, de l'existence d'un droit d'accès aux données les concernant, d'un droit de rectification et d'un droit d'opposition pour motif légitime, ainsi que des modalités d'exercice de ces droits. Selon l'article L. 442-6 du code du travail, applicable à Mayotte, dans sa version en vigueur du 1er janvier 2006 au 1er janvier 2018, le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés. En application des articles 6 et 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, l'illicéité d'un moyen de preuve, au regard des dispositions susvisées, n'entraîne pas nécessairement son rejet des débats, le juge devant apprécier si l'utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve, lequel peut justifier la production d'éléments portant atteinte à la vie personnelle d'un salarié à la condition que cette production soit indispensable à l'exercice de ce droit et que l'atteinte soit strictement proportionnée au but poursuivi. Encourt la cassation l'arrêt qui énonce que la loi du 21 janvier 1995 autorise l'utilisation de système de vidéo-surveillance dans des lieux ou des établissements ouverts au public particulièrement exposés à des risques d'agression ou de vol afin d'y assurer la sécurité des biens et des personnes, ce qui est le cas d'une pharmacie dans le contexte d'insécurité régnant à Mayotte et ajoute que les salariés ont été informés de la mise en place de ce système par note de service, en sorte que l'utilisation des enregistrements de vidéo-surveillance comme mode de preuve est licite alors que le système de vidéo-surveillance destiné à la protection et la sécurité des biens et des personnes dans les locaux de l'entreprise permettait également de contrôler et de surveiller l'activité des salariés et avait été utilisé par l'employeur afin de recueillir et d'exploiter des informations concernant personnellement le salarié, ce dont il résulte que l'employeur aurait dû informer les salariés et consulter le comité d'entreprise sur l'utilisation de ce dispositif à cette fin et qu'à défaut, ce moyen de preuve tiré des enregistrements de la salariée était illicite et, dès lors, les prescriptions et les dispositions des articles 6 et 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales invocables.

Arrêt rendu

CE Fr., n°396669 (5 mai 2017)

Formation spécialisée ayant procédé à l'examen de l'acte réglementaire autorisant la création du fichier litigieux et des éléments fournis par le ministre et la Commission nationale de l'informatique et des libertés (CNIL). Cet examen a révélé que des données concernant le requérant figuraient illégalement dans le fichier litigieux. Par suite, il y a lieu d'ordonner l'effacement de ces données.

Arrêt rendu

CE Fr., n°449209 (28 janvier 2022)

1. Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du guichet unique applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.

2. a) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi n° 78-17 du 6 janvier 1978.

b) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.

c) La CNIL ayant, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du RGPD, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. CNIL ayant, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, et afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière.

d) Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition.

e) Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.

Arrêt rendu

Cass. Fr., n° 22-15.070 (11 octobre 2023)

Le juge doit notamment vérifier si, dans le litige qui lui est soumis, si le responsable du traitement est tenu de fournir à la personne concernée les informations prévues à son article 14 ou si sont réunies les conditions des exceptions ou limitations à cette obligation d'information qu'il prévoit.

En effet, si l'article 14 du RGPD soumet le responsable du traitement à l'obligation de fournir un certain nombre d'informations à la personne concernée lorsque les données à caractère personnel n'ont pas été collectées auprès d'elle, il résulte du paragraphe 5 de ce texte que cette obligation ne s'applique pas dans la mesure où elle est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.

En outre, l'article 23 du RGPD prévoit que le droit de l'État membre auquel le responsable du traitement est soumis peut, par la voie de mesures législatives, limiter la portée de l'obligation d'informer la personne concernée par le traitement de données à caractère personnel prévue à l'article 14 du RGPD lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir la prévention et la détection d'infractions pénales, les enquêtes et les poursuites en la matière et d'autres objectifs importants d'intérêt public général d'un Etat membre, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal.

Selon l'article 48 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, tel que modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018, en application de l'article 23 du RGPD, le droit à l'information ne s'applique pas aux données collectées dans les conditions prévues à l'article 14 du RGPD et utilisées lors d'un traitement mis en œuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions, soit d'effectuer des contrôles de l'activité de personnes physiques ou morales pouvant donner lieu à la constatation d'une infraction ou d'un manquement, à des amendes administratives ou à des pénalités dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par ce traitement et prévue par l'acte instaurant le traitement.

Ainsi, l'administration fiscale n'a pas l'obligation de fournir à la personne concernée les informations prévues à l'article 14 de ce règlement si sont réunies les conditions de l'exception prévue au paragraphe 5 de ce texte ou des limitations prévues à l'article 23.

Pour rejeter le moyen selon lequel l'administration a collecté des données à caractère personnel issues de bases de données ou de sites d'accès public en violation des règles du RGPD garantissant la protection des données, l'ordonnance énonce que l'article 23 du RGPD prévoit la limitation de la portée des obligations résultant de ce règlement, notamment l'obligation d'information, lorsqu'une telle limitation est nécessaire dans le cadre de la prévention et de la détection d'infractions, et qu'il en résulte que les restrictions à l'information des personnes ayant fait l'objet de traitement de données sont permises.

Elle en déduit que l'administration a pu produire, (…), des pièces à l'appui de sa requête concernant des informations provenant de bases de données ou de sites d'accès public dans le respect des règles garantissant la protection des données et qu'aucune origine illicite des pièces produites ne peut être soulevée en l'espèce.

En se déterminant ainsi, par des motifs impropres à établir qu'étaient réunies les conditions de la limitation, prévue à l'article 23 du RGPD et mise en œuvre à l'article 48 de la loi du 6 janvier 1978, à l'obligation de fournir à la personne concernée les informations prévues à l'article 14 du RGPD, le premier président n'a pas donné de base légale à sa décision.

Arrêt rendu


Cass. Fr., n° 21-20.979 (24 avril 2024)

Le traitement résultant de la communication par l'employeur de documents comportant des données personnelles, tels des bulletins de paie des salariés tiers, et leur mise à disposition d'un salarié invoquant l'existence d'une discrimination syndicale, ordonnées par la juridiction prud'homale à titre d'éléments de preuve, répond aux exigences de licéité au sens des articles 6 et 23 du RGPD.

Arrêt rendu

 

Cass. Fr., n° 21-20.979 (3 octobre 2024)

Selon l'article 6, § 4, du RGPD, lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit de l'Union ou le droit d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l'article 23, § 1 (…). Parmi les objectifs visés à l'article 23, § 1, du RGPD figurent notamment sous f) la protection de l'indépendance de la justice et des procédures judiciaires et sous j) l'exécution des demandes de droit civil. (…)

Il en résulte que l'article 6, § 3 et 4, du RGPD s'applique à la production en tant qu'élément de preuve de documents contenant des données personnelles, tels que les bulletins de salaire de salariés tiers ainsi qu'un historique de la carrière de ceux-ci, ordonnée par une juridiction prud'homale dans le cadre d'une procédure juridictionnelle engagée par un salarié se plaignant d'une discrimination syndicale.

Il s'ensuit que si l'employeur, (…), reste responsable au premier chef du traitement des données, la communication par l'employeur de tels documents et leur mise à disposition d'un salarié invoquant une discrimination syndicale, ordonnée par une juridiction prud'homale, ressortent d'un traitement effectué dans une finalité différente de celle pour laquelle les données ont été collectées et doivent dès lors être fondées sur le droit national, constituer une mesure nécessaire et proportionnée dans une société démocratique, au sens de l'article 6, § 4, du RGPD, et garantir l'un des objectifs visés à l'article 23, § 1, du RGPD, parmi lesquels figurent notamment, sous f) et j) la protection de l'indépendance de la justice et des procédures judiciaires et l'exécution des demandes de droit civil.

Or, aux termes de l'article L. 1132-1 du code du travail, (…), aucune personne ne peut être écartée d'une procédure de recrutement ou de nomination ou de l'accès à un stage ou à une période de formation en entreprise, aucun salarié ne peut être sanctionné, licencié ou faire l'objet d'une mesure discriminatoire, directe ou indirecte, telle que définie à l'article 1er de la loi n° 2008-496 du 27 mai 2008 portant diverses dispositions d'adaptation au droit communautaire dans le domaine de la lutte contre les discriminations (…).

Par ailleurs, la Cour fait référence à l'article L. 1134-1 du code du travail et conclut qu’il incombe à la partie défenderesse de prouver que sa décision est justifiée (…), que le juge forme sa conviction après avoir ordonné (…) toutes les mesures d'instruction qu'il estime utiles et  qu'il appartient en premier lieu au salarié (…) de présenter des éléments de faits laissant supposer l'existence d'une discrimination directe ou indirecte.

La chambre sociale juge qu'une mesure d'instruction ne peut être écartée en matière de discrimination au motif de l'existence d'un mécanisme probatoire spécifique résultant des dispositions de l'article L. 1134-1 du code du travail. Elle juge aussi qu'il résulte des articles 6 et 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, 9 du code civil et 9 du code de procédure civile, que le droit à la preuve peut justifier la production d'éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l'exercice de ce droit et que l'atteinte soit proportionnée au but poursuivi (…). Il appartient dès lors au juge saisi d'une demande de communication de pièces sur le fondement de l'article 145 du code de procédure civile, d'abord, de rechercher si cette communication n'est pas nécessaire à l'exercice du droit à la preuve de la discrimination alléguée et proportionnée au but poursuivi et s'il existe ainsi un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, ensuite, si les éléments dont la communication est demandée sont de nature à porter atteinte à la vie personnelle d'autres salariés, de vérifier quelles mesures sont indispensables à l'exercice du droit à la preuve et proportionnées au but poursuivi, au besoin en cantonnant le périmètre de la production de pièces sollicitée (…).

Faisant sienne la conclusion de l'avis de la chambre sociale sur ce point, la deuxième chambre civile en déduit que le traitement résultant de la communication par l'employeur, ordonnée par le juge, de documents comportant des données personnelles, tels des bulletins de paie des salariés tiers, et leur mise à disposition d'un salarié invoquant l'existence d'une discrimination syndicale, ordonnées par la juridiction prud'homale à titre d'éléments de preuve, répond aux exigences de licéité au sens des articles 6 et 23 du RGPD.

Arrêt rendu

Retour au sommaire
arrow_back Article précédent Article 23 Article suivant arrow_forward
Règlement
1e 2e

Art. 23

1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l’essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a) la sécurité nationale;

b) la défense nationale;

c) la sécurité publique;

d) la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

f) la protection de l'indépendance de la justice et des procédures judiciaires;

g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

h) une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c), d), e) et g);

i) la protection de la personne concernée ou des droits et libertés d'autrui;

j) l'exécution des demandes de droit civil.

2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

a) aux finalités du traitement ou des catégories de traitement;

b) aux catégories de données à caractère personnel;

c) à l'étendue des limitations introduites;

d) aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites;

e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;

f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

g) aux risques pour les droits et libertés des personnes concernées; et

h) au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.
Proposition 1 close

1. Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus à l'article 5, points a) à e), aux articles 11 à 20 et à l'article 32, lorsqu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour:

a) assurer la sécurité publique;

b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière;

c) sauvegarder d'autres intérêts généraux de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l’Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, ainsi que la stabilité et l'intégrité des marchés;

d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c) et d); f) garantir la protection de la personne concernée ou des droits et libertés d'autrui.

 2. Tout mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux finalités du traitement et aux modalités d'identification du responsable du traitement.
Proposition 2 close

1. Le droit de l'Union ou la législation de l'État membre dont relève le responsable du traitement ou le sous-traitant peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus (...) aux articles 12 à 20 et à l'article 32, ainsi qu'à l'article 5 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 12 à 20, lorsqu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour:

a bis) assurer la sécurité nationale;

a ter) garantir la défense nationale;

a) assurer la sécurité publique;

b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ou l'exécution de sanctions pénales, ou la protection contre les menaces pour la sécurité publique et la prévention de celles-ci.

c) sauvegarder d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale, ainsi que la stabilité et l'intégrité des marchés;

c bis) assurer la protection de l'indépendance de la justice et des procédures judiciaires;

d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), a bis), a ter), b), c) et d);

f) garantir la protection de la personne concernée ou des droits et libertés d'autrui;

g) permettre l'exécution des demandes de droit civil.

2. Tout mesure législative visée au paragraphe 1 doit contenir des dispositions spécifiques relatives, au moins, le cas échéant, aux finalités du traitement ou des catégories de traitement, aux catégories de données à caractère personnel, à l'étendue des limitations introduites, à la détermination du responsable du traitement ou des catégories de responsables du traitement, aux périodes de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ainsi que des risques pour les droits et les libertés des personnes concernées.
Directive close

Art. 13

1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l'article 6 paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder:

a) la sûreté de l'État;

b) la défense;

c) la sécurité publique;

d) la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;

e) un intérêt économique ou financier important d'un État membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal;

f) une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique, dans les cas visés aux points c), d) et e);

g) la protection de la personne concernée ou des droits et libertés d'autrui.

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.
France
compare_arrows
visibility Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 48

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le droit à l'information s'exerce dans les conditions prévues aux articles 12 à 14 du règlement (UE) 2016/679 du 27 avril 2016.

En particulier, lorsque les données à caractère personnel sont collectées auprès d'un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées à l'article 13 de ce règlement dans un langage clair et facilement accessible.

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est également informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant du droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort, dans les conditions prévues à l'article 85.

En application de l'article 23 du même règlement, le droit à l'information ne s'applique pas aux données collectées dans les conditions prévues à l'article 14 de ce règlement et utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sécurité publique, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par ce traitement et prévue par l'acte instaurant le traitement.

Il est fait application des dispositions de l'alinéa précédent lorsque le traitement est mis en œuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d'effectuer des contrôles de l'activité de personnes physiques ou morales pouvant donner lieu à la constatation d'une infraction ou d'un manquement, à des amendes administratives ou à des pénalités.

Art. 52

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, les droit d'accès, de rectification et d'effacement s'exercent dans les conditions prévues à l'article 118, si de telles restrictions ont été prévues par l'acte instaurant le traitement.

Il est fait application des mêmes dispositions lorsque le traitement intéresse la sécurité publique, sous réserve de l'application des dispositions du titre III.

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles prévues par le code des juridictions financières, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d'une procédure juridictionnelle, le droit d'accès peut être limité dans les conditions prévues aux e et h du 1 de l'article 23 du règlement (UE) 2016/679 du 27 avril 2016.

Art. 56

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le droit d'opposition s'exerce dans les conditions prévues à l'article 21 du règlement (UE) 2016/679 du 27 avril 2016.

Ce droit ne s'applique pas lorsque le traitement répond à une obligation légale ou, dans les conditions prévues à l'article 23 du même règlement, lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte instaurant le traitement.

Art. 116

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable de traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions des articles 117 à 120 ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ;

8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

II. -Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable de traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

III. - Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

Art. 117

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.

Art. 118

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Les demandes tendant à l'exercice du droit d'accès, de rectification et d'effacement sont adressées à la Commission nationale de l'informatique et des libertés qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. La commission informe la personne concernée qu'il a été procédé aux vérifications nécessaires et de son droit de former un recours juridictionnel.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Art. 119

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Par dérogation à l'article 118, lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire autorisant le traitement peut prévoir que les droits d'accès, de rectification et d'effacement peuvent être exercés par la personne concernée auprès du responsable de traitement directement saisi dans les conditions prévues aux II à III du présent article.

II. - La personne concernée justifiant de son identité a le droit d'obtenir :

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;

2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ;

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé.

Les demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique peuvent être rejetées.

III. - La personne concernée justifiant de son identité peut également exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le responsable de traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées.

En cas de contestation, la charge de la preuve incombe au responsable de traitement auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa du III.

Art. 120

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

Aucune autre décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à prévoir ou évaluer certains aspects personnels relatifs à la personne concernée.

 

 
Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 32

Version initiale

(…)

IV.-Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

 

V.-Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

VI.-Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

Art. 41

Version initiale

Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient.

La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

Art. 42

Version initiale

Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27.

Art. 32 

Modifié par la loi n°2018-493 du 20 juin 2018

IV.-Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

V.-Sans préjudice de l'application des dispositions du chapitre XIII, les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense ou la sécurité publique, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

Art. 40 

Modifié par la loi n°2018-493 du 20 juin 2018

(...)

III.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. La dérogation prévue au présent III n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement.

Art. 41

Modifié par la loi n°2018-493 du 20 juin 2018

Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publiques, sous réserve de l'application des dispositions du chapitre XIII, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient.

La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

Art. 42

Modifié par la loi n°2018-493 du 20 juin 2018

Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 26 ou 27.

 
Greece close

arrow_back Article précédentArticle 23 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.