Article 4
Définitions

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les articles et mots clés liés à l’article 4 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 4 keyboard_arrow_up
Afficher les considérants du Règlement liés à l'article 4 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 4 keyboard_arrow_up

(27) Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

(28) La pseudonymisation des données à caractère personnel peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. L'introduction explicite de la pseudonymisation dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données.

(31) Les autorités publiques auxquelles des données à caractère personnel sont communiquées conformément à une obligation légale pour l'exercice de leurs fonctions officielles, telles que les autorités fiscales et douanières, les cellules d'enquête financière, les autorités administratives indépendantes ou les autorités des marchés financiers responsables de la réglementation et de la surveillance des marchés de valeurs mobilières ne devraient pas être considérées comme des destinataires si elles reçoivent des données à caractère personnel qui sont nécessaires pour mener une enquête particulière dans l'intérêt général, conformément au droit de l'Union ou au droit d'un État membre. Les demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l'intégralité d'un fichier ni conduire à l'interconnexion de fichiers. Le traitement des données à caractère personnel par les autorités publiques en question devrait être effectué dans le respect des règles applicables en matière de protection des données en fonction des finalités du traitement.

(34) Les données génétiques devraient être définies comme les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique, résultant de l'analyse d'un échantillon biologique de la personne physique en question, notamment une analyse des chromosomes, de l'acide désoxyribonucléique (ADN) ou de l'acide ribonucléique (ARN), ou de l'analyse d'un autre élément permettant d'obtenir des informations équivalentes.

Afficher les considérants de la Directive 95/46 liés à l'article 4 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 4 keyboard_arrow_up

 a. (26) considérant que les principes de la protection doivent s'appliquer à toute information concernant une personne identifiée ou identifiable; que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de la protection ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable; que les codes de conduite au sens de l'article 27 peuvent être un instrument utile pour fournir des indications sur les moyens par lesquels les données peuvent être rendues anonymes et conservées sous une forme ne permettant plus l'identification de la personne concernée;

b. (27) considérant que la protection des personnes doit s'appliquer aussi bien au traitement de données automatisé qu'au traitement manuel; que le champ de cette protection ne doit pas en effet dépendre des techniques utilisées, sauf à créer de graves risques de détournement; que, toutefois, s'agissant du traitement manuel, la présente directive ne couvre que les fichiers et ne s'applique pas aux dossiers non structurés; que, en particulier, le contenu d'un fichier doit être structuré selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel; que, conformément à la définition figurant à l'article 2 point c), les différents critères permettant de déterminer les éléments d'un ensemble structuré de données à caractère personnel et les différents critères régissant l'accès à cet ensemble de données peuvent être définis par chaque État membre; que les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés n'entrent en aucun cas dans le champ d'application de la présente directive;

Le GDPR

Avertissement : les définitions de l’article 4 sont commentées dans la disposition du Règlement qui nous est apparue comme la plus éclairante quant à son contenu. D’autres dispositions utilisent les concepts définis au présent article. Elles peuvent être identifiées en insérant le concept comme mot-clé.

1) données à caractère personnel (cfr. article 2).

2) traitement (cfr. article 2).

 3) Limitation du traitement (cfr. article 18).

4) profilage (cfr. article 22).

5) pseudonymisation (cfr. article 25).

6) fichier (cfr. art. 2).

7) responsable du traitement (cfr. article 3).

8) sous-traitant (cfr. article 28).

9) destinataire (cfr. article 13).

10) tiers (cfr. article 6).

11) consentement de la personne concernée (cfr. article 7).

12) violation de données à caractère personnel (cfr. article 33).

13) données génétiques (cfr. article 9).

14) données biométriques (cfr. article 9).

15) données concernant la santé (cfr. article 9).

16) établissement principal du responsable (cfr. article 56).

17) représentant (cfr. article 27).

18) entreprise (cfr. article 47).

19) groupe d’entreprises (cfr. article 47).

20) règles d’entreprise contraignantes (cfr. article 47).

21) autorité de contrôle (cfr. article 51).

22) autorité de contrôle concernée (article 60).

23) traitement transnational (cfr. article 56).

24) objection pertinente et motivée (cfr. article 60).

25) service de la société de l’information (cfr. article 8).

26) organisation internationale (cfr. article 44).

La Directive

Définitions

Difficultés probables ?

On ne voit pas a priori de difficultés particulières d'implémentation

Sommaire

Union Européenne

Belgique

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices sur l'autorité de contrôle chef de file - wp244rev.01 (5 avril 2017)

(Approuvées par le CEPD)

Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.

L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.

Lien

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 - wp250rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]2. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue commeun outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative à l'autorité de contrôle de chef de file - n° 04/2016 (19 décembre 2016)

1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.

Lien

Recommandation relative au traitement de données biométriques - n°01/2021 (1er décembre 2021)

Les données biométriques sont les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. Les citoyens sont de plus en plus souvent confrontés au traitement de données biométriques sur leurs smartphones ou leurs tablettes mais aussi par les autorités publiques et par des entreprises privées. Conformément à l’article 9.1 du RGPD, les données biométriques constituent une catégorie particulière de données à caractère personnel, et ce contrairement à la situation antérieure à l’entrée en vigueur du RGPD.

Ce sont des données à caractère personnel qui, par leur nature, sont particulièrement sensibles car leur traitement peut comporter des risques significatifs pour les libertés et droits fondamentaux des personnes. En vertu de l’article 9.1 du RGPD, le traitement de données biométriques est donc interdit, à moins que le responsable du traitement puisse légitimement invoquer l’un des motifs d’exception énumérés de manière limitative à l’article 9.2 du RGPD. Ce sont notamment ce changement de qualification juridique de la notion de données biométriques et l’augmentation considérable de processus de traitement biométriques dans le quotidien qui ont incité le Centre de Connaissances de l’Autorité de protection des données (ci-après : le Centre de Connaissances) à s’exprimer sur ce sujet.

La recommandation vise principalement à accompagner les responsables du traitement et les sous-traitants afin de leur permettre d’interpréter et d’appliquer correctement les règles du RGPD en matière de traitement de données biométriques. Il convient toutefois de faire remarquer dans ce contexte que la recommandation ne s’applique pas au traitement de données biométriques réalisé par des autorités compétentes au sens de la Directive Police-Justice. En outre, la présente recommandation entend inviter le législateur à prévoir une base légale pour le traitement de données biométriques.

Dans un premier temps, la présente recommandation explique en détail au Chapitre II le cadre juridique du traitement visé. Une attention particulière est notamment accordée aux notions de ‘données à caractère personnel’, ‘traitement de données à caractère personnel’, ‘responsable du traitement’ et ‘sous-traitant’. La recommandation fournit ensuite des explications sur la portée concrète de la notion de ‘traitement de données biométriques’. Une bonne compréhension de la terminologie utilisée est en effet fondamentale avant de pouvoir appliquer les principes de protection des données au traitement de données biométriques.

Le Chapitre III traite ensuite des principes pertinents de protection des données dans le cadre du traitement de données biométriques. Dans ce cadre, une attention particulière est consacrée au choix d’une base juridique correcte (motif d’exception), à la définition correcte des finalités du traitement, à l’exigence de proportionnalité, à la sécurité du traitement, au principe de limitation de la conservation, à l’obligation de transparence et à l’obligation (éventuelle) de réaliser une analyse d’impact relative à la protection des données.

Cette analyse, en particulier en ce qui concerne le recours à une base juridique ou à un motif d’exception qui justifie le traitement de données biométriques, nous apprend qu’actuellement, il existe une lacune en droit belge de sorte que tout traitement de données biométriques dans le cadre de l’authentification de personnes, dans la mesure où l’on ne peut pas recourir au consentement explicite et à l’exception du traitement de données biométriques dans le cadre de l’eID (carte d’identité électronique) et du passeport, a lieu sans base juridique. Cela signifie concrètement que le législateur belge devra définir dans la loi les modalités du traitement de données biométriques dans la mesure où il veut (continuer à) autoriser l’utilisation de données biométriques dans un contexte déterminé.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-101/01 (6 novembre 2003) - Bodil Lindqvist

1) L'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .

2) Un tel traitement de données à caractère personnel ne relève d'aucune des exceptions figurant à l'article 3, paragraphe 2, de la directive 95/46.

3) L'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46.

4) Il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d'une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.

5) Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d'expression ou à d'autres droits et libertés applicables dans l'Union européenne et correspondant notamment à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales chargées d'appliquer la réglementation nationale transposant la directive 95/46 d'assurer un juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par l'ordre juridique communautaire.

6) Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.

Lien

C-342/12 (30 mai 2013) - Worten

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.

2)      Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.

Arrêt rendu

C-131/12 (13 mai 2014) - Google Spain et Google

1)      L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).

2)      L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.

3)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

4)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Conclusions de l'Avocat général

Arrêt rendu 

C-683/13 (19 juin 2014) - Pharmacontinente - Saúde e Higiene and Others

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.

2)      Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail.

3)      Il incombe à la juridiction de renvoi d’examiner si l’obligation, pour l’employeur, de fournir à l’autorité nationale compétente en matière de surveillance des conditions de travail un accès au registre du temps de travail de façon à en permettre la consultation immédiate peut être considérée comme nécessaire aux fins de l’exercice par cette autorité de sa mission de surveillance, en contribuant à une application plus efficace de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail, et, dans l’affirmative, si les sanctions infligées en vue d’assurer l’application effective des exigences posées par la directive 2003/88/CE du Parlement européen et du Conseil, du 4 novembre 2003, concernant certains aspects de l’aménagement du temps de travail, respectent le principe de proportionnalité.

Arrêt rendu

C-141/12 ; C-372/12 (17 juillet 2014) - YS and Others ; M and  S

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2)      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3)      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

C-582/14 (19 octobre 2016) - Breyer

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.

2)      L’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux‑ci.

Conclusions de l'Avocat général 

Arrêt rendu

C 434/16 (20 décembre 2017) - Nowak

L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, dans des conditions telles que celles en cause au principal, les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur relatives à ces réponses constituent des données à caractère personnel, au sens de cette disposition.

Conclusions de l'avocat général

Arrêt rendu

C-210/16 (5 juin 2018) - Wirtschaftsakademie Schleswig-Holstein

L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

Conclusions de l'avocat général

Arrêt rendu

C-25/17 (10 juillet 2018) - Jehovan todistajat

 1.  L’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.

2.  L’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.

Conclusions de l'avocat général

Arrêt rendu 

C-345/17 (14 février 2019) - Buivids

1)      L’article 3 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que relèvent du champ d’application de cette directive l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci.

2)      L’article 9 de la directive 95/46 doit être interprété en ce sens que des circonstances de fait telles que celles de l’affaire au principal, à savoir l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci, peuvent constituer un traitement de données à caractère personnel aux seules fins de journalisme, au sens de cette disposition, pour autant qu’il ressorte de ladite vidéo que ledit enregistrement et ladite publication ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées, ce qu’il incombe à la juridiction de renvoi de vérifier.

Lien

C-40/17 (29 juillet 2019) - Fashion ID

1.      Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel.

2.      Le gestionnaire d’un site Internet, tel que Fashion ID GmbH & Co. KG, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.

3.      Dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.

4.      L’article 2, sous h), et l’article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire, l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.

Conclusions de l'Avocat général

Arrêt rendu

C‑673/17 (1er octobre 2019) - Planet49

1.      L’article 2, sous f), et l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l’article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi qu’avec l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que le consentement visé à ces dispositions n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

2.      L’article 2, sous f), et l’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l’article 2, sous h), de la directive 95/46 ainsi qu’avec l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement 2016/679, ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679.

3.      L’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

Conclusions de l'Avocat général

Arrêt rendu

C-272/19 (9 juillet 2020) - VQ c. Land Hessen,

 

L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui‑ci.

Arrêt rendu

C-61/19 (11 novembre 2020) - Orange Romania SA

L’article 2, sous h), et l’article 7, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétés en ce sens qu’il appartient au responsable du traitement des données de démontrer que la personne concernée a, par un comportement actif, manifesté son consentement au traitement de ses données à caractère personnel et qu’elle a obtenu, préalablement, une information au regard de toutes les circonstances entourant ce traitement, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples, lui permettant de déterminer facilement les conséquences de ce consentement, de sorte qu’il soit garanti que celui-ci soit donné en pleine connaissance de cause. Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque

 
 
  • la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque
 
  • les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque
 
  • le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.

Conclusions de l'Avocat général

Arrêt rendu

C-439/19 (22 juin 2021) - Latvijas Republikas Saeima

1)      L’article 10 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il s’applique au traitement des données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières.

2)      Les dispositions du règlement (UE) 2016/679, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui fait obligation à l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données accessibles au public, sans que la personne demandant l’accès ait à justifier d’un intérêt spécifique à obtenir lesdites données.

3)      Les dispositions du règlement (UE) 2016/679, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui autorise l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières à communiquer ces données à des opérateurs économiques à des fins de réutilisation.

4)      Le principe de primauté du droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce que la juridiction constitutionnelle d’un État membre, saisie d’un recours contre une législation nationale qui s’avère, à la lumière d’une décision de la Cour rendue sur renvoi préjudiciel, incompatible avec le droit de l’Union, décide, en application du principe de sécurité juridique, que les effets juridiques de cette législation soient maintenus jusqu’à la date de prononcé de l’arrêt par lequel elle statue définitivement sur ce recours constitutionnel.

Lien

C‑659/22, RK contre Ministerstvo Zdravotnictvi, (5 octobre 2023)

La notion de « traitement » de données à caractère personnel, visée à l’article 4, point 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprétée en ce sens que :

elle inclut la vérification, au moyen d’une application mobile nationale, de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement (UE) 2021/953 du Parlement européen et du Conseil, du 14 juin 2021, relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19, et utilisés par un État membre à des fins nationales.

Arrêt rendu

C-683/21, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos contre Valstybinė duomenų apsaugos inspekcija, (5 décembre 2023)

1)      L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.

2)      L’article 4, point 7, et l’article 26, paragraphe 1, du règlement 2016/679

doivent être interprétés en ce sens que :

la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement des données à caractère personnel en cause ni l’existence d’un accord qui fixe les conditions relatives à la responsabilité conjointe du traitement.

3)      L’article 4, point 2, du règlement 2016/679

doit être interprété en ce sens que :

constitue un « traitement », au sens de cette disposition, l’utilisation de données à caractère personnel aux fins d’essais informatiques d’une application mobile, à moins que de telles données n’aient été rendues anonymes de telle sorte que la personne concernée par ces données n’est pas ou n’est plus identifiable ou qu’il ne s’agisse de données fictives qui ne se rapportent pas à une personne physique existante.

4)      L’article 83 du règlement 2016/679

doit être interprété en ce sens que :

d’une part, une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article et,

d’autre part, une telle amende peut être imposée à un responsable du traitement au regard des opérations de traitement de données à caractère personnel effectuées par un sous-traitant pour le compte de celui-ci, sauf si, dans le cadre de ces opérations, ce sous-traitant a effectué des traitements pour des finalités qui lui sont propres ou a traité ces données de manière incompatible avec le cadre ou les modalités du traitement tels qu’ils avaient été déterminés par le responsable du traitement ou d’une façon telle qu’il ne saurait être raisonnablement considéré que ce responsable y aurait consenti.

Conclusions de l'Avocat général

Arrêt rendu

C‑231/22, État belge contre Autorité de protection des données (11 janvier 2024​)

1)      L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le service ou l’organisme chargé du Journal officiel d’un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d’une autorité judiciaire qui les lui adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel.

2)      L’article 5, paragraphe 2, du règlement 2016/679, lu en combinaison avec l’article 4, point 7, et l’article 26, paragraphe 1, de celui-ci,

doit être interprété en ce sens que :

le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », au sens de l’article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l’article 5, paragraphe 1, de celui‑ci en ce qui concerne les opérations de traitement des données à caractère personnel qu’il est tenu d’effectuer en vertu du droit national, à moins qu’une responsabilité conjointe avec d’autres entités au regard de ces opérations ne découle de ce droit.

Conclusions de l'avocat général

Arrêt Rendu

Retour au sommaire

Belgique

Jurisprudence belge

Cass. Be., P.16.1110.F (22 février 2017)

1. Le fichier est défini comme tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ; en application de la loi du 11 décembre 1998, la structure des données à caractère personnel doit permettre leur accessibilité selon des critères déterminés en telle sorte que ce ne sont pas les dossiers eux-mêmes, ni les contrats qui doivent faire l’objet d’une organisation ou d’une structuration mais les données qu’ils contiennent. (L. du 8 décembre 1992 ou « L. LVP », art. 1er)

2. Le niveau d’accessibilité à atteindre pour répondre à la qualification de fichier relève, en l’absence de prescription légale, de l’appréciation du juge du fond. (L. LVP, art. 1er)

3. En l’occurrence, le juge du fond considère que (i) ce sont les données à caractère personnel qui doivent faire l’objet d’un traitement au sein d’un fichier et (ii) qu’un contrat liant la banque à son client ne constitue pas un fichier au sens de la L. LVP. Par ces considérations, les juges d’appel n’ont pas confondu les notions de « données à caractère personnel », « traitement » et de « fichier » définies à l’article 1er de la L. LVP ni méconnu le champ d’application de ladite loi (art. 3). La Cour de cassation confirme la décision prise par la Cour d’appel en ce qu’elle conclut à la non-application de la L. LVP en l’absence de « fichier ». En outre, la Cour de cassation estime que les juges d’appel n’ont pas restreint le droit d’accès du demandeur lorsqu’ils ont considéré que les informations fournies par la banque étaient suffisantes à déduire qu’aucune opération n’avait été réalisée au moyen de la carte de crédit.

Arrêt rendu

C. const. Be., n°49/2019 (4 avril 2019)

1. Conformément à l’article 40, § 8, alinéa 5, de la loi du 27 juin 1969, l’ONSS est considéré comme le responsable du traitement de ces données personnelles échangées dans le cadre de la plateforme de recouvrement. Ceci suppose que l’ONSS est tenu, en tant que responsable du traitement, de respecter non seulement les obligations imposées par la loi du 30 juillet 2018, mais aussi celles qui sont prévues par le RGPD.

2. Il en découle également que le concessionnaire auquel la mission de service public de recouvrement des créances de l’ONSS a été déléguée est, en qualité de sous-traitant, également tenu de respecter les obligations qui étaient imposées par la loi du 8 décembre 1992, dont le principe de finalité et de proportionnalité consacré par l’article 4 de cette loi et repris dans l’article 5 du RGPD.

3. Tant le responsable du traitement que le sous-traitant sont tenus de prendre des mesures techniques et organisationnelles appropriées pour garantir la protection des données à caractère personnel (articles 24 et 28 du RGPD).

Arrêt rendu

C. const. Be., n°144/2020 (12 novembre 2020)

1. En ce qu’il permet au gestionnaire de réseau de distribution de traiter les informations issues des compteurs d’électricité intelligents uniquement pour réaliser ses « missions légales ou réglementaires », l’article 35septies, § 2, alinéa 2, du décret du 12 avril 2001 n’autorise pas le gestionnaire de réseau de distribution à traiter des données personnelles en dehors des hypothèses limitatives de l’article 6 du RGPD. En effet, en vertu de l’article 6, paragraphe 1, c), du RGPD, le traitement des données personnelles est licite s’il est nécessaire au respect d’une « obligation légale ». Ce renvoi « au respect d’une obligation légale » ne signifie pas que cette obligation doit nécessairement s’inscrire dans une « loi » au sens formel du terme, étant donné que le renvoi se situe dans une norme européenne. Ainsi, le renvoi à une « obligation légale » se borne à faire référence à toute obligation découlant d’une norme de l’ordre juridique de l’Union ou de l’État membre, comme le confirme l’article 6, paragraphe 3, du RGPD qui dispose que « le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis ».

En conséquence, le fait que le gestionnaire de réseau peut, conformément à l’article 35septies, § 2, alinéa 2, précité, traiter des données personnelles pour réaliser ses missions légales ou réglementaires n’entraîne aucune violation de l’article 6, paragraphe 1, c), du RGPD.

2. En permettant au gestionnaire de réseau de distribution de conserver des données personnelles issues des compteurs d’électricité intelligents au-delà d’une durée de cinq ans lorsqu’il y est obligé pour réaliser ses « missions », l’article 35septies, § 2, alinéa 3, du décret du 12 avril 2001 s’inscrit dans le droit fil de l’article 17, paragraphe 3, b), du RGPD. En effet, les « missions » auxquelles il est fait référence dans cette disposition décrétale visent les missions d’intérêt général qui sont attribuées par voie légale ou réglementaire au gestionnaire de réseau de distribution, sans qu’il soit nécessaire de les énumérer exhaustivement. Ainsi, si un traitement des données personnelles, qui peut entraîner la conservation de ces données, est nécessaire pour réaliser une mission légale ou réglementaire du gestionnaire de réseau de distribution, le droit à l’effacement ne peut pas s’exercer pendant le temps limité à l’exercice de cette mission, sans que cela ne viole l’article 5, paragraphe 1, e), ni l’article 17, paragraphe 1, du RGPD.

3. La notion de « sous-traitant » dans l’article 35septies, § 3, du décret du 12 avril 2001, n’est ni floue, ni plus étendue que celle qui est contenue dans le RGPD. Il est clair que le « sous-traitant » visé par l’article 35septies, § 3, précité, est celui qui opère, au nom et pour le compte du gestionnaire de réseau de distribution, un traitement des données personnelles dans le cadre de l’exécution d’une ou de plusieurs missions légales et réglementaires confiées à ce dernier. En effet, en vertu du paragraphe 2, alinéa 2, de l’article 35septies, le gestionnaire de réseau de distribution peut uniquement traiter les données personnelles issues des compteurs d’électricité intelligents pour réaliser ses missions légales ou réglementaires ou pour réaliser toute autre mission légitime pour laquelle le consentement des personnes concernées a été donné de manière libre et explicite pour des finalités spécifiques. Le traitement de données par un sous-traitant qui agit au nom et pour le compte du gestionnaire de réseau de distribution doit se situer dans ce même cadre, c’est-à-dire dans le cadre précis de l’exécution des missions dont le gestionnaire de réseau de distribution est investi par la loi ou le règlement.

Arrêt rendu

C. const. Be., n°162/2020 (17 décembre 2020)

1. L’article 24ter, § 4, alinéa 3, de l’ordonnance du 19 juillet 2001, et l’article 18ter, § 4, alinéa 3, de l’ordonnance du 1er avril 2004, en ce qu’ils permettent au gestionnaire du réseau de distribution de traiter les informations issues des compteurs intelligents uniquement pour réaliser ses « missions légales ou réglementaires », n’autorisent pas le gestionnaire du réseau de distribution de traiter des données personnelles en dehors des hypothèses limitatives de l’article 6 du RGPD. En effet, en vertu de l’article 6, paragraphe 1, c), du RGPD, le traitement des données personnelles est licite s’il est nécessaire au respect d’une « obligation légale ». Ce renvoi « au respect d’une obligation légale » ne signifie pas que cette obligation doit nécessairement s’inscrire dans une « loi » au sens formel du terme, étant donné que le renvoi se situe dans une norme européenne. Ainsi, le renvoi à une « obligation légale » se borne à faire référence à toute obligation découlant d’une norme de l’ordre juridique de l’Union ou de l’État membre, comme le confirme l’article 6, paragraphe 3, du RGPD qui dispose que « le fondement du traitement visé au paragraphe 1, points c) et e), est défini par : a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis ».

Le fait que le gestionnaire de réseau peut, conformément à l’article 24ter, § 4, alinéa 3, et à l’article 18ter, § 4, alinéa 3, précités, traiter des données personnelles pour réaliser ses missions légales ou réglementaires n’entraîne aucune violation de l’article 6, paragraphe 1, c), du RGPD.

2. En permettant au gestionnaire du réseau de distribution de conserver des données personnelles issues des compteurs d’électricité intelligents au-delà d’une durée de cinq ans pour autant que cela soit nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, mais avec un délai maximal de dix ans, l’article 24ter, § 4, alinéa 5, de l’ordonnance du 19 juillet 2001 s’inscrit dans le droit fil tant de l’article 5, paragraphe 1, e), que de l’article 17, paragraphe 1, a), du RGPD.

En effet, la durée de conservation des données personnelles est strictement limitée au temps nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ce qui correspond à l’exigence de l’article 5, paragraphe 1, e), du RGPD. Au-delà de ce délai, le gestionnaire de réseau ne peut plus conserver ces données, et la personne concernée peut obtenir l’effacement des données à caractère personnel la concernant, conformément à l’article 17, paragraphe 1, a), du même règlement. En outre, la disposition attaquée prévoit un délai maximal absolu de dix ans.

Ainsi, dès lors que la durée de conservation des données personnelles est strictement limitée au temps nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, le droit à l’effacement ne peut pas s’exercer pendant ce délai strictement limité à la réalisation de ces finalités, sans que cela ne constitue une violation de l’article 5, paragraphe 1, e), ni de l’article 17, paragraphe 1, du RGPD.

3. la notion de « société exploitante » employée dans l’article 24ter, § 4, alinéa 1er, de l’ordonnance du 19 juillet 2001 et dans l’article 18ter, § 4, alinéa 1er, de l’ordonnance du 1er avril 2004 n’est ni vague, ni incompatible avec le RGPD.

Il est clair que la notion de « société exploitante » employée par les dispositions attaquées vise celle qui, le cas échéant, se voit confier une ou plusieurs activités relatives au traitement des données à caractère personnel fournies par les compteurs intelligents, conformément à l’article 9 de l’ordonnance du 19 juillet 2001 ou à l’article 7 de l’ordonnance du 1er avril 2004. Tant le gestionnaire du réseau de distribution que ces éventuelles sociétés exploitantes, qu’elles agissent en qualité de « sous-traitant » ou de « responsable conjoint », ne pourront traiter les données personnelles issues des compteurs intelligents que pour réaliser les missions légales ou réglementaires du gestionnaire du réseau de distribution, dans le respect des garanties établies par les articles 24ter, § 4, et 18ter, § 4, précités.

Arrêt rendu

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

C. const. Be., n°3/2021 (14 janvier 2021)

1. La seule circonstance que le RGPD laisse une marge de manœuvre pour infliger ou non des amendes administratives aux autorités publiques, sans offrir cette même marge de manœuvre à l’égard des personnes privées, ne suffit pas à conclure que la première catégorie de personnes et la seconde catégorie de personnes ne seraient pas suffisamment comparables au regard de la législation relative aux données à caractère personnel.

Dès lors, d’une part, que la notion de « responsable de traitement » de données à caractère personnel, au sens de l’article 4, point 7, du RGPD, s’applique indistinctement au secteur privé et au secteur public et, d’autre part, que les données à caractère personnel qui sont traitées par les deux catégories de personnes peuvent être identiques quant à leur nature et qu’elles concernent des données relatives notamment à l’identité, à la santé et à la situation financière de personnes, les deux catégories visées sont suffisamment comparables.

2. L’imposition d’amendes administratives à des autorités publiques en charge d’une mission d’intérêt général est susceptible de mettre en péril l’exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché. Nonobstant l’obligation, découlant de l’article 83, paragraphe 2, du RGPD, pour l’Autorité de protection des données, de prendre en compte une série d’éléments concrets lors de son examen de l’opportunité d’infliger des amendes administratives, y compris la finalité d’intérêt général des missions exercées par le responsable de traitement, l’exonération de toute amende constitue une mesure pertinente par rapport aux objectifs poursuivis par le législateur.

Saisissant la faculté offerte par le droit européen d’exonérer certaines personnes publiques des amendes administratives, le législateur a pu raisonnablement estimer qu’il n’était pas nécessaire de soumettre au système des amendes administratives les autorités publiques et leurs préposés ou mandataires autres que les personnes morales de droit public qui offrent des biens ou des services sur un marché.

3. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

4. L’examen de la compatibilité de la disposition attaquée avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, avec l’article 16, paragraphe 1, du Traité sur le fonctionnement de l’Union européenne, avec le principe général d’égalité et de non-discrimination en droit de l’Union européenne, avec l’article 8 de la Convention européenne des droits de l’homme et avec les articles 83 et 84 du RGPD ne mène pas à une autre conclusion.

5. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

6. L’article 83, paragraphe 7, du RGPD, tel qu’il est appliqué par la disposition attaquée, n’a ni pour objet ni pour effet de faire obstacle au respect du droit primaire de l’Union européenne. La faculté offerte aux États membres d’exclure certaines autorités publiques du champ d’application des amendes administratives est fondée sur un critère objectif et n’est pas dénuée de justification raisonnable, étant donné qu’elle ne porte pas atteinte au pouvoir des autorités de contrôle de prendre des mesures correctrices conformément à l’article 58, paragraphe 2, du RGPD. Cette disposition ne peut dès lors être tenue pour invalide. Si elle limite le nombre de mesures coercitives permettant de garantir le respect du RGPD, elle ne porte pas atteinte, en soi, au droit à la protection de la vie privée et des données à caractère personnel.

Arrêt rendu

C. const. Be, 4 mars 2021, n°36/2021

En cause : le recours en annulation partielle de la loi du 7 mai 2019 « modifiant la loi du 7 mai 1999 sur les jeux de hasard, les paris, les établissements de jeux de hasard et la protection des joueurs, et insérant l’article 37/1 dans la loi du 19 avril 2002 relative à la rationalisation du fonctionnement  et  de  la  gestion  de  la  Loterie  Nationale »,  introduit  par l’ASBL « UBA-BNGO » et autres.

1. La Commission des jeux de hasard qui, dans le cadre du contrôle visé par la loi attaquée, sélectionne et traite les antécédents, est tenue de respecter les dispositions du RGPD et de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » (ci-après : « la loi du 30 juillet 2018 »).

2. Par ailleurs, la loi du 30 juillet 2018 s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnelcontenues ou appelées à figurer dans un fichier (article 2,alinéa1er) et au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge (article 4, alinéa 1er).

3. Du fait de l’applicabilité directe du RGPD dans la législation interne et de l’existence de la loi du 30 juillet 2018, le texte même des dispositions attaquées ne doit plus mentionner explicitement les conditions et obligations requises.

4. L’enquête d’antécédents qui sert à contrôler qu’il est satisfait à la condition que le demandeur de licence soit d’une conduite qui répond aux exigences de la fonction poursuit un but légitime et n’entraîne pas une ingérence disproportionnée dans le droit au respect de la vie privée, tel qu’il est garanti par les dispositions nationales et internationales précitées.

Arrêt rendu

Cass. Be., C.20.0323.N (7 octobre 2021)

La Cour de cassation au contraire a reconnu qu’une personne concernée a le droit au traitement minimal de ses données en vue d’obtenir un service, et que celle-ci peut porter plainte si un service lui a été refusé car elle n’a pas consenti à un traitement qu’elle estime litigieux, et ce même si ses données n’ont pas été effectivement traitées.

Arrêt rendu(néerl)

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°97-81.748 (24 septembre 1998)

L'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'interdit pas de faire état d'informations diffusées par des systèmes informatiques rassemblant des données qui n'ont pas été traitées de manière à donner une définition du profil ou de la personnalité de l'intéressé. Ainsi, les juges peuvent comparer l'activité réelle d'un masseur-kinésithérapeute à l'activité moyenne de l'ensemble des masseurs-kinésithérapeutes définie par des statistiques établies aux niveaux national, régional et départemental, dès lors que ces informations ne sont pas nominatives.

Arrêt rendu

CE Fr., n°240023 (4 février 2004)

Si les dispositions de l'article 2 de la loi du 6 janvier 1978 font obstacle à ce qu'une juridiction saisie d'un litige dont la solution suppose l'appréciation d'un comportement humain fonde sa décision sur les seuls résultats d'un traitement automatisé d'informations, elles n'ont en revanche ni pour objet ni pour effet de lui interdire de prendre en compte, parmi d'autres éléments d'appréciation, les résultats d'un tel traitement.

Arrêt rendu

CE Fr., n°210412 (30 juin 2000)

a) La collecte des données individuelles concernant les cas de maladies visées à l'article L. 11 du code de la santé publique, en vue de leur transmission à l'autorité sanitaire, dont les modalités sont fixées par le décret du 6 mai 1999, constitue un traitement de données à caractère personnel au sens de la directive.

b) Le choix est laissé aux Etats membres de faire procéder à l'examen préalable des traitements qu'ils identifient comme présentant des risques particuliers, soit à la suite de leur notification à l'autorité de contrôle soit, plus tôt, lors de l'élaboration de la loi ou du règlement d'application qui définit la nature du traitement ainsi que les droits et garanties qui y sont attachés.

c) En prévoyant, aux quatrième et cinquième alinéas de l'article R. 11-3 au code de la santé publique, d'une part, "qu'à la demande du médecin destinataire du signalement, le déclarant est tenu de lui fournir toute information nécessaire à la mise en œuvre des mesures d'investigation et d'intervention, y compris l'identité et l'adresse du patient", d'autre part, que "ces informations peuvent être transmises à d'autres professionnels lorsque leur intervention est indispensable pour la mise en œuvre des mesures de prévention individuelle et collective", le gouvernement n'a pas excédé les limites de l'habilitation reçue du législateur, qui l'invitait au contraire, pour les maladies figurant au 1) de l'article L. 11, à concilier le principe de l'anonymat avec la nécessité de protéger la santé publique dans les cas où celle-ci requiert une intervention urgente. La règle qu'il a édictée, en la complétant au même article R. 11-3 de la précaution selon laquelle les informations ainsi communiquées ne sont conservées que "le temps nécessaire à l'intervention ou à l'investigation", est proportionnée à l'objectif poursuivi.

Arrêt rendu

Cass. Fr., n°04-80.048 (16 mars 2004)

Il résulte de l'arrêt attaqué et des pièces de la procédure que, pour les besoins d'une enquête préliminaire portant sur des faits de vols aggravés auxquels se seraient livrés des individus d'origine roumaine, les services de gendarmerie ont regroupé sous forme de tableaux des informations obtenues tant d'un officier d'état civil que d'un témoin, à partir desquels ils ont, dans un procès-verbal de synthèse, dégagé les liens existant entre des personnes, des véhicules et des domiciles ;

L'utilisation d'un appareillage informatique ne suffit pas, à elle seule, à caractériser un traitement automatisé au sens de l'article 5 de la loi "informatique et libertés", et que rien ne permet de retenir que les informations collectées aient fait l'objet d'un traitement automatisé, ni même qu'elles aient été conservées au-delà de leur édition sur support papier.

Arrêt rendu

Cass. Fr., n°08-84-088 (13 janvier 2009)

Ne constituent pas un traitement de données à caractère personnel relatives à des infractions, au sens des articles 2, 9 et 25 de la loi n° 78-17 du 6 janvier 1978, les constatations visuelles effectuées sur Internet et les renseignements recueillis en exécution de l'article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons.

Arrêt rendu

CE Fr., n°323694 (26 novembre 2010)

Les dispositions de l'article R. 53-8-59 du code de procédure pénale (CPP), qui se bornent à prévoir, pour chaque personne retenue, la tenue d'un dossier individuel par le service administratif du greffe du centre socio-médico-judiciaire, accessible à des personnes limitatives énumérées, n'ont, par elles-mêmes, ni pour objet ni pour effet d'autoriser un traitement automatisé de données à caractère personnel. Les informations figurant dans ce dossier individuel ne constituent pas davantage un ensemble structuré et stable de données accessibles selon des critères déterminés, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978, susceptibles à ce titre d'être regardées comme donnant lieu à un traitement non automatisé de données personnelles contenues ou appelées à figurer dans un fichier, au sens du même article.

Arrêt rendu

Cass. Fr., n°10-81.748 (30 novembre 2011)

Le premier président retient, à bon droit, que les dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont inapplicables, dès lors que l'exécution d'une opération de visite et saisie, autorisée par le juge des libertés et de la détention, est réalisée sous son contrôle et son déroulement est susceptible d'un recours devant le premier président.

Arrêt rendu

Cass. Fr., n°11-26.099 (23 avril 2013)

1. Seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la CNIL.

2. Une simple mise à jour d'un logiciel de traitement de données à caractère personnel n'entraîne pas l'obligation pour le responsable du traitement de procéder à une nouvelle déclaration.

3. Doit être cassé l'arrêt qui retient que les données à caractère personnel enregistrées par les salariés étaient nominatives en sorte que la modification du traitement des données devait être préalablement déclarée à la CNIL sans rechercher si le passage d'un logiciel à un autre n'avait pas consisté en une simple mise à jour qui ne nécessitait pas une nouvelle déclaration.

Arrêt rendu

Cass. Fr., n°13-14.991 (8 octobre 2014)

Constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL.

Encourt la cassation l'arrêt qui, pour retenir la faute du salarié, se fonde uniquement sur des éléments de preuve obtenus à l'aide d'un tel système alors que l'illicéité d'un moyen de preuve doit entraîner son rejet des débats.

Arrêt rendu

CE Fr. n°353717 (23 mars 2015)

1. Il résulte des dispositions des articles 2 et 38 de la loi n°78-17 du 6 janvier 1978 que la mise en ligne sur le réseau internet d'une base de données de jurisprudence non totalement anonymisée doit être regardée comme un traitement automatisé de données à caractère personnel au sens de la loi du 6 janvier 1978, auquel s'applique le droit d'opposition qu'elle ouvre aux personnes concernées.

2. Il ne résulte ni des dispositions de l'article 46 de la loi n° 78-17 du 6 janvier 1978 ni de celles des articles 75 et 76 du décret n° 2005-1309 du 20 octobre 2005 que le délai ouvert au responsable du traitement pour formuler des observations écrites en réponse au rapport qui lui a été notifié par la CNIL doive être cumulé avec celui dans lequel il est informé de la date de la séance de la commission à l'ordre du jour de laquelle est inscrite l'affaire qui le concerne.

Arrêt rendu

CE Fr., n°386525 (8 juin 2016)

Il résulte des dispositions des articles 2 et 39 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qu'elles ne prévoient la communication des données à caractère personnel qu'à la personne concernée par ces données. Des personnes ne peuvent, en leur seule qualité d'ayants droit de la personne à laquelle se rapportent les données, être regardées comme des personnes concernées.

Arrêt rendu

Cass. Fr., n°15-22.595 (3 novembre 2016)

Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la CNIL.

Arrêt rendu

CE Fr., n°399446 (7 juin 2017)

1. Il résulte des dispositions des articles 2 et 39 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, que la communication de données à caractère personnel n'est possible qu'à la personne concernée par ces données. Par suite, la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de personne concernée par leur traitement au sens de ces dispositions.

2. Toutefois, lorsque la victime d'un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l'article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des personnes concernées au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée.

Arrêt rendu

CE Fr., n°433069 (16 octobre 2019)

1. Les avis, recommandations, mises en garde et prises de position adoptés par les autorités de régulation dans l'exercice des missions dont elles sont investies, peuvent être déférés au juge de l'excès de pouvoir lorsqu'ils revêtent le caractère de dispositions générales et impératives ou lorsqu'ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance. Ces actes peuvent également faire l'objet d'un tel recours, introduit par un requérant justifiant d'un intérêt direct et certain à leur annulation, lorsqu'ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent.

2. L'acte révélé par deux communiqués de presse qui présentent le plan d'actions élaboré par la CNIL dans le domaine du ciblage publicitaire en ligne constitue une prise de position publique de la commission quant au maniement des pouvoirs dont elle dispose, en particulier en matière répressive, pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs. Elle doit être regardée comme ayant pour objet d'influer sur le comportement des opérateurs auxquels elle s'adresse et comme étant de nature à produire des effets notables tant sur ces opérateurs que sur les utilisateurs et abonnés de services électroniques. Compte tenu de leur objet social qui est la défense des libertés sur internet et la protection de la confidentialité des données personnelles, elle fait grief aux associations requérantes qui sont recevables à en demander l'annulation.

3. Pour l'application des articles 8 et 20 de loi n° 78-17 du 6 janvier 1978, la CNIL dispose, s'agissant de l'usage des prérogatives qui lui ont été conférées pour l'accomplissement de ses missions, d'un large pouvoir d'appréciation, en particulier pour ce qui concerne l'exercice de son pouvoir de sanction, que ce soit pour apprécier l'opportunité d'engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu'elle peut recevoir. A cet égard, la CNIL peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. Il lui est loisible, dans ce domaine comme dans tout autre domaine relevant de ses attributions, de rendre publiques les orientations qu'elle a arrêtées pour l'exercice de ses pouvoirs. Il s'ensuit que la CNIL n'a pas méconnu l'étendue de sa compétence en élaborant un plan d'actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu'elle a prise quant à l'usage de ses pouvoirs, notamment de sanction, afin d'atteindre les objectifs qu'elle a définis.

4. a) S'il est vrai que la CNIL a laissé aux opérateurs, dans le cadre de ce plan d'actions, une période d'adaptation, s'achevant six mois après la publication de cette recommandation, durant laquelle elle annonce que la poursuite de la navigation comme expression du consentement n'entraînera pas la mise en mouvement de son pouvoir répressif, il ressort des pièces du dossier que la fixation d'un tel délai a pour objet de permettre, au plus tard à son terme, à l'ensemble des opérateurs de respecter effectivement les exigences résultant de l'article 4 du règlement n° 2016/679 du 27 avril 2016 (RGPD) et de l'article 82 de la loi du 6 janvier 1978. Il ressort des pièces du dossier qu'un tel choix permet à l'autorité de régulation d'accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d'apporter, sur le plan technique, les garanties qu'exige l'état du droit en vigueur, dans la réalisation de l'objectif d'une complète mise en conformité de l'ensemble des acteurs à l'horizon de l'été 2020. En outre, ainsi que la CNIL l'a rappelé dans la prise de position contestée, elle continuera à contrôler, durant cette période, le respect des règles relatives au caractère préalable du consentement, à la possibilité d'accès au service même en cas de refus et à la disponibilité d'un dispositif de retrait du consentement facile d'accès et d'usage. Dans ces conditions et au vu de l'ensemble des circonstances de l'espèce, la CNIL ne peut être regardée comme ayant commis une erreur manifeste d'appréciation en retenant de telles orientations pour l'exercice de ses pouvoirs.

b) L'acte attaqué, qui n'exclut pas que la CNIL puisse en tout état de cause faire usage de son pouvoir répressif en cas d'atteinte particulièrement grave au droit au respect de la vie privée protégé par l'article 7 de la charte des droits fondamentaux de l'Union européenne et l'article 8 de la Conv. EDH ainsi qu'au droit à la protection des données personnelles garanti par l'article 8 de cette charte, contribue à remédier à des pratiques ne respectant pas les exigences posées par l'article 4 du RGPD et l'article 82 de la loi du 6 janvier 1978, en fixant pour l'ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l'exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles doit être écarté.

5. Le juge de l'excès de pouvoir exerce un contrôle restreint à l'erreur manifeste d'appréciation sur les orientations retenues par la CNIL quant au maniement des pouvoirs dont elle dispose pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs.

Arrêt rendu

CE Fr., n°431350 (27 mars 2020)

1. a) Une mise en relation de deux traitements existants qui consiste à rapprocher des données conservées dans l'un et l'autre en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre constitue en elle-même un traitement au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978.

b) Le cadre juridique applicable à un tel traitement dépend de la finalité ainsi poursuivie.

2. a) Le traitement créé par le décret n° 2019-412 du 6 mai 2019 qui met partiellement en relation les traitements dénommés HOPSYWEB relatifs au suivi des personnes en soins psychiatriques sans consentement et le traitement dénommé fichier des signalements pour la prévention de la radicalisation à caractère terroriste a pour finalité la prévention de la radicalisation à caractère terroriste.

b) i) Il s'ensuit qu'il relève, au même titre que ce dernier, des seules dispositions applicables aux traitements intéressant la sûreté de l'Etat et la défense aujourd'hui regroupées au sein du titre IV de la loi n° 78-17 du 6 janvier 1978 ainsi que des dispositions communes à l'ensemble des traitements figurant aujourd'hui au titre I.

ii) Il ne relève dès lors pas du champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi du 6 janvier 1978 relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable.

Arrêt rendu

CE Fr., n°430810 (19 juin 2020)

1. Il résulte clairement du 7) de l'article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est, en tant qu'autorité chef de file, compétente pour contrôler le respect des exigences du RGPD.

a) Pour la détermination de l'autorité de contrôle compétente, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.

2. Dans l'hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en œuvre un traitement transfrontalier sur le territoire de l'Union, mais qu'il n'y dispose ni d'administration centrale, ni d'établissement doté d'un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l'autorité chef de file prévu à l'article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l'Etat membre dont elle relève, conformément à l'article 55 précité.

Arrêt rendu

CE Fr., n°434684 (19 juin 2020)

1. Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978, éclairée par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données.

En particulier, si l'éditeur d'un site qui dépose des cookies doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de cookies mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre.

Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

2. Il découle des dispositions de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre.

Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

3. Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n° 78-17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait être aussi facile de refuser ou de retirer son consentement que de le donner , s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

4. a) Il résulte de l'économie générale de la loi n° 78-17 du 6 janvier 1978 et, en particulier, de ses articles 8, 16, 20 et 82 que la Commission nationale de l'informatique et des libertés (CNIL) est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD).

5. a) La CNIL dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple.

b) Par suite, la CNIL était compétente pour adopter des lignes directrices applicables, de manière générale, aux cookies et autres traceurs de connexion.

La CNIL affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des cookies walls , qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi. En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posé par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 4

Aux fins du présent règlement, on entend par:

1) "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

2) "traitement", toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

3) "limitation du traitement", le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;

4) "profilage", toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

5) "pseudonymisation", le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

6) "fichier", tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

7) "responsable du traitement", la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;

8) "sous-traitant", la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

9) "destinataire", la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

10) "tiers", une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;

11) "consentement" de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

12) "violation de données à caractère personnel", une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;

13) "données génétiques", les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;

14) "données biométriques", les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

15) "données concernant la santé", les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;

16) "établissement principal",
a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal;
b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union ou, si ce sous-traitant ne dispose pas d'une administration centrale dans l'Union, l'établissement du sous-traitant dans l'Union où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;

17) "représentant", une personne physique ou morale établie dans l'Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l'article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;

18) "entreprise", une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

19) "groupe d'entreprises", une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

20) "règles d'entreprise contraignantes", les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe;

21) "autorité de contrôle", une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51;

22) "autorité de contrôle concernée", une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:
a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre de cette autorité de contrôle;
b) des personnes concernées résidant dans l'État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l'être; ou
c) une réclamation a été introduite auprès de cette autorité de contrôle;

23) "traitement transfrontalier",
a) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
b) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;

24) "objection pertinente et motivée", une objection quant à savoir s'il y a ou non violation du présent règlement ou si l'action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui établit clairement l'importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l'Union;

25) "service de la société de l'information", un service au sens de l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil1;

26) "organisation internationale", une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord.

Proposition 1 close

Aux fins du présent règlement, on entend par:

(1) «personne concernée»: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

(2) «données à caractère personnel»: toute information se rapportant à une personne concernée;

(3) «traitement de données à caractère personnel»: toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la destruction;

(4) «fichier»: tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

(5) «responsable du traitement»: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre;

(6) «sous-traitant»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

(7) «destinataire»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel;

(8) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

(9) «violation de données à caractère personnel»: une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière;

(10) «données génétiques»: toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal;

(11) «données biométriques»: toutes les données relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;

(12) «données concernant la santé»: toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne;

(13) «établissement principal»: en ce qui concerne le responsable du traitement, le lieu de son établissement dans l'Union où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; si aucune décision de ce type n’est prise dans l’Union, l’établissement principal est le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un responsable du traitement dans l’Union; en ce qui concerne le sous-traitant, on entend par «établissement principal» le lieu de son administration centrale dans l'Union;

(14) «représentant»: toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui agit en lieu et place de ce dernier et peut être contactée à sa place par les autorités de contrôle et d'autres entités dans l'Union, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement;

(15) «entreprise»: toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris, notamment, les personnes physiques et morales, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

(16) «groupe d'entreprises»: une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

(17) «règles d'entreprise contraignantes»: les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre de l’Union, aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises;

(18) «enfant»: toute personne âgée de moins de dix-huit ans;

 (19) «autorité de contrôle»: une autorité publique qui est instituée par un État membre

conformément aux dispositions de l'article 46.

Proposition 2 close

Aux fins du présent règlement, on entend par:

1) "données à caractère personnel": toute information concernant une personne physique identifiée ou identifiable ("personne concernée"); est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale

2 bis) (...)

3) "traitement de données à caractère personnel": toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés, et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion (…), ainsi que la limitation, l'effacement ou la destruction;

3 bis) "limitation du traitement": le marquage de données à caractère personnel enregistrées, en vue de limiter leur traitement futur;

3 ter) "pseudonymisation": le traitement de données à caractère personnel de telle façon qu'elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou identifiable(...).

4) "fichier": tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités (…) et les moyens du traitement de données à caractère personnel; lorsque les finalités (…) et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre;

6) "sous-traitant": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

7) "destinataire": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme (...) qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires;

8) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique et informée (…) par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

9) "violation de données à caractère personnel": une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière;

10) "données génétiques": toutes les données à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises, (...) et qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne, résultant en particulier d'une analyse d'un échantillon biologique de la personne en question;

11) "données biométriques": toutes les données à caractère personnel résultant d'un traitement technique spécifique relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;

12) "données concernant la santé": toute donnée relative à la santé physique ou mentale d'une personne physique qui révèle des informations sur l'état de santé de ladite personne;

12 bis) "profilage": toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels liés à une personne physique, notamment pour analyser et prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements;

12 ter) (...)

13) "établissement principal":

- en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités (...) et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union qui a le

pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris ces décisions est considéré comme l'établissement principal;

- en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union et, s'il ne dispose pas d'une administration centrale dans l'Union, l'établissement du sous-traitant dans l'Union où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'unétablissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;

14) "représentant": toute personne physique ou morale établie dans l'Union, (…) désignée par le responsable du traitement par écrit, conformément à l'article 25, qui représente ce dernier en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement (…);

15) "entreprise": toute personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris (…) les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

16) "groupe d'entreprises": une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

17) "règles d'entreprise contraignantes": les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un soustraitant établi sur le territoire d'un État membre de l'Union aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises ou d'un groupe d'entreprises engagées dans une activité économique conjointe;

18) (...)

19) "autorité de contrôle": une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 46;

19 bis) "autorité de contrôle concernée":

- une autorité de contrôle qui est concernée par le traitement:

a) parce que le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre de cette autorité de contrôle;

b) parce que des personnes concernées résidant dans cet État membre sont sensiblement affectées par le traitement ou susceptibles de l'être; ou

c) parce que la réclamation sous-jacente a été introduite auprès de cette autorité de contrôle;

19 ter) "traitement transnational de données à caractère personnel"

a) un traitement qui se déroule dans le cadre des activités, dans plusieurs États membres, d'établissements d'un responsable du traitement ou d'un sous-traitant dans l'Union qui est établi dans plusieurs États membres; ou

b) un traitement qui se déroule dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant dans l'Union, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;

19 quater)"objection pertinente et motivée": une objection quant à savoir s'il y a ou non violation du présent règlement ou, selon le cas, si l'action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant est conforme au règlement. L'objection doit établir clairement l'importance des risques que présente le projet de décision pour ce qui est des libertés et droits fondamentaux des personnes concernées et, le cas échéant, la libre circulation des données à caractère personnel;

20) "service de la société de l'information": tout service au sens de l'article 1er,paragraphe 2, de la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information;

21) "organisation internationale": une organisation internationale et ses organismes de droit public qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux ou plusieurs pays, ou dont la création est fondée sur un tel accord;

Directive close

Art. 2

Aux fins de la présente directive, on entend par:

a) «données à caractère personnel»: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b) «traitement de données à caractère personnel» (traitement): toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction;

c) «fichier de données à caractère personnel» (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

d) «responsable du traitement»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire;

e) «sous-traitement»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

f) «tiers»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;

g) «destinataire»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires;

h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 2

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

La présente loi s'applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, lorsque leur responsable remplit les conditions prévues à l'article 3 de la présente loi, à l'exception des traitements mis en œuvre par des personnes physiques pour l'exercice d'activités strictement personnelles ou domestiques.

Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Sauf dispositions contraires, dans le cadre de la présente loi s'appliquent les définitions de l'article 4 du règlement (UE) 2016/679 du 27 avril 2016.

 

Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 2

Version initiale

La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.

Art. 3

Version initiale

Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.

II. - Le destinataire d'un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.

Art. 35 al. 2

Version initiale

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Art. 2

Modifié par la loi n°2018-493 du 20 juin 2018

La présente loi s'applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.

Art. 3

Modifié par la loi n°2004-801 du 6 août 2004

I. - Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.

II. - Le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.

Art.35 al 2 et al 3

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

 

close