Article 5
Principes relatifs au traitement des données à caractère personnel

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 5 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 5 keyboard_arrow_up

(30) Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.

(50) Le traitement de données à caractère personnel pour d'autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s'il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n'est requise. Si le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, le droit de l'Union ou le droit d'un État membre peut déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait être considéré comme compatible et licite. Le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible. La base juridique prévue par le droit de l'Union ou le droit d'un État membre en ce qui concerne le traitement de données à caractère personnel peut également constituer la base juridique pour un traitement ultérieur. Afin d'établir si les finalités d'un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres: de tout lien entre ces finalités et les finalités du traitement ultérieur prévu; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l'utilisation ultérieure desdites données; la nature des données à caractère personnel; les conséquences pour les personnes concernées du traitement ultérieur prévu; et l'existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

(157) En combinant les informations issues des registres, les chercheurs peuvent acquérir de nouvelles connaissances d'un grand intérêt en ce qui concerne des problèmes médicaux très répandus tels que les maladies cardiovasculaires, le cancer et la dépression. Sur la base des registres, les résultats de la recherche peuvent être améliorés car ils s'appuient sur un échantillon plus large de population. Dans le cadre des sciences sociales, la recherche sur la base des registres permet aux chercheurs d'acquérir des connaissances essentielles sur les corrélations à long terme existant entre un certain nombre de conditions sociales telles que le chômage et l'éducation et d'autres conditions de vie. Les résultats de la recherche obtenus à l'aide des registres fournissent des connaissances fiables et de grande qualité qui peuvent servir de base à l'élaboration et à la mise en oeuvre d'une politique fondée sur la connaissance, améliorer la qualité de vie d'un certain nombre de personnes et renforcer l'efficacité des services sociaux. Pour faciliter la recherche scientifique, les données à caractère personnel peuvent être traitées à des fins de recherche scientifique sous réserve de conditions et de garanties appropriées prévues dans le droit de l'Union ou le droit des États membres.

Afficher les considérants de la Directive 95/46 liés à l'article 5 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 5 keyboard_arrow_up

 

a. (22) considérant que les États membres préciseront dans leur législation ou lors de la mise en oeuvre des dispositions prises en application de la présente directive les conditions générales dans lesquelles le traitement de données est licite; que, en particulier, l'article 5, en liaison avec les articles 7 et 8, permet aux États membres de prévoir, indépendamment des règles générales, des conditions particulières pour les traitements de données dans des secteurs spécifiques et pour les différentes catégories de données visées à l'article 8;

b. (28) considérant que tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l'égard des personnes concernées; qu'il doit, en particulier, porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies; que ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données; que les finalités des traitements ultérieurs à la collecte ne peuvent pas être incompatibles avec les finalités telles que spécifiées à l'origine;

c. (29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées; que ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne;

Le GDPR

On constate d’abord que le principe de loyauté et de licéité du traitement est complété par un principe de transparence.

La transparence implique que toute information adressée au public ou à la personne concernée doit être aisément accessible et facile à comprendre, et être formulée en termes simples et clairs, particulièrement en ce qui concerne les informations relatives à l’identité du responsable et aux finalités du traitement (cfr. le considérant 39.). Les obligations d’information à charge du responsable du traitement résultant du principe de transparence sont détaillées aux articles 12 et suivants du Règlement.

Une nouvelle exception est reconnue à l’interdiction de poursuite de finalités incompatibles avec la finalité initiale (art. 5, § 1er, b) : l’archivage dans l’intérêt public pour autant -comme pour les finalités de recherches historiques, statistiques et scientifiques- que ces traitements répondent aux conditions fixées par l’article 89 du Règlement. Le principe de l’interdiction est du reste maintenu malgré une tentative de l’assouplir un peu au vu des difficultés qu’il pose concernant les changements de finalités (cfr le commentaire de l’article 6).

L’article 5, § 1er, c) du Règlement précise que les données doivent être « limitées au minimum nécessaire au regard des finalités du traitement », alors que la Directive obligeait les responsables à ne traiter que des données « non excessives » au regard des finalités du traitement. Le Règlement consacre donc le principe de minimisation des données, selon seules les données à caractère personnel qui apparaissent nécessaires à la réalisation de la finalité peuvent être traitées. On retrouve en réalité une application classique d’une règle de proportionnalité.

S’agissant du principe de durée limitée de conservation des données, le point e) rappelle que les données permettant l’identification des personnes ne doivent pas être conservées au-delà du délai nécessaire à la réalisation des finalités du traitement. En d’autres termes, les données permettant l’identification des personnes concernées doivent être supprimées dès l’instant où elles ne sont plus nécessaires au traitement, sauf exception pour les finalités d’archivage dans l’intérêt public et de recherches scientifiques, statistiques ou historiques, pour autant que les droits des personnes concernées soient protégés par des mesures techniques et organisationnelles (cfr article 89 §1er).

Initialement, la première proposition de Règlement faisait obligation au responsable de vérifier périodiquement la nécessité de poursuivre la conservation. Cet élément n’a pas été retenu. 

Le Règlement érige aussi en principe le devoir de sécurité et de confidentialité du traitement (intégrité et confidentialité), déjà contenu dans les articles 16 et 17 de la Directive (art. 5, § 1er, f), qui oblige le responsable à garantir une sécurité et une confidentialité appropriées, et notamment à prévenir l'accès non autorisé à ces données et à l'équipement servant à leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement (cfr. considérant 39).

Le Règlement consacre enfin un principe de responsabilité, en vertu duquel le responsable du traitement est responsable du respect des principes de traitement définis à l’article 5. Il appartient donc au responsable de garantir et de démontrer que son traitement est conforme aux principes visés à l’article 5, paragraphe 1er pendant toute la durée du traitement. Son respect implique que le responsable mette en place des mécanismes et des systèmes de contrôle (mesures d’audit, politique interne…) au sein de son entité pour garantir la conformité du traitement pendant toute sa durée et pour en conserver la preuve. Cette obligation de rendre compte est davantage explicitée par l’article 24 du Règlement.

La Directive

L’article 6 de la Directive déterminait les conditions générales dans lesquelles le traitement de données est licite. À travers cette disposition, le législateur de l’Union avait mis en place plusieurs principes fondamentaux qui sous-tendent tout traitement de données à caractère personnel. Ils ont été repris à l’article 4 de la loi du 8 décembre 1992 et à l’article 6 de la loi Informatique et Libertés et Libertés.

Le principe de loyauté et de licéité de la collecte des données suppose que les personnes concernées puissent connaître l'existence des traitements et bénéficier, lorsque des données sont collectées auprès d'elles, d'une information effective et complète au regard des circonstances de cette collecte. En outre, les données ne peuvent être obtenues à l’aide de procédés illicites ou déloyaux (article 6, paragraphe 1er, a).

En vertu du principe de finalité, la finalité doit être déterminée, explicite et légitime. Toute finalité incompatible avec la finalité annoncée est dès lors interdite sauf exception pour les finalités historiques, statistiques ou scientifiques (article 6, paragraphe 1er, b).

En vertu du principe de proportionnalité, les traitements de données à caractère personnel à effectuer doivent être adéquats, pertinents et non excessifs au regard des finalités poursuivies, ce qui suppose que le moyen utilisé soit adéquat et nécessaire pour réaliser l’objectif poursuivi (article 6, paragraphe 1er, c)).

Selon le principe de qualité des données, les données doivent être exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

Enfin, les données ne peuvent être conservées indéfiniment. Les données doivent être supprimées dès lors que leur conservation excède la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (cfr. article 6, paragraphe 1er, e) de la Directive ; l’article 6, 5° de la loi Informatique et Libertés et Libertés), ainsi que l’article 4, paragraphe 1er, 5° de la loi du 8 décembre 1992).

France

Les principes de protection des données contenus à l’article 6 de la Directive furent transposés dans des termes identiques à l’article 6 de la loi Informatique et Libertés (principe de loyauté et de licéité, de finalité, de proportionnalité, principe de qualité, et de durée limitée de conservation).

Difficultés probables ?

Les principes de base ne sont pas bouleversés, seulement affinés.

Le renforcement des principes de transparence et de responsabilité va impliquer une révision des processus de traitement actuel dans l’organisation du responsable du traitement ainsi que l’implémentation de mesures de contrôle et d’audit interne ou externe de la conformité de ces traitements au Règlement.

On regrette que le principe de compatibilité n’ait pas fait l’objet d’un assouplissement vu les difficultés qu’il pose en termes d’évolution des finalités (cfr commentaire de l’article 6).

Groupe 29

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation7. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel9, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 (11 avril 2018)

(Approuvées par le CEPD)

Les présentes lignes directrices du groupe de travail «Article 29» (G29) fournissent une orientation pratique ainsi qu’une aide à l’interprétation concernant la nouvelle obligation de transparence applicable au traitement des données à caractère personnel au titre du règlement général sur la protection des données (ci-après le «RGPD»). La transparence est une obligation globale au sens du RGPD qui s’applique à trois domaines centraux: 1) la communication aux personnes concernées d’informations relatives au traitement équitable de leurs données; 2) la façon dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits au titre du RGPD; et 3) la façon dont les responsables du traitement facilitent l’exercice par les personnes concernées de leurs droits. Dans la mesure où le respect de la transparence à l’égard du traitement des données est requis par la directive (UE) 2016/6803, ces lignes directrices s’appliquent également à l’interprétation de ce principe4. À l’instar de toutes les lignes directrices du G29, les présentes lignes directrices ont vocation à être généralement applicables et pertinentes pour les responsables du traitement, quelles que soient les caractéristiques sectorielles, d’entreprise ou réglementaires spécifiques à un responsable du traitement en particulier. À ce titre, ces lignes directrices ne peuvent pas prendre en compte les nuances et nombreuses variables pouvant apparaître dans le contexte des obligations de transparence d’un secteur, d’une entreprise ou d’un domaine réglementé spécifique. Néanmoins, elles visent, d’une part, à permettre aux responsables du traitement de comprendre, à un degré élevé, l’interprétation par le G29 de ce que les obligations de transparence impliquent dans la pratique et, d’autre part, à indiquer l'approche que les responsables du traitement devraient, selon le G29, adopter en matière de transparence tout en intégrant les notions d’équité et de responsabilité dans leurs mesures de transparence.

La transparence est une caractéristique bien ancrée dans le droit de l’Union européenne. Son objectif premier est de susciter la confiance dans les processus applicables aux citoyens en leur permettant de comprendre et, au besoin, de contester lesdits processus. C’est également une expression du principe d’équité à l’égard du traitement des données à caractère personnel énoncé à l’article 8 de la charte des droits fondamentaux de l’Union européenne. Conformément au RGPD [article 5, paragraphe 1, point a)], outre l’obligation de traiter les données de manière licite et loyale, la transparence constitue désormais un aspect fondamental des principes relatifs au traitement. La transparence est intrinsèquement liée à l’équité et au nouveau principe de responsabilité au titre du RGPD. Il ressort également de l’article 5, paragraphe 2, que le responsable du traitement doit toujours être en mesure de démontrer que les données à caractère personnel sont traitées de manière transparente au regard de la personne concernée. Parallèlement, le principe de responsabilité exige la transparence des opérations de traitement afin que les responsables du traitement puissent démontrer qu’ils satisfont aux obligations leur incombant en vertu du RGPD.

Lien

Jurisprudence de la CJUE

C-465/00 ; C-138/01 ; C-139/01 (20 mai 2003)

1) Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ne s'opposent pas à une réglementation nationale, telle que celle en cause dans les affaires au principal, à la condition qu'il soit établi que la large divulgation non seulement du montant des revenus annuels, lorsque ceux-ci excèdent un certain plafond, des personnes employées par les entités soumises au contrôle du Rechnungshof, mais également des noms des bénéficiaires de ces revenus, est nécessaire et appropriée à l'objectif de bonne gestion des ressources publiques poursuivi par le constituant, ce qu'il incombe aux juridictions de renvoi de vérifier.

2) Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46 sont directement applicables, en ce sens qu'ils peuvent être invoqués par un particulier devant les juridictions nationales pour écarter l'application des règles de droit interne contraires à ces dispositions. 

Conclusions de l'Avocat général

Arrêt rendu

C-342/12 (30 mai 2013)

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.

2)      Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.

Arrêt rendu

C-683/13 (19 juin 2014) 

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.

2)      Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail.

3)      Il incombe à la juridiction de renvoi d’examiner si l’obligation, pour l’employeur, de fournir à l’autorité nationale compétente en matière de surveillance des conditions de travail un accès au registre du temps de travail de façon à en permettre la consultation immédiate peut être considérée comme nécessaire aux fins de l’exercice par cette autorité de sa mission de surveillance, en contribuant à une application plus efficace de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail, et, dans l’affirmative, si les sanctions infligées en vue d’assurer l’application effective des exigences posées par la directive 2003/88/CE du Parlement européen et du Conseil, du 4 novembre 2003, concernant certains aspects de l’aménagement du temps de travail, respectent le principe de proportionnalité.

Arrêt rendu

C-398/15 (9 mars 2017)

L’article 6, paragraphe 1, sous e), l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus en combinaison avec l’article 3 de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers, telle que modifiée par la directive 2003/58/CE du Parlement européen et du Conseil, du 15 juillet 2003, doivent être interprétés en ce sens que, en l’état actuel du droit de l’Union, il appartient aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, peuvent demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données.

Conclusions de l'Avocat général 

Arrêt rendu

C-496/17 (16 janvier 2019)

L’article 24, paragraphe 1, second alinéa, du règlement d’exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d’application de certaines dispositions du règlement (UE) no 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union, lu à la lumière de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’opérateur économique agréé qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.

Conclusions de l'Avocat général

Arrêt rendu

Règlement
1e 2e

Art. 5

1. Les données à caractère personnel doivent être:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en oeuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Proposition 1 close

Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités

c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel;

d) exactes et tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu’à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées à l'article 83 et s’il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation

f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité de chaque opération de traitement avec les dispositions du présent règlement et en apporte la preuve.

 

Proposition 2 close

1. Les données à caractère personnel doivent être:

 a) traitées de manière licite, équitable et transparente au regard de la personne concernée;

 b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités; le traitement ultérieur des données à caractère personnel à des fins d'archivage dans l'intérêt public ou à des fins scientifiques, statistiques ou historiques n'est pas considéré, conformément à l'article 83, comme incompatible avec les finalités initiales;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées (…);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées (...); les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées à des fins d'archivage dans l'intérêt public ou à des fins scientifiques, statistiques ou historiques, conformément à l'article 83, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de protéger les droits et libertés de la personne concernée;

e bis) traitées de manière à garantir une sécurité appropriée des données à caractère personnel.

f) (...)

2. Le responsable du traitement est responsable du respect du paragraphe 1.

Directive close

Art. 6

1. Les États membres prévoient que les données à caractère personnel doivent être:

a) traitées loyalement et licitement;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;

d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 4

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les données à caractère personnel doivent être :
1° Traitées de manière licite, loyale et, pour les traitements relevant du titre II, transparente au regard de la personne concernée ;

2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, applicables à de tels traitements et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

3° Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives ;

4° Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;

5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Toutefois, les données à caractère personnel peuvent être conservées au-delà de cette durée dans la mesure où elles sont traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques. Le choix des données conservées à des fins archivistiques dans l'intérêt public est opéré dans les conditions prévues à l'article L. 212-3 du code du patrimoine ;

6° Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, ou l'accès par des personnes non autorisées, à l'aide de mesures techniques ou organisationnelles appropriées.

Art. 43

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les principes, règles et conditions de licéité d'un traitement de données à caractère personnel applicables sont ceux définis au chapitre II du règlement (UE) 2016/679 du 27 avril 2016 et du chapitre Ier du titre Ier de la présente loi.

Ancienne loi close

Art. 6.

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

1° Les données sont collectées et traitées de manière loyale et licite ;

2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Art. 6

Modifié par la loi n°2016-41 du 26 janvier 2016

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

 Les données sont collectées et traitées de manière loyale et licite ;

 Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'au chapitre IX et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

 Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

 Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées

 

close