GDPR.expert logo

mail_outline Lettre d'informations search Rechercher

GDPR.expert logo

menu MENU
arrow_back Retour à tous les articles

arrow_backArticle précédent
Article 10
Article suivantarrow_forward

Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Textes
officiels Guidelines
& Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 10 expand_more Cacher les articles et mots clés liés à l’article 10 expand_less

Mots clés liés à l'article 10

Afficher les considérants du Règlement liés à l'article 10 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 10 keyboard_arrow_up

(19) La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/… du Parlement européen et du Conseil1*. Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/…** des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.

En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 10.

Guidelines

Ici viendront les guidelines

Jurisprudence de la CJUE

C-141/12 ; C-372/12 (17 juillet 2014)

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2)      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3)      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

Autorité nationale


Belgique

Recommandation relative au Registre des activités de traitements (article 30 du RGPD) n° 06/2017 (14 juin 2017)

  1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.

  2. Au chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, l’article 30 met à charge des responsables de traitement et des sous-traitants une obligation de tenir un registre des activités de traitement (ci-après le Registre). Un certain nombre d’informations relatives aux traitements opérés doivent figurer dans ce Registre : dans quel but sont-elles traitées, quelles sont les catégories de personnes concernées par les données traitées, quels sont les destinataires des données, quel est leur délai de conservation etc.

  3. La Commission de la protection de la vie privée (ci-après la CPVP) reçoit un grand nombre de questions relatives à ce Registre. Partant, elle adopte la présente recommandation afin de guider les responsables de traitement et les sous-traitants dans la préparation de celui-ci d’ici au 25 mai 2018, date à partir de laquelle ce Registre devra être en place et date à partir de laquelle la CPVP pourra également demander qu’il soit mis à sa disposition, dans le cadre de contrôles par exemple.

  4. Pour établir ce Registre, la/les déclaration(s) préalable(s) de traitement prévue(s) à l’article 17 de la Loi Vie privée (ci-après LVP) que les responsables de traitement ont introduit auprès de la CPVP pourra/ pourront, dans une certaine mesure, être utile(s). Il sera précisé dans cette recommandation dans quelles limites, cette ou ces déclaration(s) de traitement introduite(s) et disponibles via le Registre public en ligne pourra/pourront être exploitée(s).

  5. La recommandation abordera les questions suivantes :

    1. Qui doit tenir un Registre ? Existe-t-il des exceptions ?

    2. Pourquoi cette obligation de tenir un Registre ?

    3. Que doit contenir le Registre ? Quelles informations ?

    4. Comment établir le Registre ?

    5. A qui est-il destiné ?

    6. Quelle(s) sanction(s) ? 

arrow_back Article précédentArticle 10Article suivant arrow_forward

Le GDPR

Le Règlement a choisi d’introduire dans le Règlement une disposition spécifique au traitement des données relatives aux condamnations, aux infractions pénales ou aux mesures de sûreté et de procéder à une clarification de ladite disposition dont la mouture initiale était source de confusion (article 10).

Le traitement de données relatives à ces données ne peut être effectué qu’à condition :

- qu’il ait lieu sous le contrôle de l’autorité publique ;

- ou qu’il soit autorisé par le droit de l’Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.

Contrairement au texte de la Directive, le droit national ne peut plus déroger à ces conditions.

Enfin, la centralisation exhaustive des condamnations pénales ne peut être effectuée que sous le contrôle de l’autorité publique.

La Directive

La Directive prévoyait une dérogation à l’interdiction de traiter des données sensibles pour les traitements de données relatives aux infractions, condamnations pénales ou aux mesures de sûreté (article 8§5), à condition que ceux-ci soient effectués sous le contrôle de l’autorité publique ou que des garanties appropriées et spécifiques soient prévues en droit national.

Le paragraphe 5 in fine de l’article 8 de la Directive précisait qu’un fichier reprenant de manière exhaustive l’intégralité des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

Belgique

L’article 8, 1er paragraphe de la loi du 8 juin 1992 rappellait d’abord l’interdiction de traiter des données relatives à des condamnations au sens large, qu’il s’agisse de suspicions, de poursuites ou des condamnations civiles, judiciaires ou administratives , y compris des mesures de sûreté. La définition belge des données judiciaires était donc plus large que celle de la Directive qui n’inclut pas les données se rapportant à des suspicions et des poursuites. Il ressortait des documents parlementaires que « l’article 8 ne s’applique pas uniquement aux condamnations pénales, mais également aux données dont il ressort qu’une personne est soupçonnée ou poursuivie pour un délit » (exposé des motifs, doc parl, ch 1997 1998, n°1566/p42).

L’article 8, deuxième paragraphe de la loi du 8 décembre 1992 énumérait de manière exhaustive les personnes autorisées à traiter ces données (autorité publique ou officier ministériel au sens du Code judiciaire pour autant que le traitement soit nécessaire à l’exercice de leurs tâches ; personnes morales de droit public pour autant que la gestion de leurs propres contentieux l’exige ; les avocats ou autres conseils juridiques, pour autant que la défense de leurs clients l’exige ; pour les nécessités de la recherche scientifique à condition de respecter le régime prévu par l’arrêté royal du 13 février 2001 (notamment description des profils d’accès des personnes, ou confidentialité des données)). Toutes les personnes autorisées à traiter des données « judiciaires » devaient être soumises au secret professionnel (§ 3). Le dernier paragraphe habilitait le Roi à déterminer des conditions particulières pour le traitement de données à caractère personnel de nature judiciaire. L’article 8, § 4 n’a toutefois pas fait l’objet d’une mesure d’exécution. On notera à cet égard que l’article 25 de l’arrêté royal du 13 février 2001 obligeait le responsable du traitement à prendre des mesures supplémentaires lors du traitement de données sensible (désigner les catégories et fonctions de personnes ayant accès aux données et mise à disposition de la Commission de cette liste de personnes ; veiller à ce que ces personnes désignées soient tenues par une obligation légale ou statutaire ou par une disposition contractuelle au respect du caractère confidentiel des données visées ;  lors de l’information due en vertu de l’article 9 de la LVP ou lors de la déclaration visée à l’article 17 de la LVP, mentionner la base légale autorisant le traitement de données sensibles).

France

Comme l’impose la Directive, la loi Informatique et Libertés n’autorisait le traitement de données relatives aux infractions, condamnations et mesures de sûreté que sous le contrôle des autorités publiques et uniquement dans le cadre de leurs attributions légales. Le texte énonçait de manière exhaustive les entités habilitées pour la mise en œuvre de telles données (deux catégories à l’origine dont les juridictions, autorités publiques et personnes morales gérant un service public, agissant dans le cadre de leurs obligations légales…). Ces entités devaient adresser à la CNIL une déclaration normale (article 22 I, et 25 I 3° de la loi modifiée du 6 janvier 1978) sauf si le traitement effectué n’est pas automatisé, conformément au droit commun en vigueur. Cette possibilité de traitement avait été étendue à deux autres catégories (sociétés de perception et réception des droits d’auteurs art 9 4°, et le traitement visé à l’article 67 de la loi Informatique et Libertés).

Difficultés probables

Des différences entre États membres pourront apparaître concernant le traitement des données relatives aux condamnations, ou aux infractions pénales ou aux mesures de sécurité dès lors que les conditions de traitement se déterminent dans les législations nationales (modalités de contrôles de l’autorité publique ou autorisation législative spécifique).

arrow_back Article précédentArticle 10Article suivant arrow_forward
arrow_back Article précédentArticle 10Article suivant arrow_forward
Règlement
1e 2e

Art. 10

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un 'État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.
Proposition 1 close

1. Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits.

2. Le paragraphe 1 ne s'applique pas lorsque:

le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par la législation d'un État membre prévoyant des garanties adéquates.

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

 
Proposition 2 close

Le traitement des données relatives aux condamnations et aux infractions pénales ou aux mesures de sûreté connexes, sur la base de l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou lorsque le traitement est autorisé par le droit de l'Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.
Directive close

Art. 8

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque:

(…)

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.
France
Ancienne loi

Art. 9

Modifié par la loi n°2018-493 du 20 juin 2018

Les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que [dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018.] par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d'exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n'est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits ;

5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l'article L. 10 du code de justice administrative et les décisions mentionnées à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que les traitements mis en œuvre n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Décret d'application.

CF art. 41 du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.
Ancienne loi
en France close

Art. 9.

Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits.
Belgique

Art. 8

§ 1. Le traitement de données à caractère personnel relatives à des litiges soumis aux cours et tribunaux ainsi qu'aux juridictions administratives, à des suspicions, des poursuites ou des condamnations ayant trait à des infractions, ou à des sanctions administratives ou des mesures de sûreté est interdit.

§ 2. L'interdiction de traiter les données à caractère personnel visées au § 1er n'est pas applicable aux traitements effectués :

a) sous le contrôle d'une autorité publique ou d'un officier ministériel au sens du Code judiciaire, lorsque le traitement est nécessaire à l'exercice de leurs tâches;

b) par d'autres personnes lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou en vertu d'une loi, d'un décret ou d'une ordonnance;

c) par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l'exige;

d) par des avocats ou d'autres conseils juridiques, pour autant que la défense de leurs clients l'exige;

e) pour les nécessités de la recherche scientifique, dans le respect des conditions fixées par le Roi par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée.

§ 3. Les personnes qui, en vertu du § 2, sont autorisées à traiter les données à caractère personnel visées au § 1er, sont soumises au secret professionnel.

§ 4. Le Roi fixe par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, les conditions particulières auxquelles doit satisfaire le traitement des données à caractère personnel visées au § 1.
arrow_back Article précédentArticle 10Article suivant arrow_forward
Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK