Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

Article 10
Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 10 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 10 keyboard_arrow_up

(19) La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/… du Parlement européen et du Conseil1*. Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/…** des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.

En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 10.

Guidelines

Ici viendront les guidelines

Sommaire

Belgique

Retour au sommaire

Belgique

Recommandation relative au Registre des activités de traitements (article 30 du RGPD) n° 06/2017 (14 juin 2017)

  1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.

  2. Au chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, l’article 30 met à charge des responsables de traitement et des sous-traitants une obligation de tenir un registre des activités de traitement (ci-après le Registre). Un certain nombre d’informations relatives aux traitements opérés doivent figurer dans ce Registre : dans quel but sont-elles traitées, quelles sont les catégories de personnes concernées par les données traitées, quels sont les destinataires des données, quel est leur délai de conservation etc.

  3. La Commission de la protection de la vie privée (ci-après la CPVP) reçoit un grand nombre de questions relatives à ce Registre. Partant, elle adopte la présente recommandation afin de guider les responsables de traitement et les sous-traitants dans la préparation de celui-ci d’ici au 25 mai 2018, date à partir de laquelle ce Registre devra être en place et date à partir de laquelle la CPVP pourra également demander qu’il soit mis à sa disposition, dans le cadre de contrôles par exemple.

  4. Pour établir ce Registre, la/les déclaration(s) préalable(s) de traitement prévue(s) à l’article 17 de la Loi Vie privée (ci-après LVP) que les responsables de traitement ont introduit auprès de la CPVP pourra/ pourront, dans une certaine mesure, être utile(s). Il sera précisé dans cette recommandation dans quelles limites, cette ou ces déclaration(s) de traitement introduite(s) et disponibles via le Registre public en ligne pourra/pourront être exploitée(s).

  5. La recommandation abordera les questions suivantes :

    1. Qui doit tenir un Registre ? Existe-t-il des exceptions ?

    2. Pourquoi cette obligation de tenir un Registre ?

    3. Que doit contenir le Registre ? Quelles informations ?

    4. Comment établir le Registre ?

    5. A qui est-il destiné ?

    6. Quelle(s) sanction(s) ? 

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.

1.      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2.      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3.      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

CJUE, 22 juin 2021, C-439/19 - Latvijas Republikas Saeima (Points de pénalité)

1. L’article 10 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il s’applique au traitement des données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières.

 
 

2. Les dispositions du règlement (UE) 2016/679, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui fait obligation à l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données accessibles au public, sans que la personne demandant l’accès ait à justifier d’un intérêt spécifique à obtenir lesdites données.

 
 

3. Les dispositions du règlement (UE) 2016/679, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui autorise l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières à communiquer ces données à des opérateurs économiques à des fins de réutilisation.

Conclusions de l'Avocat général

Arrêt rendu

C‑205/21, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) (26 janvier 2023)

1)      L’article 10, sous a), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu à la lumière de l’article 52 de la charte des droits fondamentaux de l’Union européenne,

doit être interprété en ce sens que :

le traitement de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche, à des fins de lutte contre la criminalité et de maintien de l’ordre public, est autorisé par le droit d’un État membre, au sens de l’article 10, sous a), de cette directive, dès lors que le droit de cet État membre contient une base juridique suffisamment claire et précise pour autoriser ledit traitement. Le fait que l’acte législatif national contenant une telle base juridique se réfère, par ailleurs, au règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et non à la directive 2016/680, n’est pas de nature, en lui-même, à remettre en cause l’existence d’une telle autorisation, pour autant qu’il ressort, de manière suffisamment claire, précise et dénuée d’équivoque de l’interprétation de l’ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d’application de cette directive, et non de ce règlement.

Conclusions de l'avocat général

Arret rendu

 

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°118/2020 (24 septembre 2020)

1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.

Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.

2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.

Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.

Arrêt rendu

C. const. Be., n°36/2021 (4 mars 2021)

En cause : le recours en annulation partielle de la loi du 7 mai 2019 « modifiant la loi du 7 mai 1999 sur les jeux de hasard, les paris, les établissements de jeux de hasard et la protection des joueurs, et insérant l’article 37/1 dans la loi du 19 avril 2002 relative à la rationalisation du fonctionnement  et  de  la  gestion  de  la  Loterie  Nationale »,  introduit  par l’ASBL « UBA-BNGO » et autres.

1. La Commission des jeux de hasard qui, dans le cadre du contrôle visé par la loi attaquée, sélectionne et traite les antécédents, est tenue de respecter les dispositions du RGPD et de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » (ci-après : « la loi du 30 juillet 2018 »).

2. Par ailleurs, la loi du 30 juillet 2018 s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnelcontenues ou appelées à figurer dans un fichier (article 2,alinéa1er) et au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge (article 4, alinéa 1er).

3. Du fait de l’applicabilité directe du RGPD dans la législation interne et de l’existence de la loi du 30 juillet 2018, le texte même des dispositions attaquées ne doit plus mentionner explicitement les conditions et obligations requises.

4. L’enquête d’antécédents qui sert à contrôler qu’il est satisfait à la condition que le demandeur de licence soit d’une conduite qui répond aux exigences de la fonction poursuit un but légitime et n’entraîne pas une ingérence disproportionnée dans le droit au respect de la vie privée, tel qu’il est garanti par les dispositions nationales et internationales précitées.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°08-84-088 (13 janvier 2009)

Ne constituent pas un traitement de données à caractère personnel relatives à des infractions, au sens des articles 2, 9 et 25 de la loi n° 78-17 du 6 janvier 1978, les constatations visuelles effectuées sur Internet et les renseignements recueillis en exécution de l'article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons.

Arrêt rendu

CE Fr., n°375669 (11 mai 2015)

Limitation des autorités susceptibles de mettre en œuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté par l'article 9 de la loi n°78-17 du 6 janvier 1978.

1) Doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles-mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers.

2) En revanche, ces dispositions ne font pas obstacle à la mise en œuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être.

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

Arrêt rendu

Retour au sommaire

Le GDPR

Le Règlement a choisi d’introduire dans le Règlement une disposition spécifique au traitement des données relatives aux condamnations, aux infractions pénales ou aux mesures de sûreté et de procéder à une clarification de ladite disposition dont la mouture initiale était source de confusion (article 10).

Le traitement de données relatives à ces données ne peut être effectué qu’à condition :

- qu’il ait lieu sous le contrôle de l’autorité publique ;

- ou qu’il soit autorisé par le droit de l’Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.

Contrairement au texte de la Directive, le droit national ne peut plus déroger à ces conditions.

Enfin, la centralisation exhaustive des condamnations pénales ne peut être effectuée que sous le contrôle de l’autorité publique.

La Directive

La Directive prévoyait une dérogation à l’interdiction de traiter des données sensibles pour les traitements de données relatives aux infractions, condamnations pénales ou aux mesures de sûreté (article 8§5), à condition que ceux-ci soient effectués sous le contrôle de l’autorité publique ou que des garanties appropriées et spécifiques soient prévues en droit national.

Le paragraphe 5 in fine de l’article 8 de la Directive précisait qu’un fichier reprenant de manière exhaustive l’intégralité des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

Belgique

L’article 8, 1er paragraphe de la loi du 8 juin 1992 rappellait d’abord l’interdiction de traiter des données relatives à des condamnations au sens large, qu’il s’agisse de suspicions, de poursuites ou des condamnations civiles, judiciaires ou administratives , y compris des mesures de sûreté. La définition belge des données judiciaires était donc plus large que celle de la Directive qui n’inclut pas les données se rapportant à des suspicions et des poursuites. Il ressortait des documents parlementaires que « l’article 8 ne s’applique pas uniquement aux condamnations pénales, mais également aux données dont il ressort qu’une personne est soupçonnée ou poursuivie pour un délit » (exposé des motifs, doc parl, ch 1997 1998, n°1566/p42).

L’article 8, deuxième paragraphe de la loi du 8 décembre 1992 énumérait de manière exhaustive les personnes autorisées à traiter ces données (autorité publique ou officier ministériel au sens du Code judiciaire pour autant que le traitement soit nécessaire à l’exercice de leurs tâches ; personnes morales de droit public pour autant que la gestion de leurs propres contentieux l’exige ; les avocats ou autres conseils juridiques, pour autant que la défense de leurs clients l’exige ; pour les nécessités de la recherche scientifique à condition de respecter le régime prévu par l’arrêté royal du 13 février 2001 (notamment description des profils d’accès des personnes, ou confidentialité des données)). Toutes les personnes autorisées à traiter des données « judiciaires » devaient être soumises au secret professionnel (§ 3). Le dernier paragraphe habilitait le Roi à déterminer des conditions particulières pour le traitement de données à caractère personnel de nature judiciaire. L’article 8, § 4 n’a toutefois pas fait l’objet d’une mesure d’exécution. On notera à cet égard que l’article 25 de l’arrêté royal du 13 février 2001 obligeait le responsable du traitement à prendre des mesures supplémentaires lors du traitement de données sensible (désigner les catégories et fonctions de personnes ayant accès aux données et mise à disposition de la Commission de cette liste de personnes ; veiller à ce que ces personnes désignées soient tenues par une obligation légale ou statutaire ou par une disposition contractuelle au respect du caractère confidentiel des données visées ;  lors de l’information due en vertu de l’article 9 de la LVP ou lors de la déclaration visée à l’article 17 de la LVP, mentionner la base légale autorisant le traitement de données sensibles).

France

Comme l’impose la Directive, la loi Informatique et Libertés n’autorisait le traitement de données relatives aux infractions, condamnations et mesures de sûreté que sous le contrôle des autorités publiques et uniquement dans le cadre de leurs attributions légales. Le texte énonçait de manière exhaustive les entités habilitées pour la mise en œuvre de telles données (deux catégories à l’origine dont les juridictions, autorités publiques et personnes morales gérant un service public, agissant dans le cadre de leurs obligations légales…). Ces entités devaient adresser à la CNIL une déclaration normale (article 22 I, et 25 I 3° de la loi modifiée du 6 janvier 1978) sauf si le traitement effectué n’est pas automatisé, conformément au droit commun en vigueur. Cette possibilité de traitement avait été étendue à deux autres catégories (sociétés de perception et réception des droits d’auteurs art 9 4°, et le traitement visé à l’article 67 de la loi Informatique et Libertés).

Difficultés probables

Des différences entre États membres pourront apparaître concernant le traitement des données relatives aux condamnations, ou aux infractions pénales ou aux mesures de sécurité dès lors que les conditions de traitement se déterminent dans les législations nationales (modalités de contrôles de l’autorité publique ou autorisation législative spécifique).

Règlement
1e 2e

Art. 10

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un 'État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Proposition 1 close

1. Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits.

2. Le paragraphe 1 ne s'applique pas lorsque:

le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par la législation d'un État membre prévoyant des garanties adéquates.

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

 

Proposition 2 close

Le traitement des données relatives aux condamnations et aux infractions pénales ou aux mesures de sûreté connexes, sur la base de l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou lorsque le traitement est autorisé par le droit de l'Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Directive close

Art. 8

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque:

(…)

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 46

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d'exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n'est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits ;

5° Les réutilisateurs des informations publiques figurant dans les décisions mentionnées à l'article L. 10 du code de justice administrative et à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que les traitements mis en œuvre n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Art. 31

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et :

1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;

2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.

L'avis de la commission est publié avec l'arrêté autorisant le traitement.

II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 6 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement.

III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise. Pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.

IV. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Art. 33

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Les demandes d'avis adressées à la Commission nationale de l'informatique et des libertés en vertu de la présente loi précisent :

1° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de l'Union européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;

2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 31 et 32, la description générale de ses fonctions ;

3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements ;

4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

5° La durée de conservation des informations traitées ;

6° Le ou les services chargés de mettre en œuvre le traitement ainsi que, pour les traitements relevant des articles 31 et 32, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

8° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu aux articles 49,105 et 119, ainsi que les mesures relatives à l'exercice de ce droit ;

9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l'indication du recours à un sous-traitant ;

10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne, sous quelque forme que ce soit.

Les demandes d'avis portant sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d'avis portant sur ces traitements doivent comporter au minimum.

II. - Le responsable d'un traitement déjà autorisé et susceptible de faire l'objet d'une mise à jour rendue publique dans les conditions prévues à l'article 36 informe sans délai la commission :

1° De tout changement affectant les informations mentionnées au I ;

2° De toute suppression du traitement.

Art. 34

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 31 ou 32, se prononce dans un délai de huit semaines à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé de six semaines sur décision motivée du président.

II. - L'avis demandé à la commission sur un traitement, qui n'est pas rendu à l'expiration du délai prévu au I, est réputé favorable.

Art. 35

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les actes autorisant la création d'un traitement en application des articles 31 et 32 précisent :

1° La finalité du traitement et, le cas échéant, sa dénomination ;

2° Le service auprès duquel s'exerce le droit d'accès prévu aux articles 49,105 et 119 ;

3° Les catégories de données à caractère personnel enregistrées ;

4° Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;

5° Le cas échéant, les dérogations à l'obligation d'information prévues au III de l'article 116 ;

6° Le cas échéant, les limitations et restrictions aux droits des personnes concernées prévues à l'article 23 du règlement (UE) 2016/679 du 27 avril 2016 et à l'article 107.

7° Le cas échéant, la désignation, parmi les responsables conjoints du traitement, du point de contact pour les personnes concernées.

Art. 36

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La commission met à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 31 et 32, à l'exception de ceux mentionnés au III de l'article 31, ainsi que par la section 3 du chapitre III du titre II.

Cette liste précise pour chacun de ces traitements :

1° L'acte décidant la création du traitement ;

2° La finalité du traitement et, le cas échéant la dénomination ;

3° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de l'Union européenne, celles de son représentant ;

4° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu aux articles 49,105 et 119 ;

5° Les catégories de données à caractère personnel faisant l'objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;

6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne.

II. - La commission tient à la disposition du public ses avis, décisions ou recommandations.

 

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 9.

Version initiale

Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits.

Art. 9

Modifié par la loi n°2018-493 du 20 juin 2018

Les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que [dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018.] par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d'exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n'est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits ;

5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l'article L. 10 du code de justice administrative et les décisions mentionnées à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que les traitements mis en œuvre n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Décret d'application.

CF art. 41 du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art. 10

§ 1er. En exécution de l’article 10 du Règlement, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes est effectué

1° par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige; ou

2° par des avocats ou d’autres conseils juridiques, pour autant que la défense de leurs clients l’exige; ou

3° par d’autres personnes lorsque le traitement est nécessaire pour des motifs d’intérêt public important pour l’accomplissement de tâches d’intérêt général confiées par ou en vertu d’une loi, d’un décret, d’une ordonnance ou du droit de l’Union européenne; ou

4° pour les nécessités de la recherche scientifique, historique ou statistique ou à des fins d’archives; ou

5° si la personne concernée a autorisé explicitement et par écrit le traitement de ces données à caractère personnel pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités; ou

6° si le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée, de sa propre initiative, pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités.

§ 2. Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l’autorité de contrôle compétente. Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.

Ancienne loi
en Belgique
close

Art. 8

§ 1. Le traitement de données à caractère personnel relatives à des litiges soumis aux cours et tribunaux ainsi qu'aux juridictions administratives, à des suspicions, des poursuites ou des condamnations ayant trait à des infractions, ou à des sanctions administratives ou des mesures de sûreté est interdit.

§ 2. L'interdiction de traiter les données à caractère personnel visées au § 1er n'est pas applicable aux traitements effectués :

a) sous le contrôle d'une autorité publique ou d'un officier ministériel au sens du Code judiciaire, lorsque le traitement est nécessaire à l'exercice de leurs tâches;

b) par d'autres personnes lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou en vertu d'une loi, d'un décret ou d'une ordonnance;

c) par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l'exige;

d) par des avocats ou d'autres conseils juridiques, pour autant que la défense de leurs clients l'exige;

e) pour les nécessités de la recherche scientifique, dans le respect des conditions fixées par le Roi par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée.

§ 3. Les personnes qui, en vertu du § 2, sont autorisées à traiter les données à caractère personnel visées au § 1er, sont soumises au secret professionnel.

§ 4. Le Roi fixe par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, les conditions particulières auxquelles doit satisfaire le traitement des données à caractère personnel visées au § 1.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK