GDPR.expert logo

mail_outline Lettre d'informations search Rechercher

GDPR.expert logo

menu MENU
arrow_back Retour à tous les articles
arrow_back Article précédentArticle 10Article suivant arrow_forward

Article 10
Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les articles et mots clés liés à l’article 10 expand_more Cacher les articles et mots clés liés à l’article 10 expand_less
Afficher les considérants du Règlement liés à l'article 10 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 10 keyboard_arrow_up

(19) La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/… du Parlement européen et du Conseil1*. Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/…** des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.

En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 10.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive prévoyait une dérogation à l’interdiction de traiter des données sensibles pour les traitements de données relatives aux infractions, condamnations pénales ou aux mesures de sûreté (article 8§5), à condition que ceux-ci soient effectués sous le contrôle de l’autorité publique ou que des garanties appropriées et spécifiques soient prévues en droit national.

Le paragraphe 5 in fine de l’article 8 de la Directive précisait qu’un fichier reprenant de manière exhaustive l’intégralité des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

Belgique

L’article 8, 1er paragraphe de la loi du 8 juin 1992 rappellait d’abord l’interdiction de traiter des données relatives à des condamnations au sens large, qu’il s’agisse de suspicions, de poursuites ou des condamnations civiles, judiciaires ou administratives , y compris des mesures de sûreté. La définition belge des données judiciaires était donc plus large que celle de la Directive qui n’inclut pas les données se rapportant à des suspicions et des poursuites. Il ressortait des documents parlementaires que « l’article 8 ne s’applique pas uniquement aux condamnations pénales, mais également aux données dont il ressort qu’une personne est soupçonnée ou poursuivie pour un délit » (exposé des motifs, doc parl, ch 1997 1998, n°1566/p42).

L’article 8, deuxième paragraphe de la loi du 8 décembre 1992 énumérait de manière exhaustive les personnes autorisées à traiter ces données (autorité publique ou officier ministériel au sens du Code judiciaire pour autant que le traitement soit nécessaire à l’exercice de leurs tâches ; personnes morales de droit public pour autant que la gestion de leurs propres contentieux l’exige ; les avocats ou autres conseils juridiques, pour autant que la défense de leurs clients l’exige ; pour les nécessités de la recherche scientifique à condition de respecter le régime prévu par l’arrêté royal du 13 février 2001 (notamment description des profils d’accès des personnes, ou confidentialité des données)). Toutes les personnes autorisées à traiter des données « judiciaires » devaient être soumises au secret professionnel (§ 3). Le dernier paragraphe habilitait le Roi à déterminer des conditions particulières pour le traitement de données à caractère personnel de nature judiciaire. L’article 8, § 4 n’a toutefois pas fait l’objet d’une mesure d’exécution. On notera à cet égard que l’article 25 de l’arrêté royal du 13 février 2001 obligeait le responsable du traitement à prendre des mesures supplémentaires lors du traitement de données sensible (désigner les catégories et fonctions de personnes ayant accès aux données et mise à disposition de la Commission de cette liste de personnes ; veiller à ce que ces personnes désignées soient tenues par une obligation légale ou statutaire ou par une disposition contractuelle au respect du caractère confidentiel des données visées ;  lors de l’information due en vertu de l’article 9 de la LVP ou lors de la déclaration visée à l’article 17 de la LVP, mentionner la base légale autorisant le traitement de données sensibles).

France

Comme l’impose la Directive, la loi Informatique et Libertés n’autorisait le traitement de données relatives aux infractions, condamnations et mesures de sûreté que sous le contrôle des autorités publiques et uniquement dans le cadre de leurs attributions légales. Le texte énonçait de manière exhaustive les entités habilitées pour la mise en œuvre de telles données (deux catégories à l’origine dont les juridictions, autorités publiques et personnes morales gérant un service public, agissant dans le cadre de leurs obligations légales…). Ces entités devaient adresser à la CNIL une déclaration normale (article 22 I, et 25 I 3° de la loi modifiée du 6 janvier 1978) sauf si le traitement effectué n’est pas automatisé, conformément au droit commun en vigueur. Cette possibilité de traitement avait été étendue à deux autres catégories (sociétés de perception et réception des droits d’auteurs art 9 4°, et le traitement visé à l’article 67 de la loi Informatique et Libertés).

arrow_back Article précédentArticle 10Article suivant arrow_forward

Où va-t-on ?

Le Règlement a choisi d’introduire dans le Règlement une disposition spécifique au traitement des données relatives aux condamnations, aux infractions pénales ou aux mesures de sûreté et de procéder à une clarification de ladite disposition dont la mouture initiale était source de confusion (article 10).

Le traitement de données relatives à ces données ne peut être effectué qu’à condition :

- qu’il ait lieu sous le contrôle de l’autorité publique ;

- ou qu’il soit autorisé par le droit de l’Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.

Contrairement au texte de la Directive, le droit national ne peut plus déroger à ces conditions.

Enfin, la centralisation exhaustive des condamnations pénales ne peut être effectuée que sous le contrôle de l’autorité publique.

arrow_back Article précédentArticle 10Article suivant arrow_forward

Difficultés probables

Des différences entre États membres pourront apparaître concernant le traitement des données relatives aux condamnations, ou aux infractions pénales ou aux mesures de sécurité dès lors que les conditions de traitement se déterminent dans les législations nationales (modalités de contrôles de l’autorité publique ou autorisation législative spécifique).

arrow_back Article précédentArticle 10Article suivant arrow_forward
Afficher les articles et mots clés liés à l’article 10 expand_more

Mots clés liés à l'article 10

close
Règlement
1e 2e

Art. 10

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un 'État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.
Proposition 1 close

1. Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits.

2. Le paragraphe 1 ne s'applique pas lorsque:

le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par la législation d'un État membre prévoyant des garanties adéquates.

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

 
Proposition 2 close

Le traitement des données relatives aux condamnations et aux infractions pénales ou aux mesures de sûreté connexes, sur la base de l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou lorsque le traitement est autorisé par le droit de l'Union ou par la législation nationale prévoyant des garanties adéquates concernant les droits et libertés des personnes concernées.

Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.
Directive

Art. 8

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque:

(…)

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.
France

Art. 9.

Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits.
Belgique

Art. 8

§ 1. Le traitement de données à caractère personnel relatives à des litiges soumis aux cours et tribunaux ainsi qu'aux juridictions administratives, à des suspicions, des poursuites ou des condamnations ayant trait à des infractions, ou à des sanctions administratives ou des mesures de sûreté est interdit.

§ 2. L'interdiction de traiter les données à caractère personnel visées au § 1er n'est pas applicable aux traitements effectués :

a) sous le contrôle d'une autorité publique ou d'un officier ministériel au sens du Code judiciaire, lorsque le traitement est nécessaire à l'exercice de leurs tâches;

b) par d'autres personnes lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou en vertu d'une loi, d'un décret ou d'une ordonnance;

c) par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l'exige;

d) par des avocats ou d'autres conseils juridiques, pour autant que la défense de leurs clients l'exige;

e) pour les nécessités de la recherche scientifique, dans le respect des conditions fixées par le Roi par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée.

§ 3. Les personnes qui, en vertu du § 2, sont autorisées à traiter les données à caractère personnel visées au § 1er, sont soumises au secret professionnel.

§ 4. Le Roi fixe par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, les conditions particulières auxquelles doit satisfaire le traitement des données à caractère personnel visées au § 1.
arrow_back Article précédentArticle 10Article suivant arrow_forward
Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK