arrow_back Retour à tous les articles

Article 19
Obligation de notification concernant la rectification, l'effacement de données ou limitation du traitement

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 19 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 19 keyboard_arrow_up

(67) Les méthodes visant à limiter le traitement de données à caractère personnel pourraient consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d'un site internet. Dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l'objet d'opérations de traitements ultérieures et ne puissent pas être modifiées. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 19.

Guidelines

Ici viendront les guidelines

Sommaire

Belgique

France

Union Européenne


Belgique

Jurisprudence belge

C. const. Be., n°51/2014 (27 mars 2014)

La Cour - annule l'article 11 de la loi du 3 août 2012 « portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions » en ce qu'il permet au responsable du traitement des données de (i) refuser l'exercice des droits garantis par les articles 9, § 2, 10 et 12 de la loi du 8 décembre 1992 « relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel » à l'égard des données personnelles du contribuable qui sont étrangères à l'objet de l'enquête ou du contrôle en cours et (ii) en ce qu'il ne prévoit pas de limitation dans le temps de la possibilité de faire exception à l'application de ces droits justifiée par l'accomplissement d'actes préparatoires à un contrôle ou à une enquête

La circonstance que la loi ne définisse pas explicitement ce qu’il faut entendre par la notion de « préparatifs » à une enquête ou à un contrôle n’a pas forcément pour effet que le critère de distinction, qui repose en partie sur cette notion, soit non objectif ou dénué de pertinence. Dans le silence de la loi, cette notion doit s’entendre dans son sens courant. Elle implique que des actes indiquant l’intention de l’administration d’ouvrir une enquête ou de procéder à un contrôle à l’égard d’un contribuable déterminé aient été posés préalablement à la demande de celui-ci d’exercer les droits garantis par la loi du 8 décembre 1992 et qu’une mention de ces actes figure dans le dossier du contribuable. En d’autres termes, la demande formulée par le contribuable d’avoir accès aux données personnelles le concernant ne peut pas constituer elle-même l’élément déclencheur d’une enquête ou d’un contrôle à partir duquel l’accès peut lui être refusé.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

CE Fr., n°405939 (3 octobre 2018)

Lorsque l'auteur de la plainte se fonde sur la méconnaissance des droits qu'il tient du I de l'article 40 de la loi n° 78-17 du 6 janvier 1978, notamment le droit de rectification de ses données personnelles, le pouvoir d'appréciation de la CNIL pour décider des suites à y donner s'exerce, eu égard à la nature des droits individuels en cause, sous l'entier contrôle du juge de l'excès de pouvoir.

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

Arrêt rendu

Retour au sommaire

Le GDPR

L’article 19 met en place une obligation de notification à charge du responsable de traitement qui l’oblige à communiquer à chaque destinataire des données toute rectification, effacement ou limitation du traitement sur la base des articles 16, 17, paragraphe 1, et de l’article 18 du Règlement.

Le responsable peut toutefois se soustraire à cette obligation s’il démontre qu’une telle communication se révèle impossible ou suppose un effort disproportionné.

Le compromis final sur le futur Règlement complète l’article 18 avec une obligation d’information de la personne concernée sur l’identité des destinataires, lorsque la personne concernée en fait la demande.

La Directive

La Directive obligeait déjà les États de garantir à la personne concernée le droit d’obtenir la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage, si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné (cfr. article 12, c)).

Belgique

Cette obligation d’information des destinataires des données en cas de rectification, d’effacement ou de verrouillage, a été transposée en droit belge à l’article 12, paragraphe 3 de la loi du 8 décembre 1992. En droit belge, le responsable dispose d’un délai d’un mois pour communiquer à la personne concernée et aux destinataires des données incorrectes, incomplètes et non pertinentes les actions entreprises (rectification, effacement, …), à moins que la notification à ces destinataires ne paraisse impossible ou implique des efforts disproportionnés.

France

Cette obligation d’information des destinataires des données en cas de rectification, d’effacement ou de verrouillage, a été transposée en droit français à l’article 40 de la loi Informatique et Libertés. Le responsable est donc tenu à une obligation de notification des opérations qu’il a effectuées, lorsque les données ont été transmises à un tiers.

Difficultés probables

Ce droit est difficile à gérer. Il demande une parfaite gestion des transmissions de données à des tiers et dépend fortement de la pérennité des tiers (transformation, faillite, etc.). L’impossibilité permettant de s’y soustraire doit cependant être objective et ne peut se confondre avec l’absence de mise en place d’une procédure de suivi des transmissions.

Règlement
1e 2e

Art. 19

Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l'article 16, à l'article 17, paragraphe 1, et à l'article 18, à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

Proposition 1 close

Pas de disposition correspondante.

Proposition 2 close

Le responsable du traitement communique à chaque destinataire à qui les données ont été communiquées toute rectification, effacement ou limitation du traitement en vertu de l'article 16, de l'article 17, paragraphe 1, et de l'article 17 bis, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.

Directive close

Art. 12

Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement: (…).

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 54

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

L'obligation de notification en cas de rectification ou d'effacement de données à caractère personnel ou la limitation du traitement s'exerce dans les conditions prévues à l'article 19 du règlement (UE) 2016/679 du 27 avril 2016.

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 40

Version initiale

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

(….).

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

Art. 40

Modifié par la loi n°2018-493 du 20 juin 2018

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

(...)

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

II. — Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

Belgique

Aucune disposition spécifique

Ancienne loi
en Belgique
close

Art. 12

(…).

§ 3. Dans le mois qui suit l'introduction de la requête conformément au paragraphe 2, le responsable du traitement communique les rectifications ou effacements des données, effectués sur base du § 1er, à la personne concernée elle-même ainsi qu'aux personnes à qui les données incorrectes, incomplètes et non pertinentes ont été communiquées, pour autant qu'il ait encore connaissance des destinataires de la communication et que la notification à ces destinataires ne paraisse pas impossible ou n'implique pas des efforts disproportionnés.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK