Guidelines

Ici viendront les guidelines

Retour au sommaire

Union Européenne

Belgique

Jurisprudence belge

C. const. Be., n°51/2014 (27 mars 2014)

La Cour - annule l'article 11 de la loi du 3 août 2012 « portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions » en ce qu'il permet au responsable du traitement des données de (i) refuser l'exercice des droits garantis par les articles 9, § 2, 10 et 12 de la loi du 8 décembre 1992 « relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel » à l'égard des données personnelles du contribuable qui sont étrangères à l'objet de l'enquête ou du contrôle en cours et (ii) en ce qu'il ne prévoit pas de limitation dans le temps de la possibilité de faire exception à l'application de ces droits justifiée par l'accomplissement d'actes préparatoires à un contrôle ou à une enquête

La circonstance que la loi ne définisse pas explicitement ce qu’il faut entendre par la notion de « préparatifs » à une enquête ou à un contrôle n’a pas forcément pour effet que le critère de distinction, qui repose en partie sur cette notion, soit non objectif ou dénué de pertinence. Dans le silence de la loi, cette notion doit s’entendre dans son sens courant. Elle implique que des actes indiquant l’intention de l’administration d’ouvrir une enquête ou de procéder à un contrôle à l’égard d’un contribuable déterminé aient été posés préalablement à la demande de celui-ci d’exercer les droits garantis par la loi du 8 décembre 1992 et qu’une mention de ces actes figure dans le dossier du contribuable. En d’autres termes, la demande formulée par le contribuable d’avoir accès aux données personnelles le concernant ne peut pas constituer elle-même l’élément déclencheur d’une enquête ou d’un contrôle à partir duquel l’accès peut lui être refusé.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

CE Fr., n°405939 (3 octobre 2018)

Lorsque l'auteur de la plainte se fonde sur la méconnaissance des droits qu'il tient du I de l'article 40 de la loi n° 78-17 du 6 janvier 1978, notamment le droit de rectification de ses données personnelles, le pouvoir d'appréciation de la CNIL pour décider des suites à y donner s'exerce, eu égard à la nature des droits individuels en cause, sous l'entier contrôle du juge de l'excès de pouvoir.

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

Arrêt rendu

Retour au sommaire

Le GDPR

L’article 19 met en place une obligation de notification à charge du responsable de traitement qui l’oblige à communiquer à chaque destinataire des données toute rectification, effacement ou limitation du traitement sur la base des articles 16, 17, paragraphe 1, et de l’article 18 du Règlement.

Le responsable peut toutefois se soustraire à cette obligation s’il démontre qu’une telle communication se révèle impossible ou suppose un effort disproportionné.

Le compromis final sur le futur Règlement complète l’article 18 avec une obligation d’information de la personne concernée sur l’identité des destinataires, lorsque la personne concernée en fait la demande.

La Directive

La Directive obligeait déjà les États de garantir à la personne concernée le droit d’obtenir la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage, si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné (cfr. article 12, c)).

Belgique

Cette obligation d’information des destinataires des données en cas de rectification, d’effacement ou de verrouillage, a été transposée en droit belge à l’article 12, paragraphe 3 de la loi du 8 décembre 1992. En droit belge, le responsable dispose d’un délai d’un mois pour communiquer à la personne concernée et aux destinataires des données incorrectes, incomplètes et non pertinentes les actions entreprises (rectification, effacement, …), à moins que la notification à ces destinataires ne paraisse impossible ou implique des efforts disproportionnés.

France

Cette obligation d’information des destinataires des données en cas de rectification, d’effacement ou de verrouillage, a été transposée en droit français à l’article 40 de la loi Informatique et Libertés. Le responsable est donc tenu à une obligation de notification des opérations qu’il a effectuées, lorsque les données ont été transmises à un tiers.

Difficultés probables

Ce droit est difficile à gérer. Il demande une parfaite gestion des transmissions de données à des tiers et dépend fortement de la pérennité des tiers (transformation, faillite, etc.). L’impossibilité permettant de s’y soustraire doit cependant être objective et ne peut se confondre avec l’absence de mise en place d’une procédure de suivi des transmissions.