arrow_back Retour à tous les articles

Article 2
Champ d'application matériel

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 2 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 2 keyboard_arrow_up

(14) La protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

(15) Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l’aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.

(16) Le présent règlement ne s'applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d'application du droit de l'Union, telles que les activités relatives à la sécurité nationale. Le présent règlement en s'applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.

(17) Le règlement (CE) nº 45/2001 du Parlement européen et du Conseil1 s'applique au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union. Le règlement (CE) nº 45/2001 et les autres actes juridiques de l'Union applicables audit traitement des données à caractère personnel devraient être adaptés aux principes et aux règles fixés dans le présent règlement et appliqués à la lumière du présent règlement. Pour mettre en place un cadre de protection des données solide et cohérent dans l'Union, il convient, après l'adoption du présent règlement, d'apporter les adaptations nécessaires au règlement (CE) n° 45/2001 de manière à ce que celles-ci s'appliquent en même temps que le présent règlement.

(18) Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

(19) La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/… du Parlement européen et du Conseil1*. Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/…** des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement. En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.

(20) Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.

(21) Le présent règlement s'applique sans préjudice de l’application de la directive 2000/31/CE du Parlement européen et du Conseil1, et notamment du régime de responsabilité des prestataires de services intermédiaires prévu dans ses articles 12 à . Cette directive a pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services de la société de l'information entre les États membres.

Afficher les considérants de la Directive 95/46 liés à l'article 2 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 2 keyboard_arrow_up

(12) considérant que les principes de la protection doivent s'appliquer à tout traitement de données à caractère personnel dès lors que les activités du responsable du traitement relèvent du champ d'application du droit communautaire; que doit être exclu le traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d'adresses;

(13) considérant que les activités visées aux titres V et VI du traité sur l'Union européenne concernant la sécurité publique, la défense, la sûreté de l'État ou les activités de l'État dans le domaine pénal ne relèvent pas du champ d'application du droit communautaire, sans préjudice des obligations incombant aux États membres au titre de l'article 56 paragraphe 2 et des articles 57 et 100 A du traité; que le traitement de données à caractère personnel qui est nécessaire à la sauvegarde du bien-être économique de l'État ne relève pas de la présente directive lorsque ce traitement est lié à des questions de sûreté de l'État;

(14) considérant que, compte tenu de l'importance du développement en cours, dans le cadre de la société de l'information, des techniques pour capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données constituées par des sons et des images, relatives aux personnes physiques, la présente directive est appelée à s'appliquer aux traitements portant sur ces données;

(15) considérant que les traitements portant sur de telles données ne sont couverts par la présente directive que s'ils sont automatisés ou si les données sur lesquelles ils portent sont contenues ou sont destinées à être contenues dans un fichier structuré selon des critères spécifiques relatifs aux personnes, afin de permettre un accès aisé aux données à caractère personnel en cause;

(16) considérant que les traitements des données constituées par des sons et des images, tels que ceux de vidéo-surveillance, ne relèvent pas du champ d'application de la présente directive s'ils sont mis en oeuvre à des fins de sécurité publique, de défense, de sûreté de l'État ou pour l'exercice des activités de l'État relatives à des domaines du droit pénal ou pour l'exercice d'autres activités qui ne relèvent pas du champ d'application du droit communautaire;

(17) considérant que, pour ce qui est des traitements de sons et d'images mis en oeuvre à des fins de journalisme ou d'expression littéraire ou artistique, notamment dans le domaine audiovisuel, les principes de la directive s'appliquent d'une manière restreinte selon les dispositions prévues à l'article 9;

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-101/01 (6 novembre 2003) - Bodil Lindqvist

1. L'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .

2. Un tel traitement de données à caractère personnel ne relève d'aucune des exceptions figurant à l'article 3, paragraphe 2, de la directive 95/46.

3. L'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46.

4. Il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d'une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.

5. Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d'expression ou à d'autres droits et libertés applicables dans l'Union européenne et correspondant notamment à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales chargées d'appliquer la réglementation nationale transposant la directive 95/46 d'assurer un juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par l'ordre juridique communautaire.

6. Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.

Conclusions de l'Avocat général

Arrêt rendu

C-73/07 (16 décembre 2008) -Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy and Satamedia Oy

1.  L’article 3, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une activité qui consiste à:

  • collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication;
  • les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune;
  • les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales;
  • les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne;

doit être considérée comme un ‘traitement de données à caractère personnel’ au sens de cette disposition.

2. L’article 9 de la directive 95/46 doit être interprété en ce sens que les activités mentionnées à la première question, sous a) à d), concernant des données provenant de documents publics selon la législation nationale, doivent être considérées comme des activités de traitement de données à caractère personnel exercées «aux seules fins de journalisme» au sens de cette disposition, si lesdites activités ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées, ce qu’il appartient à la juridiction nationale d’apprécier.

3. Les activités de traitement de données à caractère personnel telles que celles visées par la première question, sous c) et d), concernant des fichiers des autorités publiques contenant des données à caractère personnel qui ne comprennent que des informations déjà publiées telles quelles dans les médias, relèvent du champ d’application de la directive 95/46.

Conclusions de l'Avocat général

Arrêt rendu 

C-212/13 (11 décembre 2014) - Ryneš

L’article 3, paragraphe 2, second tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, ne constitue pas un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition.

Conclusions de l'Avocat général

Arrêt rendu

C-25/17 (10 juillet 2018) - Jehovan todistajat

L’article 3, paragraphe 2, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que la collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.

Conclusions de l'avocat général

Arrêt rendu

C-345/17 (14 février 2019) - Buivids

1)     L’article 3 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que relèvent du champ d’application de cette directive l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci.

2)      L’article 9 de la directive 95/46 doit être interprété en ce sens que des circonstances de fait telles que celles de l’affaire au principal, à savoir l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci, peuvent constituer un traitement de données à caractère personnel aux seules fins de journalisme, au sens de cette disposition, pour autant qu’il ressorte de ladite vidéo que ledit enregistrement et ladite publication ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées, ce qu’il incombe à la juridiction de renvoi de vérifier.

Conclusions de l'avocat général

Arrêt rendu

C-311/18 (16 juillet 2020) - Facebook Ireland and Schrems

1.   L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

2. L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

3.   L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.

4.   L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.

5.   La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.

Conclusions de l'avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°31/2000 (21 mars 2000)

En cause : le recours en annulation totale ou partielle de la loi du 2 juin 1998 portant création d'un Centre d'information et d'avis sur les organisations sectaires nuisibles et d'une Cellule administrative de coordination de la lutte contre les organisations sectaires nuisibles (ci-après « loi attaquée »), introduit par l'a.s.b.l. Société anthroposophique belge et autres.

1. Il résulte tant de la loi du 8 décembre 1992, qui ne prévoit en effet aucune exception en la matière (voy. l’article 3, §§ 2, 3, 4 et 5), que des travaux préparatoires de la loi attaquée que la loi du 8 décembre 1992 est applicable au traitement des données personnelles par le Centre.

2. Le traitement de données à caractère personnel relatives aux opinions philosophiques ou religieuses est, selon cette loi, en principe interdit (article 6, § 1er), sauf les exceptions expressément mentionnées (article 6, § 2), parmi lesquelles figure le cas dans lequel, comme en l’espèce, « le traitement des données à caractère personnel […] est permis par une loi, un décret ou une ordonnance pour un autre motif important d’intérêt public » (littera l) et moyennant le respect des conditions particulières déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée (article 6, § 4).

3. La loi attaquée habilite le Centre à traiter des données à caractère personnel relatives aux opinions et aux activités philosophiques et religieuses pour l’accomplissement de ses missions visées à l’article 6, § 1er, 1°, de la loi attaquée - étudier le phénomène des organisations sectaires nuisibles en Belgique ainsi que leurs liens internationaux – et à l’article 6, § 1er, 3°, de la loi attaquée – assurer l’accueil et l’information du public et informer toute personne qui en fait la demande sur l’étendue de ses droits et obligations et sur les moyens de faire valoir ses droits.

4. Les garanties relatives à la confidentialité et à la sécurité des données à caractère personnel, le statut et les tâches d’un préposé à la protection des données au sein du Centre et la façon dont le Centre devra faire rapport à la Commission de la protection de la vie privée sur le traitement de données à caractère personnel sont fixés par le Roi, en application de l’article 6, § 3, alinéa 2, de la loi attaquée, dans un arrêté délibéré en Conseil des ministres. En adoptant cette disposition, le législateur a voulu prévoir des garanties particulières en la matière « vu le caractère particulièrement délicat des données sensibles que le Centre sera habilité à traiter ». Ces garanties, qui ne sauraient évidemment porter atteinte aux garanties contenues dans la loi du 8 décembre 1992, ne peuvent dès lors constituer que des garanties supplémentaires.

5. Le moyen n’est pas fondé en tant qu’il objecte que la loi attaquée entoure le traitement de données à caractère personnel par le Centre de moins de garanties que n’en prévoit le régime de droit commun.

Arrêt rendu

Cass. Be., P.16.1110.F (22 février 2017)

1. Le fichier est défini comme tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ; en application de la loi du 11 décembre 1998, la structure des données à caractère personnel doit permettre leur accessibilité selon des critères déterminés en telle sorte que ce ne sont pas les dossiers eux-mêmes, ni les contrats qui doivent faire l’objet d’une organisation ou d’une structuration mais les données qu’ils contiennent. (L. du 8 décembre 1992 ou « L. LVP », art. 1er)

2. Le niveau d’accessibilité à atteindre pour répondre à la qualification de fichier relève, en l’absence de prescription légale, de l’appréciation du juge du fond. (L. LVP, art. 1er)

3. En l’occurrence, le juge du fond considère que (i) ce sont les données à caractère personnel qui doivent faire l’objet d’un traitement au sein d’un fichier et (ii) qu’un contrat liant la banque à son client ne constitue pas un fichier au sens de la L. LVP. Par ces considérations, les juges d’appel n’ont pas confondu les notions de « données à caractère personnel », « traitement » et de « fichier » définies à l’article 1er de la L. LVP ni méconnu le champ d’application de ladite loi (art. 3). La Cour de cassation confirme la décision prise par la Cour d’appel en ce qu’elle conclut à la non-application de la L. LVP en l’absence de « fichier ». En outre, la Cour de cassation estime que les juges d’appel n’ont pas restreint le droit d’accès du demandeur lorsqu’ils ont considéré que les informations fournies par la banque étaient suffisantes à déduire qu’aucune opération n’avait été réalisée au moyen de la carte de crédit.

Arrêt rendu

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

C. const. Be., n°36/2021 (4 mars 2021)

En cause : le recours en annulation partielle de la loi du 7 mai 2019 « modifiant la loi du 7 mai 1999 sur les jeux de hasard, les paris, les établissements de jeux de hasard et la protection des joueurs, et insérant l’article 37/1 dans la loi du 19 avril 2002 relative à la rationalisation du fonctionnement  et  de  la  gestion  de  la  Loterie  Nationale »,  introduit  par l’ASBL « UBA-BNGO » et autres.

1. La Commission des jeux de hasard qui, dans le cadre du contrôle visé par la loi attaquée, sélectionne et traite les antécédents, est tenue de respecter les dispositions du RGPD et de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » (ci-après : « la loi du 30 juillet 2018 »).

2. Par ailleurs, la loi du 30 juillet 2018 s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnelcontenues ou appelées à figurer dans un fichier (article 2,alinéa1er) et au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge (article 4, alinéa 1er).

3. Du fait de l’applicabilité directe du RGPD dans la législation interne et de l’existence de la loi du 30 juillet 2018, le texte même des dispositions attaquées ne doit plus mentionner explicitement les conditions et obligations requises.

4. L’enquête d’antécédents qui sert à contrôler qu’il est satisfait à la condition que le demandeur de licence soit d’une conduite qui répond aux exigences de la fonction poursuit un but légitime et n’entraîne pas une ingérence disproportionnée dans le droit au respect de la vie privée, tel qu’il est garanti par les dispositions nationales et internationales précitées.

Arrêt rendu

C. const. Be., n°158/2021 (18 novemnbre 2021)

1. La Cour de justice […] exige seulement que « la base légale qui permet l'ingérence dans [le droit au respect de la vie privée] doit définir elle-même la portée de la limitation de l'exercice du droit concerné » (CJUE, 6 octobre 2020, C-623/17, Privacy international, point 65). Elle n'exige pas que tous les aspects de cette limitation soient réglés par une loi formelle.

Un contrôle de la disposition attaquée au regard de l'article 8 de la Convention européenne des droits de l'homme, des articles 7 et 8 de la Charte ou de l'article 5 du RGPD ne conduit dès lors pas à une autre conclusion, étant donné que ces dispositions ne permettent pas de déduire des exigences plus strictes en ce qui concerne le principe de la légalité formelle que celles qui découlent de l'article 22 de la Constitution.

La Cour constitutionnelle belge annule l'article 2 de la loi du 1er septembre 2016 « portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité », uniquement en ce qu'il ne détermine pas les données d'identification qui sont collectées et traitées et les documents d'identification qui entrent en considération;

2. la Cour constitutionnelle belge maintient les effets de la disposition annulée jusqu'à l'entrée en vigueur d'une norme législative qui énumère ces données d'identification et ces documents d'identification et au plus tard jusqu'au 31 décembre 2022 inclus;

3 . En vertu de l’article 2, paragraphe 2, point a), du RGPD, ce règlement « ne s’applique pas au traitement de données à caractère personnel effectué dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ». En vertu de l’article 2, paragraphe 2, point d), du RGPD, il ne s’applique pas non plus au traitement des données à caractère personnel effectué par les autorités compétentes à des fins de protection et de prévention des menaces pour la sécurité publique.

Étant donné que la disposition attaquée n’est applicable que dans le cadre des missions des services de renseignement et de sécurité, elle ne relève pas du champ d’application du droit de l’Union européenne. Le moyen est dès lors irrecevable en ce qu’il est pris de la violation des dispositions invoquées de la Charte, du RGPD ou de la directive 2002/58/CE.

Arrêt rendu

C. const. Be., n°33/2022 (10 mars 2022)

1. Comme il ressort des articles 2, paragraphe 1, et 9, paragraphes 1 et 2, de la directive « police », des considérants 11, 12 et 34 de celle-ci, de l’article 2, paragraphe 2, point d), du RGPD et du considérant 19 de celui-ci, le traitement des données à caractère personnel par les autorités compétentes aux fins de justice pénale énoncées à l’article 1er, paragraphe 1, de la directive « police », précité, relève de cette directive, et non du RGPD. Le traitement des données à caractère personnel à des fins autres que les fins de justice pénale et qui relève du champ d’application du droit de l’Union, est par contre soumis au RGPD.

2. Les services de police sont donc soumis au titre 2 de la loi du 30 juillet 2018 lorsqu’ils traitent des données à caractère personnel en vue de l’une des fins de justice pénale énumérées à l’article 27 de la loi du 30 juillet 2018.

3. Les services de police sont en revanche soumis au RGPD et aux mesures d’exécution de celui-ci en droit interne pour les traitements de données à caractère personnel qu’ils effectuent à des fins autres que ces fins de justice pénale, par exemple pour les traitements à des fins de gestion des ressources humaines des services de police.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°97-81.748 (24 septembre 1998)

L'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'interdit pas de faire état d'informations diffusées par des systèmes informatiques rassemblant des données qui n'ont pas été traitées de manière à donner une définition du profil ou de la personnalité de l'intéressé. Ainsi, les juges peuvent comparer l'activité réelle d'un masseur-kinésithérapeute à l'activité moyenne de l'ensemble des masseurs-kinésithérapeutes définie par des statistiques établies aux niveaux national, régional et départemental, dès lors que ces informations ne sont pas nominatives.

Arrêt rendu

CE Fr., n°240023 (4 février 2004)

Si les dispositions de l'article 2 de la loi du 6 janvier 1978 font obstacle à ce qu'une juridiction saisie d'un litige dont la solution suppose l'appréciation d'un comportement humain fonde sa décision sur les seuls résultats d'un traitement automatisé d'informations, elles n'ont en revanche ni pour objet ni pour effet de lui interdire de prendre en compte, parmi d'autres éléments d'appréciation, les résultats d'un tel traitement.

Arrêt rendu

Cass. Fr., n°04-80.048 (16 mars 2004)

Il résulte de l'arrêt attaqué et des pièces de la procédure que, pour les besoins d'une enquête préliminaire portant sur des faits de vols aggravés auxquels se seraient livrés des individus d'origine roumaine, les services de gendarmerie ont regroupé sous forme de tableaux des informations obtenues tant d'un officier d'état civil que d'un témoin, à partir desquels ils ont, dans un procès-verbal de synthèse, dégagé les liens existant entre des personnes, des véhicules et des domiciles ;

L'utilisation d'un appareillage informatique ne suffit pas, à elle seule, à caractériser un traitement automatisé au sens de l'article 5 de la loi "informatique et libertés", et que rien ne permet de retenir que les informations collectées aient fait l'objet d'un traitement automatisé, ni même qu'elles aient été conservées au-delà de leur édition sur support papier.

Arrêt rendu

Cass. Fr., n°08-84-088 (13 janvier 2009)

Ne constituent pas un traitement de données à caractère personnel relatives à des infractions, au sens des articles 2, 9 et 25 de la loi n° 78-17 du 6 janvier 1978, les constatations visuelles effectuées sur Internet et les renseignements recueillis en exécution de l'article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons.

Arrêt rendu

CE Fr., n°323694 (26 novembre 2011)

Les dispositions de l'article R. 53-8-59 du code de procédure pénale (CPP), qui se bornent à prévoir, pour chaque personne retenue, la tenue d'un dossier individuel par le service administratif du greffe du centre socio-médico-judiciaire, accessible à des personnes limitatives énumérées, n'ont, par elles-mêmes, ni pour objet ni pour effet d'autoriser un traitement automatisé de données à caractère personnel. Les informations figurant dans ce dossier individuel ne constituent pas davantage un ensemble structuré et stable de données accessibles selon des critères déterminés, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978, susceptibles à ce titre d'être regardées comme donnant lieu à un traitement non automatisé de données personnelles contenues ou appelées à figurer dans un fichier, au sens du même article.

Arrêt rendu

Cass. Fr., n°10-81.748 (30 novembre 2011)

Le premier président retient, à bon droit, que les dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont inapplicables, dès lors que l'exécution d'une opération de visite et saisie, autorisée par le juge des libertés et de la détention, est réalisée sous son contrôle et son déroulement est susceptible d'un recours devant le premier président.

Arrêt rendu

Cass. Fr., n°11-26.099 (23 avril 2013)

1. Seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la CNIL.

2. Une simple mise à jour d'un logiciel de traitement de données à caractère personnel n'entraîne pas l'obligation pour le responsable du traitement de procéder à une nouvelle déclaration.

3. Doit être cassé l'arrêt qui retient que les données à caractère personnel enregistrées par les salariés étaient nominatives en sorte que la modification du traitement des données devait être préalablement déclarée à la CNIL sans rechercher si le passage d'un logiciel à un autre n'avait pas consisté en une simple mise à jour qui ne nécessitait pas une nouvelle déclaration.

Arrêt rendu

Cass. Fr., n°13-14.991 (8 octobre 2014)

Constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL.

Encourt la cassation l'arrêt qui, pour retenir la faute du salarié, se fonde uniquement sur des éléments de preuve obtenus à l'aide d'un tel système alors que l'illicéité d'un moyen de preuve doit entraîner son rejet des débats.

Arrêt rendu

CE Fr. n°353717 (23 mars 2015)

1. Il résulte des dispositions des articles 2 et 38 de la loi n°78-17 du 6 janvier 1978 que la mise en ligne sur le réseau internet d'une base de données de jurisprudence non totalement anonymisée doit être regardée comme un traitement automatisé de données à caractère personnel au sens de la loi du 6 janvier 1978, auquel s'applique le droit d'opposition qu'elle ouvre aux personnes concernées.

2. Il ne résulte ni des dispositions de l'article 46 de la loi n° 78-17 du 6 janvier 1978 ni de celles des articles 75 et 76 du décret n° 2005-1309 du 20 octobre 2005 que le délai ouvert au responsable du traitement pour formuler des observations écrites en réponse au rapport qui lui a été notifié par la CNIL doive être cumulé avec celui dans lequel il est informé de la date de la séance de la commission à l'ordre du jour de laquelle est inscrite l'affaire qui le concerne.

Arrêt rendu

CE Fr., n°372111 (18 novembre 2015)

1. Il résulte des dispositions de l'article 2 de la loi n°78-17 du 6 janvier 1978, dans sa rédaction issue de la loi n° 2004-801 du 6 août 2004, que cette loi s'applique y compris aux traitements non automatisés de données à caractère personnel, entendus comme toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

2. Par suite, la collecte, la conservation et la consultation des empreintes digitales effectuées sur le fondement de l'article 5 du décret n°55-1397 du 22 octobre 1955 instituant la carte nationale d'identité, sous la responsabilité du ministre de l'intérieur, entrent dans le champ d'application de la loi du 6 janvier 1978, nonobstant la circonstance que ces fichiers ne sont pas numérisés et qu'ils ne sont constitués et conservés qu'au seul niveau des préfectures, pour l'arrondissement du chef-lieu d'un département, ou des sous-préfectures, et des consulats.

3. Faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.

Arrêt rendu

CE Fr., n°386525 (8 juin 2016)

Il résulte des dispositions des articles 2 et 39 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qu'elles ne prévoient la communication des données à caractère personnel qu'à la personne concernée par ces données. Des personnes ne peuvent, en leur seule qualité d'ayants droit de la personne à laquelle se rapportent les données, être regardées comme des personnes concernées.

Arrêt rendu

Cass. Fr., n°15-22.595 (3 novembre 2016)

Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la CNIL.

Arrêt rendu

CE Fr., n°399446 (7 juin 2017)

1. Il résulte des dispositions des articles 2 et 39 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, que la communication de données à caractère personnel n'est possible qu'à la personne concernée par ces données. Par suite, la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de personne concernée par leur traitement au sens de ces dispositions.

2. Toutefois, lorsque la victime d'un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l'article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des personnes concernées au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée.

Arrêt rendu

CE Fr., n°431350 (27 mars 2020)

1. a) Une mise en relation de deux traitements existants qui consiste à rapprocher des données conservées dans l'un et l'autre en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre constitue en elle-même un traitement au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978.

b) Le cadre juridique applicable à un tel traitement dépend de la finalité ainsi poursuivie.

2. a) Le traitement créé par le décret n° 2019-412 du 6 mai 2019 qui met partiellement en relation les traitements dénommés HOPSYWEB relatifs au suivi des personnes en soins psychiatriques sans consentement et le traitement dénommé fichier des signalements pour la prévention de la radicalisation à caractère terroriste a pour finalité la prévention de la radicalisation à caractère terroriste.

b) i) Il s'ensuit qu'il relève, au même titre que ce dernier, des seules dispositions applicables aux traitements intéressant la sûreté de l'Etat et la défense aujourd'hui regroupées au sein du titre IV de la loi n° 78-17 du 6 janvier 1978 ainsi que des dispositions communes à l'ensemble des traitements figurant aujourd'hui au titre I.

ii) Il ne relève dès lors pas du champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi du 6 janvier 1978 relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable.

Arrêt rendu

Retour au sommaire

Le GDPR

Le champ d’application matériel du Règlement demeure inchangé par rapport à la Directive : il s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (art. 2  Règlement).

La définition de « donnée à caractère personnel » de l’article 4, 1) du Règlement n’innove pas réellement par rapport à celle de la Directive, mais se modernise dans sa tentative de rendre compte du caractère identifiable de la personne physique en cause : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

La notion de « traitement de données à caractère personnel » est quasi-identique à celle de la Directive, si ce n’est deux « opérations » ajoutées (« la structuration » et la « limitation » qui a pris la place du verrouillage »). La notion de « fichier» est quant à elle rigoureusement identique, à savoir « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique » (art. 4, 2).

La liste des traitements qui ne relèvent pas du Règlement a été à peine modifiée dans le cadre du deuxième paragraphe de l’article 2. Sont ainsi exclus les traitements qui sont effectués :

- dans le cadre d’une activité n’entrant pas dans le champ d’application du droit de l’Union ;

- par une personne physique dans le cadre d’une activité personnelle ou domestique ;

- par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union, au sens du chapitre 2 du titre V du traité sur l'Union européenne (seule « nouveauté » par rapport à la Directive).

Initialement, les traitements effectués par les autorités compétentes pour les finalités de prévention, d’investigation, de détection ou de poursuites de crime, l’exécution des sanctions criminelles, incluant la sauvegarde et la prévention des menaces contre la sécurité publique ne relevaient pas du champ d’application du Règlement. Toutefois, cette exclusion n’a pas été maintenue dans la version finale du Règlement. Ces traitements restent donc régis par le Règlement (cfr. le commentaire de l’article 10).

Le considérant 17 précise que les traitements effectués par les institutions, organes et organismes et agences de l’Union restent régis par le Règlement 45/2001 qui devra être adapté aux principes et aux règles du futur Règlement.

Le Règlement rappelle qu’il ne porte pas atteinte à l’application de la Directive 2000/31/EC dite « e-commerce » qui a pour objectif d’assurer la libre circulation des services de la société de l’information entre les États membres. Le Règlement s’applique donc sans préjudice des règles de responsabilité des intermédiaires prévues aux articles 12 à 15 de la Directive 2000/31/CE (cfr. considérant 21 et l’article 2 (4) du Règlement).

La Directive

La Directive s’appliquait au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier, qu’il s’agisse de traitement effectué par le secteur public ou privé.

La notion de traitement automatisé visait les dossiers manuels, dès l’instant où les données sont contenues ou destinées à être contenues dans un fichier.

Les définitions utiles à la compréhension du champ d’application matériel portaient donc logiquement sur la notion de « données à caractère personnel » (art. 2.a), « traitement de données à caractère personnel » (art. 2b) et « fichier de données à caractère personnel » (art. 2 c).

L'article 3, paragraphe 2, de la Directive prévoyait deux exceptions à son champ d'application : la première exception concerne les traitements mis en œuvre pour l’exercice d’activité hors champs d’application du droit communautaire comme les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives à des domaines du droit pénal. La seconde exception prévue à l'article 3, paragraphe 2, second tiret, de la Directive porte sur le traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques, telles que la correspondance et la tenue de répertoires d’adresses.

Belgique

Le champ d’application de la loi du 8 décembre 1992 est identique à celui de la Directive en ce qu’elle vise tant les traitements automatisés, que les traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier (art. 3, § 1er). Les définitions corrélatives sont quasi-identiques à celles de la Directive. S’agissant du traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques, le législateur belge a transposé cette exclusion. Outre l’exclusion susmentionnée, le législateur belge a prévu que certaines dispositions de la loi du 8 décembre 1992 (relatives notamment aux données sensibles, aux droits des personnes, à l’obligation de notification,…) ne sont pas applicables à certaines catégories de traitements. Nous renvoyons ici à l’article 3, paragraphes 3 à 7 de la loi et à notre commentaire de l’article 21 du Règlement intitulé « Limitations ».

France

Le législateur français a transposé fidèlement le champ d’application matériel de la Directive à l’article 2 de la loi Informatique et Libertés, tout en précisant que la notion de traitement englobe toute opération portant sur des données à caractère personnel « quel que soit le procédé utilisé » ; l’exclusion des traitements effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques est contenue dans la même disposition. L’article 4 de la loi Informatique et Libertés prévoit en outre une exclusion (non prévue par la Directive) relative aux copies temporaires (« catching »).

Difficultés probables

Globalement, le champ d’application matériel du Règlement reste inchangé, par rapport à la Directive, ce qui est plutôt rassurant et source de sécurité juridique.

On se souviendra que les définitions unifiées issues de la Directive avaient donné lieu à de nombreux soucis d’interprétation, qui se sont souvent dissipés lors de l’application des lois des États membres ou des interprétations données par les autorités de contrôle et le Groupe 29.

L’absence de modification des définitions de base de la loi est plutôt rassurante et prouve que finalement, elles conservent une neutralité technologique plus que nécessaire au regard des (r)évolutions qui ont modifié les processus de traitements de données depuis 1995. On regrettera toutefois que la notion de traitement de données n’ait pas évolué, notamment dans son lien intrinsèque avec sa finalité – toujours absente de la définition.

Règlement
1e 2e

Art. 2

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué:

a) dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union;

b) par les États membres dans le cadre d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne;

c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Proposition 1 close

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel:

a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union, en ce qui concerne notamment la sécurité nationale;

b) par les institutions, organes et organismes de l'Union;

c) par les États membres dans l'exercice d'activités qui relèvent du champ d’application du chapitre 2 du traité sur l'Union européenne;

d) par une personne physique sans but lucratif dans le cadre de ses activités exclusivement personnelles ou domestiques;

e) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires.

Proposition 2 close

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel:

a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union (…);

b) par les institutions, organes, organismes et agences de l'Union;

c) par les États membres dans l'exercice d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne;

 d) par une personne physique (…) dans le cadre d'une activité (...) personnelle ou domestique;

e) par (...) des autorités publiques compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, d'exécution de sanctions pénales ou de protection contre des menaces pour la sécurité publique et de prévention de telles menaces.

 3. (...).

Directive close

Art. 3 

1. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive ne s'applique pas au traitement de données à caractère personnel:

- mis en oeuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État (y compris le bien-être économique de l'État lorsque ces traitements sont liés à des questions de sûreté de l'État) et les activités de l'État relatives à des domaines du droit pénal,

- effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 2

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

La présente loi s'applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, lorsque leur responsable remplit les conditions prévues à l'article 3 de la présente loi, à l'exception des traitements mis en œuvre par des personnes physiques pour l'exercice d'activités strictement personnelles ou domestiques.

Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Sauf dispositions contraires, dans le cadre de la présente loi s'appliquent les définitions de l'article 4 du règlement (UE) 2016/679 du 27 avril 2016.

Art. 42.

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I.-Le présent titre ne s'applique pas aux traitements de données à caractère personnel effectués :

1° Dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union européenne, notamment les traitements mentionnés au titre IV ;

2° Dans le cadre d'activités qui relèvent du champ d'application du chapitre II du titre V du traité sur l'Union européenne ;

3° Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ;

4° Aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

II.-Le présent titre s'applique sans préjudice des articles 32-3-3,32-3-4 et 34-4 du code des postes et des télécommunications relatifs à la responsabilité des prestataires de services intermédiaires tels que modifiés par l'article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et 10 de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.

III.-Le présent titre s'applique sans préjudice des dispositions de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 2.

Version initiale

La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.

Art. 4.

Version initiale

Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

 

Art. 2

Modifié par la loi n°2018-493 du 20 juin 2018

La présente loi s'applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.

Art. 4

Modifié par la loi n°2004-801 du 6 août 2004

Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art.2

La présente loi s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ci-après “le Règlement”,  s’applique également au traitement de données à caractère personnel visés aux articles 2.2.a) et 2.2.b) du Règlement.

Ancienne loi
en Belgique
close

Art. 3

La présente loi s'applique à tout traitement de données à caractère personnel automatisé en tout ou en partie, ainsi qu'à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

  § 2. La présente loi ne s'applique pas au traitement de données à caractère personnel effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK