arrow_back Retour à tous les articles

Article 2
Champ d'application matériel

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 2 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 2 keyboard_arrow_up

(14) La protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

(15) Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l’aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.

(16) Le présent règlement ne s'applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d'application du droit de l'Union, telles que les activités relatives à la sécurité nationale. Le présent règlement en s'applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.

(17) Le règlement (CE) nº 45/2001 du Parlement européen et du Conseil1 s'applique au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union. Le règlement (CE) nº 45/2001 et les autres actes juridiques de l'Union applicables audit traitement des données à caractère personnel devraient être adaptés aux principes et aux règles fixés dans le présent règlement et appliqués à la lumière du présent règlement. Pour mettre en place un cadre de protection des données solide et cohérent dans l'Union, il convient, après l'adoption du présent règlement, d'apporter les adaptations nécessaires au règlement (CE) n° 45/2001 de manière à ce que celles-ci s'appliquent en même temps que le présent règlement.

(18) Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

(19) La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/… du Parlement européen et du Conseil1*. Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/…** des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement. En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.

(20) Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.

(21) Le présent règlement s'applique sans préjudice de l’application de la directive 2000/31/CE du Parlement européen et du Conseil1, et notamment du régime de responsabilité des prestataires de services intermédiaires prévu dans ses articles 12 à . Cette directive a pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services de la société de l'information entre les États membres.

Afficher les considérants de la Directive 95/46 liés à l'article 2 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 2 keyboard_arrow_up

(12) considérant que les principes de la protection doivent s'appliquer à tout traitement de données à caractère personnel dès lors que les activités du responsable du traitement relèvent du champ d'application du droit communautaire; que doit être exclu le traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d'adresses;

(13) considérant que les activités visées aux titres V et VI du traité sur l'Union européenne concernant la sécurité publique, la défense, la sûreté de l'État ou les activités de l'État dans le domaine pénal ne relèvent pas du champ d'application du droit communautaire, sans préjudice des obligations incombant aux États membres au titre de l'article 56 paragraphe 2 et des articles 57 et 100 A du traité; que le traitement de données à caractère personnel qui est nécessaire à la sauvegarde du bien-être économique de l'État ne relève pas de la présente directive lorsque ce traitement est lié à des questions de sûreté de l'État;

(14) considérant que, compte tenu de l'importance du développement en cours, dans le cadre de la société de l'information, des techniques pour capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données constituées par des sons et des images, relatives aux personnes physiques, la présente directive est appelée à s'appliquer aux traitements portant sur ces données;

(15) considérant que les traitements portant sur de telles données ne sont couverts par la présente directive que s'ils sont automatisés ou si les données sur lesquelles ils portent sont contenues ou sont destinées à être contenues dans un fichier structuré selon des critères spécifiques relatifs aux personnes, afin de permettre un accès aisé aux données à caractère personnel en cause;

(16) considérant que les traitements des données constituées par des sons et des images, tels que ceux de vidéo-surveillance, ne relèvent pas du champ d'application de la présente directive s'ils sont mis en oeuvre à des fins de sécurité publique, de défense, de sûreté de l'État ou pour l'exercice des activités de l'État relatives à des domaines du droit pénal ou pour l'exercice d'autres activités qui ne relèvent pas du champ d'application du droit communautaire;

(17) considérant que, pour ce qui est des traitements de sons et d'images mis en oeuvre à des fins de journalisme ou d'expression littéraire ou artistique, notamment dans le domaine audiovisuel, les principes de la directive s'appliquent d'une manière restreinte selon les dispositions prévues à l'article 9;

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive s’appliquait au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier, qu’il s’agisse de traitement effectué par le secteur public ou privé.

La notion de traitement automatisé visait les dossiers manuels, dès l’instant où les données sont contenues ou destinées à être contenues dans un fichier.

Les définitions utiles à la compréhension du champ d’application matériel portaient donc logiquement sur la notion de « données à caractère personnel » (art. 2.a), « traitement de données à caractère personnel » (art. 2b) et « fichier de données à caractère personnel » (art. 2 c).

L'article 3, paragraphe 2, de la Directive prévoyait deux exceptions à son champ d'application : la première exception concerne les traitements mis en œuvre pour l’exercice d’activité hors champs d’application du droit communautaire comme les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives à des domaines du droit pénal. La seconde exception prévue à l'article 3, paragraphe 2, second tiret, de la Directive porte sur le traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques, telles que la correspondance et la tenue de répertoires d’adresses.

Belgique

Le champ d’application de la loi du 8 décembre 1992 est identique à celui de la Directive en ce qu’elle vise tant les traitements automatisés, que les traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier (art. 3, § 1er). Les définitions corrélatives sont quasi-identiques à celles de la Directive. S’agissant du traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques, le législateur belge a transposé cette exclusion. Outre l’exclusion susmentionnée, le législateur belge a prévu que certaines dispositions de la loi du 8 décembre 1992 (relatives notamment aux données sensibles, aux droits des personnes, à l’obligation de notification,…) ne sont pas applicables à certaines catégories de traitements. Nous renvoyons ici à l’article 3, paragraphes 3 à 7 de la loi et à notre commentaire de l’article 21 du Règlement intitulé « Limitations ».

France

Le législateur français a transposé fidèlement le champ d’application matériel de la Directive à l’article 2 de la loi Informatique et Libertés, tout en précisant que la notion de traitement englobe toute opération portant sur des données à caractère personnel « quel que soit le procédé utilisé » ; l’exclusion des traitements effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques est contenue dans la même disposition. L’article 4 de la loi Informatique et Libertés prévoit en outre une exclusion (non prévue par la Directive) relative aux copies temporaires (« catching »).

Où va-t-on ?

Le champ d’application matériel du Règlement demeure inchangé par rapport à la Directive : il s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (art. 2  Règlement).

La définition de « donnée à caractère personnel » de l’article 4, 1) du Règlement n’innove pas réellement par rapport à celle de la Directive, mais se modernise dans sa tentative de rendre compte du caractère identifiable de la personne physique en cause : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

La notion de « traitement de données à caractère personnel » est quasi-identique à celle de la Directive, si ce n’est deux « opérations » ajoutées (« la structuration » et la « limitation » qui a pris la place du verrouillage »). La notion de « fichier» est quant à elle rigoureusement identique, à savoir « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique » (art. 4, 2).

La liste des traitements qui ne relèvent pas du Règlement a été à peine modifiée dans le cadre du deuxième paragraphe de l’article 2. Sont ainsi exclus les traitements qui sont effectués :

- dans le cadre d’une activité n’entrant pas dans le champ d’application du droit de l’Union ;

- par une personne physique dans le cadre d’une activité personnelle ou domestique ;

- par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union, au sens du chapitre 2 du titre V du traité sur l'Union européenne (seule « nouveauté » par rapport à la Directive).

Initialement, les traitements effectués par les autorités compétentes pour les finalités de prévention, d’investigation, de détection ou de poursuites de crime, l’exécution des sanctions criminelles, incluant la sauvegarde et la prévention des menaces contre la sécurité publique ne relevaient pas du champ d’application du Règlement. Toutefois, cette exclusion n’a pas été maintenue dans la version finale du Règlement. Ces traitements restent donc régis par le Règlement (cfr. le commentaire de l’article 10).

Le considérant 17 précise que les traitements effectués par les institutions, organes et organismes et agences de l’Union restent régis par le Règlement 45/2001 qui devra être adapté aux principes et aux règles du futur Règlement.

Le Règlement rappelle qu’il ne porte pas atteinte à l’application de la Directive 2000/31/EC dite « e-commerce » qui a pour objectif d’assurer la libre circulation des services de la société de l’information entre les États membres. Le Règlement s’applique donc sans préjudice des règles de responsabilité des intermédiaires prévues aux articles 12 à 15 de la Directive 2000/31/CE (cfr. considérant 21 et l’article 2 (3) du Règlement).

Difficultés probables

Globalement, le champ d’application matériel du Règlement reste inchangé, par rapport à la Directive, ce qui est plutôt rassurant et source de sécurité juridique.

On se souviendra que les définitions unifiées issues de la Directive avaient donné lieu à de nombreux soucis d’interprétation, qui se sont souvent dissipés lors de l’application des lois des États membres ou des interprétations données par les autorités de contrôle et le Groupe 29.

L’absence de modification des définitions de base de la loi est plutôt rassurante et prouve que finalement, elles conservent une neutralité technologique plus que nécessaire au regard des (r)évolutions qui ont modifié les processus de traitements de données depuis 1995. On regrettera toutefois que la notion de traitement de données n’ait pas évolué, notamment dans son lien intrinsèque avec sa finalité – toujours absente de la définition.

Règlement
1e 2e

Art. 2

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué:

a) dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union;

b) par les États membres dans le cadre d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne;

c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Proposition 1 close

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel:

a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union, en ce qui concerne notamment la sécurité nationale;

b) par les institutions, organes et organismes de l'Union;

c) par les États membres dans l'exercice d'activités qui relèvent du champ d’application du chapitre 2 du traité sur l'Union européenne;

d) par une personne physique sans but lucratif dans le cadre de ses activités exclusivement personnelles ou domestiques;

e) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires.

Proposition 2 close

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel:

a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union (…);

b) par les institutions, organes, organismes et agences de l'Union;

c) par les États membres dans l'exercice d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne;

 d) par une personne physique (…) dans le cadre d'une activité (...) personnelle ou domestique;

e) par (...) des autorités publiques compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, d'exécution de sanctions pénales ou de protection contre des menaces pour la sécurité publique et de prévention de telles menaces.

 3. (...).

Directive

Art. 3 

1. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive ne s'applique pas au traitement de données à caractère personnel:

- mis en oeuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État (y compris le bien-être économique de l'État lorsque ces traitements sont liés à des questions de sûreté de l'État) et les activités de l'État relatives à des domaines du droit pénal,

- effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

France

Art. 2.

La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5.

Art. 4.

Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d'autres destinataires du service le meilleur accès possible aux informations transmises.

Belgique

Art. 3

La présente loi s'applique à tout traitement de données à caractère personnel automatisé en tout ou en partie, ainsi qu'à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

  § 2. La présente loi ne s'applique pas au traitement de données à caractère personnel effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK