arrow_back Retour à tous les articles

Article 23
Limitations

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 23 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 23 keyboard_arrow_up

(8) Lorsque le présent règlement dispose que le droit d'un État membre peut apporter des précisions ou des limitations aux règles qu'il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s'appliquent.

(73) Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, et au droit de rectification ou d'effacement de ces données, ou au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée, et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre , notamment un intérêt économique ou financier important de l'Union ou d'un État membre , la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Afficher les considérants de la Directive 95/46 liés à l'article 23 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 23 keyboard_arrow_up

(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;

(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;

Guidelines

Ici viendront les guidelines

D'où vient-on ?

Sous l’empire de la Directive (art. 13), les États membres étaient déjà autorisés à limiter la portée des droits et obligations prévus à l’article 6 relatif à la qualité des données ; aux articles 10 et 11 relatifs à l’information à fournir à la personne concernée ; à l’article 12 relatif au droit d’opposition et à l’article 21 relatif à la publicité des traitements. 

Il fallait cependant que de telles limitations constituent des mesures nécessaires à la réalisation d’intérêts limitativement énumérés, par exemple, sauvegarder la sûreté de l'État, la défense, la sécurité publique ou la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées.

Belgique

Le législateur belge a traduit les limitations énoncées dans la Directive, et a prévu des limitations similaires au législateur français. Il l’a fait à l’article 3, §3 de la loi du 8 décembre 1992 lorsque le traitement est nécessaire, entre autres, aux missions de police judiciaire ou administrative, aux missions des services de police et de renseignement.

France

Le droit français a traduit dans sa législation différentes limitations aux droits et obligations prévues aux articles 6, 10, 11, 12 et 21 de la Directive transposée. L’articles 32, IV de la loi Informatique et Libertés prévoit que les informations à fournir à la personne concernée peuvent se limiter à l’identité du responsable du traitement et à la finalité du traitement auquel les données sont destinées lorsque les données sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation certifié préalablement par la Commission Nationale de l’Informatique et des Libertés.

La même disposition, en son paragraphe V énonce que l’obligation d’information des personnes concernées n’est pas applicable lors d'un traitement mis en œuvre pour le compte de l'État et intéressant la sûreté de l'État, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement. Selon l’article 33, V. il en va de même lorsque le traitement de données a pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales.

Où va-t-on ?

L’article 23 du Règlement, directement inspiré de l’article 13 de la Directive, précise que les États membres peuvent maintenir ou introduire par voie législative des limitations aux droits de la personne concernée prévus aux articles 12 à 22, ainsi qu’à l’article 34 relatif à la communication à la personne concernée d'une violation de données à caractère personnel et aux principes énoncés à l’article 5, pour autant que ces limitations respectent l’essence des droits et libertés fondamentaux et qu’elles constituent une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains intérêts énumérés limitativement.

Au regard de la Directive, on remarque une extension de ces intérêts notamment, la protection contre les menaces pour la sécurité publique et la prévention de celles-ci, des objectifs importants d’intérêts publics généraux de l’Union ou d’un Etat membre notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale, ou encore la protection de l’indépendance de la justice et des procédures judiciaires ou en vue de permettre l’exécution de demandes de droit civil.

L’article 23 in fine prévoit néanmoins que les limitations législatives introduites par les États membres doivent contenir de nombreuses dispositions spécifiques relatives notamment aux finalités, aux catégories de traitement et de données à caractère personnel, à l'étendue des limitations introduites, ou encore aux risques pour les droits et les libertés des personnes concernées et au droit de la personne concernée d’être informée de telles restrictions.

Difficultés probables

Les possibilités de restrictions étant étendues, la marge de manœuvre des États augmente ce qui entraîne un risque de divergence des régimes de protection, au détriment de l’objectif d’harmonisation de la nouvelle réglementation. Il est vrai qu’en contrepartie, les États devront assortir celles-ci de plus de garanties pour les personnes, ce qui pourra alors être contrôlé par la Cour de Justice.

Règlement
1e 2e

Art. 23

1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l’essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a) la sécurité nationale;

b) la défense nationale;

c) la sécurité publique;

d) la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

f) la protection de l'indépendance de la justice et des procédures judiciaires;

g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

h) une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c), d), e) et g);

i) la protection de la personne concernée ou des droits et libertés d'autrui;

j) l'exécution des demandes de droit civil.

2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

a) aux finalités du traitement ou des catégories de traitement;

b) aux catégories de données à caractère personnel;

c) à l'étendue des limitations introduites;

d) aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites;

e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;

f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

g) aux risques pour les droits et libertés des personnes concernées; et

h) au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

Proposition 1 close

1. Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus à l'article 5, points a) à e), aux articles 11 à 20 et à l'article 32, lorsqu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour:

a) assurer la sécurité publique;

b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière;

c) sauvegarder d'autres intérêts généraux de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l’Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, ainsi que la stabilité et l'intégrité des marchés;

d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c) et d); f) garantir la protection de la personne concernée ou des droits et libertés d'autrui.

 2. Tout mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux finalités du traitement et aux modalités d'identification du responsable du traitement.

Proposition 2 close

1. Le droit de l'Union ou la législation de l'État membre dont relève le responsable du traitement ou le sous-traitant peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus (...) aux articles 12 à 20 et à l'article 32, ainsi qu'à l'article 5 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 12 à 20, lorsqu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour:

a bis) assurer la sécurité nationale;

a ter) garantir la défense nationale;

a) assurer la sécurité publique;

b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ou l'exécution de sanctions pénales, ou la protection contre les menaces pour la sécurité publique et la prévention de celles-ci.

c) sauvegarder d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale, ainsi que la stabilité et l'intégrité des marchés;

c bis) assurer la protection de l'indépendance de la justice et des procédures judiciaires;

d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), a bis), a ter), b), c) et d);

f) garantir la protection de la personne concernée ou des droits et libertés d'autrui;

g) permettre l'exécution des demandes de droit civil.

2. Tout mesure législative visée au paragraphe 1 doit contenir des dispositions spécifiques relatives, au moins, le cas échéant, aux finalités du traitement ou des catégories de traitement, aux catégories de données à caractère personnel, à l'étendue des limitations introduites, à la détermination du responsable du traitement ou des catégories de responsables du traitement, aux périodes de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ainsi que des risques pour les droits et les libertés des personnes concernées.

Directive

Art. 13

1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l'article 6 paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder:

a) la sûreté de l'État;

b) la défense;

c) la sécurité publique;

d) la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;

e) un intérêt économique ou financier important d'un État membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal;

f) une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique, dans les cas visés aux points c), d) et e);

g) la protection de la personne concernée ou des droits et libertés d'autrui.

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

France

Art. 32

(…)

IV.-Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

 

V.-Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

VI.-Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

Art. 41

Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient.

La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

Art. 42

Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27.

Belgique

Art. 3

(…)

§ 3. Les articles 6 à 10, 12, 14, 15, 17, 17bis, alinéa 1er, 18, 20 et 31, §§ 1er à 3, ne s'appliquent pas aux traitements de données à caractère personnel gérés par la Sûreté de l'Etat, par le Service général du renseignement et de la sécurité des forces armées, par (les autorités visées aux articles 15, 22ter et 22quinquies de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité et l'organe de recours créé par la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité), par les officiers de sécurité et par le Comité permanent de contrôle des services de renseignements et son Service d'enquêtes, (ainsi que par l'Organe de coordination pour l'analyse de la menace,) lorsque ces traitements sont nécessaires à l'exercice de leurs missions.

§ 5. Les articles 9, 10, § 1er, et 12 ne s'appliquent pas :

  1° aux traitements de données à caractère personnel gérés par des autorités publiques en vue de l'exercice de leurs missions de police judiciaire;

  2° aux traitements de données à caractère personnel gérés par les services de police visés à l'article 3 de la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignements, en vue de l'exercice de leurs missions de police administrative;

  3° aux traitements de données à caractère personnel gérés en vue de l'exercice de leurs missions de police administrative, par d'autres autorités publiques qui ont été désignées par arrêté royal délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée;

  4° aux traitements de données à caractère personnel rendus nécessaires par la loi du 11 janvier 1993 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux;

  5° au traitement de données à caractère personnel géré par le Comité permanent de contrôle des services de police et par son Service d'enquêtes en vue de l'exercice de leurs missions légales.

  § 6. Les articles 6, 8, 9, 10, § 1er, et 12 ne sont pas applicables après autorisation accordée par le Roi par arrêté délibéré en Conseil des ministres, aux traitements gérés par le Centre européen pour enfants disparus et sexuellement exploités, ci-après dénommé "le Centre", établissement d'utilité publique constitué par acte du 25 juin 1997 et reconnu par arrêté royal du 10 juillet 1997, pour la réception, la transmission à l'autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées dans un dossier déterminé de disparition ou d'exploitation sexuelle, d'avoir commis un crime ou un délit. Cet arrêté détermine la durée et les conditions de l'autorisation après avis de la Commission de la protection de la vie privée

  Le Centre ne peut tenir un fichier de personnes suspectes d'avoir commis un crime ou un délit ou de personnes condamnées.

  Le conseil d'administration du Centre désigne parmi les membres du personnel du Centre un préposé à la protection des données ayant connaissance de la gestion et de la protection des données à caractère personnel. L'exercice de ses missions ne peut entraîner pour le préposé des désavantages. Il ne peut, en particulier, être licencié ou remplacé comme préposé à cause de l'exécution des tâches qui lui sont confiées. Le Roi détermine par arrêté délibéré en Conseil des ministres et après avis de la Commission de la protection de la vie privée les tâches du préposé et la manière dont ces tâches sont exécutées ainsi que la manière dont le Centre doit faire rapport à la Commission de la protection de la vie privée sur le traitement des données à caractère personnel effectué dans le cadre de l'autorisation accordée.

  Les membres du personnel et ceux qui traitent des données à caractère personnel pour le Centre sont tenus au secret.

  Toute violation de ce secret sera sanctionnée conformément aux dispositions de l'article 458 du Code pénal.

  Dans le cadre de ses missions d'appui à la recherche d'enfants signalés comme disparus ou enlevés, le Centre ne peut procéder à l'enregistrement de conversations téléphoniques si l'appelant en a été informé et dans la mesure où il ne s'y oppose pas.

  § 7. [1 Sans préjudice de l'application de dispositions légales particulières, l'article 10 n'est pas applicable aux traitements de données à caractère personnel gérés par le Service public fédéral Finances pendant la période durant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci, effectués par le Service public fédéral Finances dans le cadre de l'exécution de ses missions légales, dans la mesure où cette application nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires et pour leur seule durée.

   La durée de ces actes préparatoires pendant laquelle ledit article 10 n'est pas applicable, ne peut excéder un an à partir de la demande introduite en application de cet article 10.

   Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée à l'alinéa 1er, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête ou dès la clôture des actes préparatoires lorsque ceux-ci n'ont pas abouti à un contrôle ou une enquête. Le Service de Sécurité de l'Information et Protection de la Vie Privée en informe le contribuable concerné sans délai et lui communique dans son entièreté la motivation contenue dans la décision du responsable du traitement ayant fait usage de l'exception.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK