arrow_back Retour à tous les articles

Article 23
Limitations

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 23 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 23 keyboard_arrow_up

(8) Lorsque le présent règlement dispose que le droit d'un État membre peut apporter des précisions ou des limitations aux règles qu'il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s'appliquent.

(73) Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, et au droit de rectification ou d'effacement de ces données, ou au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée, et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre , notamment un intérêt économique ou financier important de l'Union ou d'un État membre , la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Afficher les considérants de la Directive 95/46 liés à l'article 23 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 23 keyboard_arrow_up

(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;

(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Déclaration sur le traitement des données à caractère personnel dans le contexte de l’épidémie de COVID-19 (19 mars 2020)

Le comité européen de la protection des données (EDPB) a adopté la déclaration suivante: Partout en Europe, les gouvernements et les organisations publiques et privées prennent des mesures pour enrayer et atténuer la COVID-19. Ces mesures peuvent impliquer le traitement de différents types de données à caractère personnel. Les règles en matière de protection des données (telles que le RGPD) n’entravent pas les mesures prises dans le cadre de la lutte contre la pandémie de coronavirus. La lutte contre les maladies transmissibles constitue un important objectif partagé par toutes les nations et il convient donc de la soutenir de la meilleure manière possible. Il est dans l’intérêt de l’humanité de freiner la propagation des maladies et d’utiliser des techniques modernes pour lutter contre les fléaux qui frappent de grandes parties du monde. Malgré tout, l’EDPB souhaite souligner le fait que, même en cette période hors du commun, le responsable du traitement des données et le sous-traitant doivent garantir la protection des données à caractère personnel des personnes concernées. Par conséquent, il y a lieu de tenir compte d’un certain nombre de considérations pour garantir la licéité du traitement des données à caractère personnel et, en tout état de cause, il convient de rappeler que toute mesure prise dans ce contexte doit respecter les principes généraux du droit et ne pas être irréversible. L’urgence est une circonstance juridique susceptible de légitimer des restrictions aux libertés à condition que ces restrictions soient proportionnées et limitées à la période d’urgence.

Lien

Déclaration relative aux limitations imposées aux droits des personnes concernées dans le cadre de l’état d’urgence1 dans les États membres (2 juin 2020)

Lien

Guidelines on restrictions under Article 23 GDPR - 10/2020 (13 Octobre 2021)

This document seeks to provide guidance as to the application of Article 23 GDPR. These Guidelines provide a thorough analysis of the criteria to apply restrictions, the assessments that need to be observed, how data subjects can exercise their rights once the restriction is lifted and the consequences for infringements of Article 23 GDPR.

The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 16(2) of the Treaty on the Functioning of the European Union mandates the European Parliament and the Council to lay down the rules in relation to the protection of personal data and the rules relating to the free movement of personal data. The GDPR protects the rights and freedoms of natural persons and in particular their right to data protection. Data protection cannot be ensured without adhering to the rights and principles set out in the GDPR (Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided in Articles 12 to 22 GDPR). All these rights and obligations are at the core of the fundamental right to data protection and their application should be the general rule. In particular, any limitation to the fundamental right to data protection needs to observe Article 52 of the Charter of fundamental rights of the European Union (‘the Charter’).

It is against this background that Article 23 GDPR should be read and interpreted. This provision is entitled ‘restrictions’. It provides that, under Union or Member State law, the application of certain provisions of the Regulation, relating to the rights of the data subjects and controllers’ obligations, may be restricted in the situations therein listed. Restrictions should be seen as exceptions to the general rule allowing the exercise of rights and imposing the obligations enshrined in the GDPR . 

As such, restrictions should be interpreted narrowly, only be applied in specifically provided circumstances and only when certain conditions are met.

Even in exceptional situations, the protection of personal data cannot be restricted in its entirety. It must be upheld in all emergency measures, as per Article 23 GDPR thus contributing to the respect of the overarching values of democracy, rule of law and fundamental rights on which the Union is founded: any measure taken by Member States shall respect the general principles of law, the essence of the fundamental rights and freedoms and shall not be irreversible and data controllers and processors shall continue to comply with data protection rules.

In all cases, where Union or Member State law allows restrictions to data subjects’ rights or to the obligations of the controllers (including joint controllers3 ) and processors4 , it should be noted that the accountability principle, as laid down in Article 5(2) GDPR, is still applicable. This means that the controller is responsible for, and shall be able to demonstrate to the data subjects his or her compliance with the EU data protection framework, including the principles relating to the processing of their data.

When the EU or national legislator lays down restrictions based on Article 23 GDPR, it shall ensure that it meets the requirements set out in Article 52(1) of the Charter, and in particular conduct a proportionality assessment so that restrictions are limited to what is strictly necessary.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-473/12 (7 novembre 2013) - IPI

L’article 13, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les États membres ont non pas l’obligation, mais la faculté de transposer dans leur droit national une ou plusieurs des exceptions qu’il prévoit à l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel.

L’activité de détective privé agissant pour le compte d’un organisme professionnel afin de rechercher des manquements à la déontologie d’une profession réglementée, en l’occurrence celle d’agent immobilier, relève de l’exception prévue à l’article 13, paragraphe 1, sous d), de la directive 95/46.

Arrêt rendu

C-201/14 (1 octobre 2015) - Bara e.a.

Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°31/2000 (21 mars 2000)

En cause : le recours en annulation totale ou partielle de la loi du 2 juin 1998 portant création d'un Centre d'information et d'avis sur les organisations sectaires nuisibles et d'une Cellule administrative de coordination de la lutte contre les organisations sectaires nuisibles (ci-après « loi attaquée »), introduit par l'a.s.b.l. Société anthroposophique belge et autres.

1. Il résulte tant de la loi du 8 décembre 1992, qui ne prévoit en effet aucune exception en la matière (voy. l’article 3, §§ 2, 3, 4 et 5), que des travaux préparatoires de la loi attaquée que la loi du 8 décembre 1992 est applicable au traitement des données personnelles par le Centre.

2. Le traitement de données à caractère personnel relatives aux opinions philosophiques ou religieuses est, selon cette loi, en principe interdit (article 6, § 1er), sauf les exceptions expressément mentionnées (article 6, § 2), parmi lesquelles figure le cas dans lequel, comme en l’espèce, « le traitement des données à caractère personnel […] est permis par une loi, un décret ou une ordonnance pour un autre motif important d’intérêt public » (littera l) et moyennant le respect des conditions particulières déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée (article 6, § 4).

3. La loi attaquée habilite le Centre à traiter des données à caractère personnel relatives aux opinions et aux activités philosophiques et religieuses pour l’accomplissement de ses missions visées à l’article 6, § 1er, 1°, de la loi attaquée - étudier le phénomène des organisations sectaires nuisibles en Belgique ainsi que leurs liens internationaux – et à l’article 6, § 1er, 3°, de la loi attaquée – assurer l’accueil et l’information du public et informer toute personne qui en fait la demande sur l’étendue de ses droits et obligations et sur les moyens de faire valoir ses droits.

4. Les garanties relatives à la confidentialité et à la sécurité des données à caractère personnel, le statut et les tâches d’un préposé à la protection des données au sein du Centre et la façon dont le Centre devra faire rapport à la Commission de la protection de la vie privée sur le traitement de données à caractère personnel sont fixés par le Roi, en application de l’article 6, § 3, alinéa 2, de la loi attaquée, dans un arrêté délibéré en Conseil des ministres. En adoptant cette disposition, le législateur a voulu prévoir des garanties particulières en la matière « vu le caractère particulièrement délicat des données sensibles que le Centre sera habilité à traiter ». Ces garanties, qui ne sauraient évidemment porter atteinte aux garanties contenues dans la loi du 8 décembre 1992, ne peuvent dès lors constituer que des garanties supplémentaires.

5. Le moyen n’est pas fondé en tant qu’il objecte que la loi attaquée entoure le traitement de données à caractère personnel par le Centre de moins de garanties que n’en prévoit le régime de droit commun.

Arrêt rendu

Cass. Be., P.14.0069.N (26 mai 2015)

L’article 17 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel impose au responsable du traitement automatisé de données l’obligation d’en faire la déclaration préalable auprès de la Commission de la protection de la vie privée.

Ni le fait que les services de police puissent, sur la base de l’article 44/1 de la loi du 5 août 1992 sur la fonction de police, traiter des informations à caractère personnel, ni la dispense d’autorisation pour effectuer des communications électroniques fournie par le comité sectoriel pour l’autorité fédérale par l’arrêté royal du 4 juin 2003 fixant dérogation à l’autorisation visée à l’article 36bis de la loi du 8 décembre 1992 relative à la protection de la vie privée au profit de la banque de données nationale générale de la police, n’ont pour conséquence qu’il ne doit pas y avoir de déclaration préalable des traitements, ainsi qu’il est prévu à l’article 17 de la loi du 8 décembre 1992.

Arrêt rendu

C. const., n°28/2016 (25 février 2016)

La Cour constitutionnelle belge annule l’article 9 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel dans la mesure où il s’applique automatiquement à l’organisme professionnel de droit public qui est chargé par la loi de rechercher des manquements à la déontologie d’une profession réglementée, et à l’activité d’un détective privé ayant été autorisé à agir pour l’organisme professionnel en question conformément à l’article 13 de la loi du 19 juillet 1991 organisant la profession de détective privé. Ces situations tombent dès lors en dehors du champ d’application de l’article 9 de la loi du 8 décembre 1992, dans l’attente de l’extension formelle, par le législateur, des exemptions prévues par l’article 3 de ladite loi.

Arrêt rendu

C. const. Be., n°22/2022 (10 février 2022)

1. En cause : le recours en annulation de l’article 5 de la loi du 29 mars 2018 « modifiant les articles 2 et 9ter de la loi du 2 avril 1965 relative à la prise en charge des secours accordés par les centres publics d’action sociale », en tant qu’il remplace le paragraphe 5 de l’article 9ter de la loi du 2 avril 1965 précitée, introduit par l’ASBL « Medimmigrant » et autres. La disposition attaquée confie au médecin-contrôle de la Caisse auxiliaire d’assurance maladie-invalidité (ci-après : la CAAMI) la mission de contrôler a posteriori le caractère urgent des soins médicaux dispensés par les prestataires de soins dans le cadre de l’aide médicale urgente aux personnes en séjour illégal, et, le cas échéant, d’infliger une sanction financière aux prestataires qui auraient dispensé des soins non conformes aux critères fixés par la loi.

2. Le droit au respect de la vie privée des personnes physiques dans le cadre du traitement automatique des données à caractère personnel n’est pas absolu. L’article 23 du RGPD précise que les droits consacrés par ce règlement peuvent être limités moyennant le respect de l’essence de ceux-ci et que la limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment, des objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale (article 23, paragraphe 1, e)), de la prévention et de la détection de manquements à la déontologie des professions réglementées, ainsi que des enquêtes et des poursuites en la matière (article 23, paragraphe 1, g)) et d’une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique (article 23, paragraphe 1, h)). […]

3. Les contrôles prévus par la disposition attaquée peuvent déboucher sur des sanctions de nature civile, dans l’intérêt du financement de la sécurité sociale, destinées à mettre fin à une situation contraire à la loi. Il s’agit d’un objectif d’intérêt général. Ces contrôles sont effectués par le seul médecin-contrôle de la CAAMI, à l’exclusion de tout autre membre de l’administration. En tant que médecin, il est soumis au secret professionnel ainsi qu’aux règles déontologiques propres à sa profession. Pour le surplus, la disposition attaquée confie au Roi le soin de préciser les modalités des contrôles prévus par la disposition attaquée, ce qui ne Le dispense pas de respecter, à cette occasion, la réglementation relative à la protection des données à caractère personnel, sous le contrôle du juge compétent.

4. La Cour constitutionnelle belge conclut que le moyen pris en violation des articles 5 et 9 du RGPD est non fondé.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

CE Fr., n°336382 (24 août 2011)

Concerne : L'arrêté du 25 novembre 2009 du ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'Etat porte création par la direction générale des finances publiques (DGFiP) d'un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales dénommé « EVAFISC »

1. En vertu de l'article 32 de la loi n° 78-17 du 6 janvier 1978, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée des caractéristiques essentielles du traitement de données et de ses droits. Toutefois, en application des V et VI de l'article 32, cette obligation d'information ne concerne pas les traitements intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, ainsi que la prévention, la recherche, la constatation ou la poursuite d'infractions pénales. Il résulte de ces dispositions que la dispense de l'obligation d'information ne peut avoir d'effet utile, préservant les finalités mentionnées par les V et VI de l'article 32, qu'appliquée à l'ensemble du traitement de données en cause, dès lors que ces finalités s'avèrent, sous le contrôle du juge, essentielles à ce traitement et alors même que ce dernier aurait également d'autres finalités, insusceptibles par elles-mêmes d'ouvrir droit à cette dispense. L'article 6 de l'arrêté mentionne que le droit à l'information garanti par l'article 32 ne s'applique pas au traitement qu'il crée. L'article 2 de l'arrêté dispose que ce traitement a pour principale finalité la prévention, la recherche, la constatation ou la poursuite d'infractions pénales en matière fiscale. Les autres finalités de ce traitement, également mentionnées à l'article 2, sont accessoires par rapport à sa finalité principale, qui nécessite une dispense de l'obligation d'information. Par suite, l'arrêté pouvait légalement écarter l'application de l'obligation d'information pour l'ensemble du traitement qu'il crée.

2. L'article 6 de l'arrêté a exclu l'application du droit d'opposition pour le traitement qu'il crée. En prévoyant ainsi, conformément au troisième alinéa de l'article 38 de la loi du 6 janvier 1978, que le droit d'opposition prévu au premier alinéa de cet article 38 ne s'exerce pas, l'arrêté a entendu, d'une part, concilier l'intérêt général qui s'attache à la prévention et à la recherche des infractions fiscales avec la protection de la vie privée, et, d'autre part, assurer l'effectivité de la finalité poursuivie à titre principal par le traitement en cause, en ne permettant pas aux personnes en infraction avec les textes pénaux ou fiscaux de s'opposer au recensement des informations permettant d'établir ces infractions. La CNIL a émis un avis public et motivé sur le projet d'arrêté créant ce traitement et qu'elle est légalement tenue de garantir, sous le contrôle du juge, l'effectivité du droit d'accès direct ou indirect et du droit de rectification. Par suite, c'est sans erreur de droit et sans atteinte disproportionnée au droit garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales que l'arrêté a fait application de la faculté prévue par l'article 38 de la loi du 6 janvier 1978 d'écarter l'application du droit d'opposition.

Arrêt rendu

CE Fr., n°328634 (3 juin 2013)

Il résulte des dispositions de l'article 41 de la loi n° 78-17 du 6 janvier 1978, dans sa rédaction issue de la loi du 6 août 2004, et de l'article 88 du décret n° 2005-1309 du 20 octobre 2005 pris pour son application que, quand le responsable d'un traitement intéressant la sûreté de l'Etat, la défense ou la sécurité publique oppose un refus à une demande d'accès indirect ou de rectification, l'indication alors fournie au demandeur par le président de la Commission nationale de l'informatique et des libertés (CNIL) selon laquelle il a été procédé aux vérifications nécessaires ne peut être regardée comme l'exercice par la CNIL de l'une de ses compétences, mais comme la simple notification d'une décision de refus d'accès prise par le responsable du traitement. Cette décision relève, en cas de litige, de la compétence du tribunal administratif dans le ressort duquel l'autorité qui l'a prise à son siège.

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

Arrêt rendu

Cass. Fr., n°20-12.263 (10 novembre 2021)

En application de l'article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004, dans sa version antérieure à l'entrée en vigueur du RGPD, les salariés concernés doivent être informés, préalablement à la mise en œuvre d'un traitement de données à caractère personnel, de l'identité du responsable du traitement des données ou de son représentant, de la (ou les) finalité(s) poursuivie(s) par le traitement, des destinataires ou catégorie de destinataires de données, de l'existence d'un droit d'accès aux données les concernant, d'un droit de rectification et d'un droit d'opposition pour motif légitime, ainsi que des modalités d'exercice de ces droits. Selon l'article L. 442-6 du code du travail, applicable à Mayotte, dans sa version en vigueur du 1er janvier 2006 au 1er janvier 2018, le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés. En application des articles 6 et 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, l'illicéité d'un moyen de preuve, au regard des dispositions susvisées, n'entraîne pas nécessairement son rejet des débats, le juge devant apprécier si l'utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve, lequel peut justifier la production d'éléments portant atteinte à la vie personnelle d'un salarié à la condition que cette production soit indispensable à l'exercice de ce droit et que l'atteinte soit strictement proportionnée au but poursuivi. Encourt la cassation l'arrêt qui énonce que la loi du 21 janvier 1995 autorise l'utilisation de système de vidéo-surveillance dans des lieux ou des établissements ouverts au public particulièrement exposés à des risques d'agression ou de vol afin d'y assurer la sécurité des biens et des personnes, ce qui est le cas d'une pharmacie dans le contexte d'insécurité régnant à Mayotte et ajoute que les salariés ont été informés de la mise en place de ce système par note de service, en sorte que l'utilisation des enregistrements de vidéo-surveillance comme mode de preuve est licite alors que le système de vidéo-surveillance destiné à la protection et la sécurité des biens et des personnes dans les locaux de l'entreprise permettait également de contrôler et de surveiller l'activité des salariés et avait été utilisé par l'employeur afin de recueillir et d'exploiter des informations concernant personnellement le salarié, ce dont il résulte que l'employeur aurait dû informer les salariés et consulter le comité d'entreprise sur l'utilisation de ce dispositif à cette fin et qu'à défaut, ce moyen de preuve tiré des enregistrements de la salariée était illicite et, dès lors, les prescriptions et les dispositions des articles 6 et 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales invocables.

Arrêt rendu

CE Fr., n°396669 (5 mai 2017)

Formation spécialisée ayant procédé à l'examen de l'acte réglementaire autorisant la création du fichier litigieux et des éléments fournis par le ministre et la Commission nationale de l'informatique et des libertés (CNIL). Cet examen a révélé que des données concernant le requérant figuraient illégalement dans le fichier litigieux. Par suite, il y a lieu d'ordonner l'effacement de ces données.

Arrêt rendu

CE Fr., n°449209 (28 janvier 2022)

1. Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du guichet unique applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.

2. a) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi n° 78-17 du 6 janvier 1978.

b) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.

c) La CNIL ayant, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du RGPD, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. CNIL ayant, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, et afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière.

d) Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition.

e) Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.

Arrêt rendu

Retour au sommaire

Le GDPR

L’article 23 du Règlement, directement inspiré de l’article 13 de la Directive, précise que les États membres peuvent maintenir ou introduire par voie législative des limitations aux droits de la personne concernée prévus aux articles 12 à 22, ainsi qu’à l’article 34 relatif à la communication à la personne concernée d'une violation de données à caractère personnel et aux principes énoncés à l’article 5, pour autant que ces limitations respectent l’essence des droits et libertés fondamentaux et qu’elles constituent une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains intérêts énumérés limitativement.

Au regard de la Directive, on remarque une extension de ces intérêts notamment, la protection contre les menaces pour la sécurité publique et la prévention de celles-ci, des objectifs importants d’intérêts publics généraux de l’Union ou d’un Etat membre notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale, ou encore la protection de l’indépendance de la justice et des procédures judiciaires ou en vue de permettre l’exécution de demandes de droit civil.

L’article 23 in fine prévoit néanmoins que les limitations législatives introduites par les États membres doivent contenir de nombreuses dispositions spécifiques relatives notamment aux finalités, aux catégories de traitement et de données à caractère personnel, à l'étendue des limitations introduites, ou encore aux risques pour les droits et les libertés des personnes concernées et au droit de la personne concernée d’être informée de telles restrictions.

La Directive

Sous l’empire de la Directive (art. 13), les États membres étaient déjà autorisés à limiter la portée des droits et obligations prévus à l’article 6 relatif à la qualité des données ; aux articles 10 et 11 relatifs à l’information à fournir à la personne concernée ; à l’article 12 relatif au droit d’opposition et à l’article 21 relatif à la publicité des traitements. 

Il fallait cependant que de telles limitations constituent des mesures nécessaires à la réalisation d’intérêts limitativement énumérés, par exemple, sauvegarder la sûreté de l'État, la défense, la sécurité publique ou la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées.

Belgique

Le législateur belge a traduit les limitations énoncées dans la Directive, et a prévu des limitations similaires au législateur français. Il l’a fait à l’article 3, §3 de la loi du 8 décembre 1992 lorsque le traitement est nécessaire, entre autres, aux missions de police judiciaire ou administrative, aux missions des services de police et de renseignement.

France

Le droit français a traduit dans sa législation différentes limitations aux droits et obligations prévues aux articles 6, 10, 11, 12 et 21 de la Directive transposée. L’articles 32, IV de la loi Informatique et Libertés prévoit que les informations à fournir à la personne concernée peuvent se limiter à l’identité du responsable du traitement et à la finalité du traitement auquel les données sont destinées lorsque les données sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation certifié préalablement par la Commission Nationale de l’Informatique et des Libertés.

La même disposition, en son paragraphe V énonce que l’obligation d’information des personnes concernées n’est pas applicable lors d'un traitement mis en œuvre pour le compte de l'État et intéressant la sûreté de l'État, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement. Selon l’article 33, V. il en va de même lorsque le traitement de données a pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales.

Difficultés probables

Les possibilités de restrictions étant étendues, la marge de manœuvre des États augmente ce qui entraîne un risque de divergence des régimes de protection, au détriment de l’objectif d’harmonisation de la nouvelle réglementation. Il est vrai qu’en contrepartie, les États devront assortir celles-ci de plus de garanties pour les personnes, ce qui pourra alors être contrôlé par la Cour de Justice.

Règlement
1e 2e

Art. 23

1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l’essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a) la sécurité nationale;

b) la défense nationale;

c) la sécurité publique;

d) la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

f) la protection de l'indépendance de la justice et des procédures judiciaires;

g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

h) une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c), d), e) et g);

i) la protection de la personne concernée ou des droits et libertés d'autrui;

j) l'exécution des demandes de droit civil.

2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

a) aux finalités du traitement ou des catégories de traitement;

b) aux catégories de données à caractère personnel;

c) à l'étendue des limitations introduites;

d) aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites;

e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;

f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

g) aux risques pour les droits et libertés des personnes concernées; et

h) au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

Proposition 1 close

1. Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus à l'article 5, points a) à e), aux articles 11 à 20 et à l'article 32, lorsqu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour:

a) assurer la sécurité publique;

b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière;

c) sauvegarder d'autres intérêts généraux de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l’Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, ainsi que la stabilité et l'intégrité des marchés;

d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c) et d); f) garantir la protection de la personne concernée ou des droits et libertés d'autrui.

 2. Tout mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux finalités du traitement et aux modalités d'identification du responsable du traitement.

Proposition 2 close

1. Le droit de l'Union ou la législation de l'État membre dont relève le responsable du traitement ou le sous-traitant peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus (...) aux articles 12 à 20 et à l'article 32, ainsi qu'à l'article 5 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 12 à 20, lorsqu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour:

a bis) assurer la sécurité nationale;

a ter) garantir la défense nationale;

a) assurer la sécurité publique;

b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ou l'exécution de sanctions pénales, ou la protection contre les menaces pour la sécurité publique et la prévention de celles-ci.

c) sauvegarder d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale, ainsi que la stabilité et l'intégrité des marchés;

c bis) assurer la protection de l'indépendance de la justice et des procédures judiciaires;

d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), a bis), a ter), b), c) et d);

f) garantir la protection de la personne concernée ou des droits et libertés d'autrui;

g) permettre l'exécution des demandes de droit civil.

2. Tout mesure législative visée au paragraphe 1 doit contenir des dispositions spécifiques relatives, au moins, le cas échéant, aux finalités du traitement ou des catégories de traitement, aux catégories de données à caractère personnel, à l'étendue des limitations introduites, à la détermination du responsable du traitement ou des catégories de responsables du traitement, aux périodes de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ainsi que des risques pour les droits et les libertés des personnes concernées.

Directive close

Art. 13

1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l'article 6 paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder:

a) la sûreté de l'État;

b) la défense;

c) la sécurité publique;

d) la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;

e) un intérêt économique ou financier important d'un État membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal;

f) une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique, dans les cas visés aux points c), d) et e);

g) la protection de la personne concernée ou des droits et libertés d'autrui.

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 48

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le droit à l'information s'exerce dans les conditions prévues aux articles 12 à 14 du règlement (UE) 2016/679 du 27 avril 2016.

En particulier, lorsque les données à caractère personnel sont collectées auprès d'un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées à l'article 13 de ce règlement dans un langage clair et facilement accessible.

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est également informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant du droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort, dans les conditions prévues à l'article 85.

En application de l'article 23 du même règlement, le droit à l'information ne s'applique pas aux données collectées dans les conditions prévues à l'article 14 de ce règlement et utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sécurité publique, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par ce traitement et prévue par l'acte instaurant le traitement.

Il est fait application des dispositions de l'alinéa précédent lorsque le traitement est mis en œuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d'effectuer des contrôles de l'activité de personnes physiques ou morales pouvant donner lieu à la constatation d'une infraction ou d'un manquement, à des amendes administratives ou à des pénalités.

Art. 52

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, les droit d'accès, de rectification et d'effacement s'exercent dans les conditions prévues à l'article 118, si de telles restrictions ont été prévues par l'acte instaurant le traitement.

Il est fait application des mêmes dispositions lorsque le traitement intéresse la sécurité publique, sous réserve de l'application des dispositions du titre III.

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles prévues par le code des juridictions financières, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d'une procédure juridictionnelle, le droit d'accès peut être limité dans les conditions prévues aux e et h du 1 de l'article 23 du règlement (UE) 2016/679 du 27 avril 2016.

Art. 56

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le droit d'opposition s'exerce dans les conditions prévues à l'article 21 du règlement (UE) 2016/679 du 27 avril 2016.

Ce droit ne s'applique pas lorsque le traitement répond à une obligation légale ou, dans les conditions prévues à l'article 23 du même règlement, lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte instaurant le traitement.

Art. 116

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable de traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions des articles 117 à 120 ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ;

8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

II. -Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable de traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

III. - Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

Art. 117

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.

Art. 118

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Les demandes tendant à l'exercice du droit d'accès, de rectification et d'effacement sont adressées à la Commission nationale de l'informatique et des libertés qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. La commission informe la personne concernée qu'il a été procédé aux vérifications nécessaires et de son droit de former un recours juridictionnel.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Art. 119

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Par dérogation à l'article 118, lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire autorisant le traitement peut prévoir que les droits d'accès, de rectification et d'effacement peuvent être exercés par la personne concernée auprès du responsable de traitement directement saisi dans les conditions prévues aux II à III du présent article.

II. - La personne concernée justifiant de son identité a le droit d'obtenir :

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;

2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ;

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé.

Les demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique peuvent être rejetées.

III. - La personne concernée justifiant de son identité peut également exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le responsable de traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées.

En cas de contestation, la charge de la preuve incombe au responsable de traitement auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa du III.

Art. 120

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

Aucune autre décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à prévoir ou évaluer certains aspects personnels relatifs à la personne concernée.

 

 

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 32

Version initiale

(…)

IV.-Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

 

V.-Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

VI.-Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

Art. 41

Version initiale

Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient.

La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

Art. 42

Version initiale

Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27.

Art. 32 

Modifié par la loi n°2018-493 du 20 juin 2018

IV.-Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

V.-Sans préjudice de l'application des dispositions du chapitre XIII, les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense ou la sécurité publique, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

Art. 40 

Modifié par la loi n°2018-493 du 20 juin 2018

(...)

III.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d'une violation de données régi par l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité lorsque la notification d'une divulgation ou d'un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. La dérogation prévue au présent III n'est applicable qu'aux seuls traitements de données à caractère personnel nécessaires au respect d'une obligation légale qui requiert le traitement de ces données ou à l'exercice d'une mission d'intérêt public dont est investi le responsable de traitement.

Art. 41

Modifié par la loi n°2018-493 du 20 juin 2018

Par dérogation aux articles 39 et 40, lorsqu'un traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publiques, sous réserve de l'application des dispositions du chapitre XIII, le droit d'accès s'exerce dans les conditions prévues par le présent article pour l'ensemble des informations qu'il contient.

La demande est adressée à la commission qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. Il est notifié au requérant qu'il a été procédé aux vérifications.

Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi.

Art. 42

Modifié par la loi n°2018-493 du 20 juin 2018

Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 26 ou 27.

 

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art.11

§ 1er. En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement, ne s’appliquent pas aux traitements de données à caractère personnel émanant directement ou indirectement des autorités visées au titre 3, à l’égard: 1° des autorités et personnes visées aux articles 14, 16 et 19 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité auxquelles ces données ont été transmises directement ou indirectement par les autorités visées au titre 3; 2° des autorités et personnes visées à l’article 2, alinéa 1 er , 2°, de la loi du 10 juillet 2006 relative à l’analyse de la menace ainsi que celles mentionnées à l’article 44/11/3 ter §§ 2 et 3, et à l’article 44/11/3 quater de la loi du 5 août 1992 sur la fonction de police, et qui relèvent du champ d’application du titre 1 er , et auxquelles ces données ont été transmises.

§ 2. Le responsable du traitement visé au présent titre qui est en possession de telles données ne les communique pas à la personne concernée à moins que: 1° la loi l’y oblige dans le cadre d’une procédure contentieuse; ou que 2° l’autorité visée au titre 3 concernée l’y autorise. Le responsable du traitement ou l’autorité compétente ne fait aucune mention qu’il est en possession de données émanant des autorités visées au titre 3.

§ 3. Les limitations visées au paragraphe 1 er portent également sur la journalisation des traitements d’une autorité visée au titre 3 dans les banques de données des responsables du traitement visés par le présent titre auxquelles l’autorité a directement accès.

§ 4. Le responsable de traitement visé au présent titre qui traite les données émanant directement ou indirectement des autorités visées au titre 3 répond au minimum aux conditions suivantes:

1° il adopte des mesures techniques ou organisationnelles appropriées pour assurer que l’accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l’exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;

2° il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données. Les membres du personnel du responsable de traitement qui traitent les données visées à l’alinéa 1 er sont en outre tenus au devoir de discrétion. § 5. Lorsque l’autorité de contrôle visée dans la loi du 3 décembre 2017 portant création de l’Autorité de protection des données est saisie d’une requête ou d’une plainte où le responsable du traitement fait état de l ’application du présent article, l ’autorité de contrôle s’adresse au Comité permanent R pour qu’il fasse les vérifications nécessaires auprès de l’autorité visée au titre 3. Après réception de la réponse du Comité permanent R, l’Autorité de protection des données n’informe la personne concernée que des résultats de la vérification portant sur les données à caractère personnel n’émanant pas des autorités visées au titre 3 que l’autorité de contrôle est légalement tenue de communiquer. Si la requête ou la plainte ne porte que sur des don- nées à caractère personnel émanant d’une autorité visée au titre 3, l’Autorité de protection des données répond, après réception de la réponse du Comité permanent R, que les vérifications nécessaires ont été effectuées.

Art.12

En application de l’article 23 du Règlement, un responsable du traitement qui communique des don- nées à caractère personnel à une autorité visée aux sous-titres 2 et 4 du titre 3 de la présente loi n’est pas soumis aux articles 14.1.e. et 15.1.c. du Règlement et à l’article 20, § 1 er , 6°, de la présente loi et ne peut informer la personne concernée de cette transmission

Art.14

§ 1 er En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement ne s’appliquent pas aux traitements de données émanant directement ou indirectement des autorités judiciaires, des services de police, de l’Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises, et de l’Unité d’information des passagers visés au titre 2, à l’égard:

1° des autorités publiques, dans le sens de l’article 5 de la présente loi, auxquelles les données ont été transmises par ou en vertu de la loi, d ’un décret ou d’une ordonnance;

2° d’autres organes et des organismes auxquelles les données ont été transmises par ou en vertu d’une loi, d’un décret ou d’une ordonnance.

§ 2. Le responsable du traitement visé au présent titre qui est en possession de données visées au paragraphe 1 er ne les communique pas à la personne concernée à moins que: 1° la loi l’y oblige dans le cadre d’une procédure contentieuse; ou que 2° les autorités judiciaires, les services de police, l’Inspection générale de la police fédérale et de la police locale, la Cellule de Traitement des Informations Financières, l’Administration générale des douanes et accises, et l’Unité d’information des passagers visés au paragraphe 1 er , chacun pour les données les concernant, l’y autorisent. Le responsable du traitement ou l’autorité compétente ne fait aucune mention qu’il est en possession de données émanant de ceux-ci.

§ 3. Les limitations visées au paragraphe 1 er portent également sur la journalisation des traitements des autorités judiciaires, des services de police, de l’Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises et de l’Unité d’information des passagers dans les banques de données des responsables du traitement visés au présent titre auxquelles ceux-ci ont directement accès. Ces limitations ne s’appliquent qu’aux données traitées initialement pour les finalités visées à l’article 27 de la présente loi.

§ 4. Les garanties légales visées à l’article 23.2 du Règlement auxquelles les autorités publiques, organes ou organismes doivent répondre sont déterminées par ou en vertu de la loi. Les autorités publiques, organes ou organismes qui traitent les données émanant directement ou indirecte- ment des autorités judiciaires, des services de police, de l ’ Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises et de l’Unité d’information des passagers répondent au minimum aux conditions suivantes: 1° ils adoptent des mesures techniques ou organisationnelles appropriées pour assurer que l’accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l’exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service; 2° ils adoptent des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données. Les membres des autorités publiques, organes ou organismes qui traitent les données visées au § 1 er sont en outre tenus au devoir de discrétion.

§ 5. Toute demande portant sur l’exercice des droits visés aux articles 12 à 22 du Règlement, adressée à une autorité publique, organe et organisme mentionné au § 1 er , 1° en 2°, est transmise dans les meilleurs délais à l’Autorité de protection des données visée à la loi du 3 décembre 2017 portant création de l’Autorité de protection des données. Lorsque l’Autorité de protection des données est saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, elle procède aux vérifications nécessaires auprès des autorités, organes ou organismes concernés. Lorsque l’Autorité de protection des données a été saisie par la personne concernée, elle informe la per- sonne concernée selon les modalités légales prévues.

§ 6. Lorsque le traitement porte sur des données initialement traitées par les services de police ou l ’ Inspection générale de la police fédérale et de la police locale, l’Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, s’adresse à l’autorité de contrôle visée à l’article 71 pour qu’elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents. Lorsque l’Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l’autorité visée à l’article 71, l’Autorité de protection des données informe la personne concernée selon les modalités légales prévues.

§ 7. Lorsque le traitement porte sur des données initialement traitées par les autorités judiciaires, l’Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, s’adresse à l’autorité de contrôle compétente pour les autorités judiciaires pour qu’elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents, visés au § 1 er , 1° et 2° . Lorsque l’Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l’autorité de contrôle compétente pour les autorités judiciaires, l’Autorité de protection des données informe la personne concernée selon les modalités légales prévues.

Art.15

En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement, ne s’appliquent pas aux traitements de données à caractère personnel par l’Unité d’information des passagers, tels que visés au chapitre 7 de la loi du 25 décembre 2016 relative au traitement des données des passagers. Le responsable du traitement ne communique pas les données visées à l’alinéa 1 er à la personne concernée à moins que la loi l’y oblige dans le cadre d’une procédure contentieuse. Le responsable du traitement ne fait aucune mention à la personne concernée qu’il est en possession de données la concernant. Les limitations visées à l’alinéa 1 er portent égale- ment sur la journalisation des traitements effectués par l’Unité d’information des passagers dans les banques de données des responsables du traitement visés par le présent titre. Lorsque l’autorité de contrôle compétente est saisie d’une requête ou d’une plainte où le responsable du traitement fait état de l’application du présent article, l ’autorité de contrôle répond uniquement que les vérifications nécessaires ont été effectuées.

Art.17

En application de l’article 23 du Règlement, un responsable du traitement visé au présent titre qui communique des données à caractère personnel à une banque de données conjointe ne peut informer la personne concernée de cette transmission. Par “banque de données conjointe”, on entend l’exercice commun des missions effectuées dans le cadre du titre 1 er et des titres 2 ou 3 par plusieurs autorités, structurée à l ’ aide de procédés automatisés et appliqués aux données à caractère personnel.

 

Ancienne loi
en Belgique
close

Art. 3

(…)

§ 3. Les articles 6 à 10, 12, 14, 15, 17, 17bis, alinéa 1er, 18, 20 et 31, §§ 1er à 3, ne s'appliquent pas aux traitements de données à caractère personnel gérés par la Sûreté de l'Etat, par le Service général du renseignement et de la sécurité des forces armées, par (les autorités visées aux articles 15, 22ter et 22quinquies de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité et l'organe de recours créé par la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité), par les officiers de sécurité et par le Comité permanent de contrôle des services de renseignements et son Service d'enquêtes, (ainsi que par l'Organe de coordination pour l'analyse de la menace,) lorsque ces traitements sont nécessaires à l'exercice de leurs missions.

§ 5. Les articles 9, 10, § 1er, et 12 ne s'appliquent pas :

  1° aux traitements de données à caractère personnel gérés par des autorités publiques en vue de l'exercice de leurs missions de police judiciaire;

  2° aux traitements de données à caractère personnel gérés par les services de police visés à l'article 3 de la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignements, en vue de l'exercice de leurs missions de police administrative;

  3° aux traitements de données à caractère personnel gérés en vue de l'exercice de leurs missions de police administrative, par d'autres autorités publiques qui ont été désignées par arrêté royal délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée;

  4° aux traitements de données à caractère personnel rendus nécessaires par la loi du 11 janvier 1993 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux;

  5° au traitement de données à caractère personnel géré par le Comité permanent de contrôle des services de police et par son Service d'enquêtes en vue de l'exercice de leurs missions légales.

  § 6. Les articles 6, 8, 9, 10, § 1er, et 12 ne sont pas applicables après autorisation accordée par le Roi par arrêté délibéré en Conseil des ministres, aux traitements gérés par le Centre européen pour enfants disparus et sexuellement exploités, ci-après dénommé "le Centre", établissement d'utilité publique constitué par acte du 25 juin 1997 et reconnu par arrêté royal du 10 juillet 1997, pour la réception, la transmission à l'autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées dans un dossier déterminé de disparition ou d'exploitation sexuelle, d'avoir commis un crime ou un délit. Cet arrêté détermine la durée et les conditions de l'autorisation après avis de la Commission de la protection de la vie privée

  Le Centre ne peut tenir un fichier de personnes suspectes d'avoir commis un crime ou un délit ou de personnes condamnées.

  Le conseil d'administration du Centre désigne parmi les membres du personnel du Centre un préposé à la protection des données ayant connaissance de la gestion et de la protection des données à caractère personnel. L'exercice de ses missions ne peut entraîner pour le préposé des désavantages. Il ne peut, en particulier, être licencié ou remplacé comme préposé à cause de l'exécution des tâches qui lui sont confiées. Le Roi détermine par arrêté délibéré en Conseil des ministres et après avis de la Commission de la protection de la vie privée les tâches du préposé et la manière dont ces tâches sont exécutées ainsi que la manière dont le Centre doit faire rapport à la Commission de la protection de la vie privée sur le traitement des données à caractère personnel effectué dans le cadre de l'autorisation accordée.

  Les membres du personnel et ceux qui traitent des données à caractère personnel pour le Centre sont tenus au secret.

  Toute violation de ce secret sera sanctionnée conformément aux dispositions de l'article 458 du Code pénal.

  Dans le cadre de ses missions d'appui à la recherche d'enfants signalés comme disparus ou enlevés, le Centre ne peut procéder à l'enregistrement de conversations téléphoniques si l'appelant en a été informé et dans la mesure où il ne s'y oppose pas.

  § 7. [1 Sans préjudice de l'application de dispositions légales particulières, l'article 10 n'est pas applicable aux traitements de données à caractère personnel gérés par le Service public fédéral Finances pendant la période durant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci, effectués par le Service public fédéral Finances dans le cadre de l'exécution de ses missions légales, dans la mesure où cette application nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires et pour leur seule durée.

   La durée de ces actes préparatoires pendant laquelle ledit article 10 n'est pas applicable, ne peut excéder un an à partir de la demande introduite en application de cet article 10.

   Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée à l'alinéa 1er, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête ou dès la clôture des actes préparatoires lorsque ceux-ci n'ont pas abouti à un contrôle ou une enquête. Le Service de Sécurité de l'Information et Protection de la Vie Privée en informe le contribuable concerné sans délai et lui communique dans son entièreté la motivation contenue dans la décision du responsable du traitement ayant fait usage de l'exception.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK