arrow_back Retour à tous les articles

Article 5
Principes relatifs au traitement des données à caractère personnel

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 5 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 5 keyboard_arrow_up

(50) Le traitement de données à caractère personnel pour d'autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s'il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n'est requise. Si le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, le droit de l'Union ou le droit d'un État membre peut déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait être considéré comme compatible et licite. Le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible. La base juridique prévue par le droit de l'Union ou le droit d'un État membre en ce qui concerne le traitement de données à caractère personnel peut également constituer la base juridique pour un traitement ultérieur. Afin d'établir si les finalités d'un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres: de tout lien entre ces finalités et les finalités du traitement ultérieur prévu; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l'utilisation ultérieure desdites données; la nature des données à caractère personnel; les conséquences pour les personnes concernées du traitement ultérieur prévu; et l'existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

(157) En combinant les informations issues des registres, les chercheurs peuvent acquérir de nouvelles connaissances d'un grand intérêt en ce qui concerne des problèmes médicaux très répandus tels que les maladies cardiovasculaires, le cancer et la dépression. Sur la base des registres, les résultats de la recherche peuvent être améliorés car ils s'appuient sur un échantillon plus large de population. Dans le cadre des sciences sociales, la recherche sur la base des registres permet aux chercheurs d'acquérir des connaissances essentielles sur les corrélations à long terme existant entre un certain nombre de conditions sociales telles que le chômage et l'éducation et d'autres conditions de vie. Les résultats de la recherche obtenus à l'aide des registres fournissent des connaissances fiables et de grande qualité qui peuvent servir de base à l'élaboration et à la mise en oeuvre d'une politique fondée sur la connaissance, améliorer la qualité de vie d'un certain nombre de personnes et renforcer l'efficacité des services sociaux. Pour faciliter la recherche scientifique, les données à caractère personnel peuvent être traitées à des fins de recherche scientifique sous réserve de conditions et de garanties appropriées prévues dans le droit de l'Union ou le droit des États membres.

Afficher les considérants de la Directive 95/46 liés à l'article 5 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 5 keyboard_arrow_up

 

a. (22) considérant que les États membres préciseront dans leur législation ou lors de la mise en oeuvre des dispositions prises en application de la présente directive les conditions générales dans lesquelles le traitement de données est licite; que, en particulier, l'article 5, en liaison avec les articles 7 et 8, permet aux États membres de prévoir, indépendamment des règles générales, des conditions particulières pour les traitements de données dans des secteurs spécifiques et pour les différentes catégories de données visées à l'article 8;

b. (28) considérant que tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l'égard des personnes concernées; qu'il doit, en particulier, porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies; que ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données; que les finalités des traitements ultérieurs à la collecte ne peuvent pas être incompatibles avec les finalités telles que spécifiées à l'origine;

c. (29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées; que ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne;

Guidelines

Ici viendront les guidelines

D'où vient-on ?

L’article 6 de la Directive déterminait les conditions générales dans lesquelles le traitement de données est licite. À travers cette disposition, le législateur de l’Union avait mis en place plusieurs principes fondamentaux qui sous-tendent tout traitement de données à caractère personnel. Ils ont été repris à l’article 4 de la loi du 8 décembre 1992 et à l’article 6 de la loi Informatique et Libertés et Libertés.

Le principe de loyauté et de licéité de la collecte des données suppose que les personnes concernées puissent connaître l'existence des traitements et bénéficier, lorsque des données sont collectées auprès d'elles, d'une information effective et complète au regard des circonstances de cette collecte. En outre, les données ne peuvent être obtenues à l’aide de procédés illicites ou déloyaux (article 6, paragraphe 1er, a).

En vertu du principe de finalité, la finalité doit être déterminée, explicite et légitime. Toute finalité incompatible avec la finalité annoncée est dès lors interdite sauf exception pour les finalités historiques, statistiques ou scientifiques (article 6, paragraphe 1er, b).

En vertu du principe de proportionnalité, les traitements de données à caractère personnel à effectuer doivent être adéquats, pertinents et non excessifs au regard des finalités poursuivies, ce qui suppose que le moyen utilisé soit adéquat et nécessaire pour réaliser l’objectif poursuivi (article 6, paragraphe 1er, c)).

Selon le principe de qualité des données, les données doivent être exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

Enfin, les données ne peuvent être conservées indéfiniment. Les données doivent être supprimées dès lors que leur conservation excède la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (cfr. article 6, paragraphe 1er, e) de la Directive ; l’article 6, 5° de la loi Informatique et Libertés et Libertés), ainsi que l’article 4, paragraphe 1er, 5° de la loi du 8 décembre 1992).

Belgique

L’article 4 de la loi du 8 décembre 1992 énumérait un certain nombre de principes contenant les exigences fondamentales que doit respecter tout traitement de données à caractère personnel, dans des termes identiques que ceux de l’article 6 de la Directive (principe de loyauté et de licéité, de finalité, de proportionnalité, principe de qualité, et de durée limitée de conservation).

France

Les principes de protection des données contenus à l’article 6 de la Directive furent transposés dans des termes identiques à l’article 6 de la loi Informatique et Libertés (principe de loyauté et de licéité, de finalité, de proportionnalité, principe de qualité, et de durée limitée de conservation).

Où va-t-on ?

On constate d’abord que le principe de loyauté et de licéité du traitement est complété par un principe de transparence.

La transparence implique que toute information adressée au public ou à la personne concernée doit être aisément accessible et facile à comprendre, et être formulée en termes simples et clairs, particulièrement en ce qui concerne les informations relatives à l’identité du responsable et aux finalités du traitement (cfr. le considérant 39.). Les obligations d’information à charge du responsable du traitement résultant du principe de transparence sont détaillées aux articles 12 et suivants du Règlement.

Une nouvelle exception est reconnue à l’interdiction de poursuite de finalités incompatibles avec la finalité initiale (art. 5, § 1er, b) : l’archivage dans l’intérêt public pour autant -comme pour les finalités de recherches historiques, statistiques et scientifiques- que ces traitements répondent aux conditions fixées par l’article 89 du Règlement. Le principe de l’interdiction est du reste maintenu malgré une tentative de l’assouplir un peu au vu des difficultés qu’il pose concernant les changements de finalités (cfr le commentaire de l’article 6).

L’article 5, § 1er, c) du Règlement précise que les données doivent être « limitées au minimum nécessaire au regard des finalités du traitement », alors que la Directive obligeait les responsables à ne traiter que des données « non excessives » au regard des finalités du traitement. Le Règlement consacre donc le principe de minimisation des données, selon seules les données à caractère personnel qui apparaissent nécessaires à la réalisation de la finalité peuvent être traitées. On retrouve en réalité une application classique d’une règle de proportionnalité.

S’agissant du principe de durée limitée de conservation des données, le point e) rappelle que les données permettant l’identification des personnes ne doivent pas être conservées au-delà du délai nécessaire à la réalisation des finalités du traitement. En d’autres termes, les données permettant l’identification des personnes concernées doivent être supprimées dès l’instant où elles ne sont plus nécessaires au traitement, sauf exception pour les finalités d’archivage dans l’intérêt public et de recherches scientifiques, statistiques ou historiques, pour autant que les droits des personnes concernées soient protégés par des mesures techniques et organisationnelles (cfr article 89 §1er).

Initialement, la première proposition de Règlement faisait obligation au responsable de vérifier périodiquement la nécessité de poursuivre la conservation. Cet élément n’a pas été retenu. 

Le Règlement érige aussi en principe le devoir de sécurité et de confidentialité du traitement (intégrité et confidentialité), déjà contenu dans les articles 16 et 17 de la Directive (art. 5, § 1er, f), qui oblige le responsable à garantir une sécurité et une confidentialité appropriées, et notamment à prévenir l'accès non autorisé à ces données et à l'équipement servant à leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement (cfr. considérant 39).

Le Règlement consacre enfin un principe de responsabilité, en vertu duquel le responsable du traitement est responsable du respect des principes de traitement définis à l’article 5. Il appartient donc au responsable de garantir et de démontrer que son traitement est conforme aux principes visés à l’article 5, paragraphe 1er pendant toute la durée du traitement. Son respect implique que le responsable mette en place des mécanismes et des systèmes de contrôle (mesures d’audit, politique interne…) au sein de son entité pour garantir la conformité du traitement pendant toute sa durée et pour en conserver la preuve. Cette obligation de rendre compte est davantage explicitée par l’article 24 du Règlement.

Difficultés probables

Les principes de base ne sont pas bouleversés, seulement affinés.

Le renforcement des principes de transparence et de responsabilité va impliquer une révision des processus de traitement actuel dans l’organisation du responsable du traitement ainsi que l’implémentation de mesures de contrôle et d’audit interne ou externe de la conformité de ces traitements au Règlement.

On regrette que le principe de compatibilité n’ait pas fait l’objet d’un assouplissement vu les difficultés qu’il pose en termes d’évolution des finalités (cfr commentaire de l’article 6).

Règlement
1e 2e

Art. 5

1. Les données à caractère personnel doivent être:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en oeuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Proposition 1 close

Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités

c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel;

d) exactes et tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu’à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées à l'article 83 et s’il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation

f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité de chaque opération de traitement avec les dispositions du présent règlement et en apporte la preuve.

 

Proposition 2 close

1. Les données à caractère personnel doivent être:

 a) traitées de manière licite, équitable et transparente au regard de la personne concernée;

 b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités; le traitement ultérieur des données à caractère personnel à des fins d'archivage dans l'intérêt public ou à des fins scientifiques, statistiques ou historiques n'est pas considéré, conformément à l'article 83, comme incompatible avec les finalités initiales;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées (…);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées (...); les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées à des fins d'archivage dans l'intérêt public ou à des fins scientifiques, statistiques ou historiques, conformément à l'article 83, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de protéger les droits et libertés de la personne concernée;

e bis) traitées de manière à garantir une sécurité appropriée des données à caractère personnel.

f) (...)

2. Le responsable du traitement est responsable du respect du paragraphe 1.

Directive

Art. 6

1. Les États membres prévoient que les données à caractère personnel doivent être:

a) traitées loyalement et licitement;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;

d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1.

France

Art. 6.

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

1° Les données sont collectées et traitées de manière loyale et licite ;

2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

 

Belgique

Art. 4.

Les données à caractère personnel doivent être :

  1° traitées loyalement et licitement;

  2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée;

  3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;

  4° exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

  5° conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement. Le Roi prévoit, après avis de la Commission de la protection de la vie privée, des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

§ 2. Il incombe au responsable du traitement d'assurer le respect du § 1.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK