arrow_back Retour à tous les articles

Article 89
Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 89 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 89 keyboard_arrow_up

(56) Lorsque, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique dans un État membre requiert que les partis politiques collectent des données à caractère personnel relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé pour des motifs d'intérêt public, à condition que des garanties appropriées soient prévues.

(158) Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s'appliquer à ce traitement, étant entendu qu'il ne devrait pas s'appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l'intérêt public devraient être des services qui, en vertu du droit de l'Union ou du droit d'un État membre, ont l'obligation légale de collecter, de conserver, d'évaluer, d'organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l'intérêt public général et d'y donner accès. Les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l'humanité, notamment l'Holocauste, ou aux crimes de guerre.

(159) Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le présent règlement devrait également s'appliquer à ce traitement. Aux fins du présent règlement, le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large et couvrir, par exemple, le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé. Il devrait, en outre, tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. Par "fins de recherche scientifique", il convient également d'entendre les études menées dans l'intérêt public dans le domaine de la santé publique. Pour répondre aux spécificités du traitement de données à caractère personnel à des fins de recherche scientifique, des conditions particulières devraient s'appliquer, en particulier, en ce qui concerne la publication ou la divulgation d'une autre manière de données à caractère personnel dans le cadre de finalités de la recherche scientifique. Si le résultat de la recherche scientifique, en particulier dans le domaine de la santé, justifie de nouvelles mesures dans l'intérêt de la personne concernée, les règles générales du présent règlement s'appliquent à l'égard de ces mesures.

(160) Lorsque des données à caractère personnel sont traitées à des fins de recherche historique, le présent règlement devrait également s'appliquer à ce traitement. Cela devrait aussi comprendre les recherches historiques et les recherches à des fins généalogiques, étant entendu que le présent règlement ne devrait pas s'appliquer aux personnes décédées.

(161) Aux fins du consentement à la participation à des activités de recherche scientifique dans le cadre d'essais cliniques, les dispositions pertinentes du règlement (UE) n° 536/2014 du Parlement européen et du Conseil1 devraient s'appliquer.

(162) Lorsque des données à caractère personnel sont traitées à des fins statistiques, le présent règlement devrait s'appliquer à ce traitement. Le droit de l'Union ou le droit des États membres devrait, dans les limites du présent règlement, déterminer le contenu statistique, définir le contrôle de l'accès aux données et arrêter des dispositions particulières pour le traitement de données à caractère personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique. Par "fins statistiques", on entend toute opération de collecte et de traitement de données à caractère personnel nécessaires pour des enquêtes statistiques ou la production de résultats statistiques. Ces résultats statistiques peuvent en outre être utilisés à différentes fins, notamment des fins de recherche scientifique. Les fins statistiques impliquent que le résultat du traitement à des fins statistiques ne constitue pas des données à caractère personnel mais des données agrégées, et que ce résultat ou ces données à caractère personnel ne sont pas utilisés à l'appui de mesures ou de décisions concernant une personne physique en particulier.

(163) Les informations confidentielles que les autorités statistiques de l'Union et des États membres recueillent pour élaborer des statistiques officielles européennes et nationales devraient être protégées. Les statistiques européennes devraient être mises au point, élaborées et diffusées conformément aux principes statistiques énoncés à l'article 338, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, et les statistiques nationales devraient également respecter le droit des États membres. Le règlement (CE) nº 223/2009 du Parlement européen et du Conseil1 contient d'autres dispositions particulières relatives aux statistiques européennes couvertes par le secret.

Afficher les considérants de la Directive 95/46 liés à l'article 89 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 89 keyboard_arrow_up

(29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées; que ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne.

(34) considérant que les États membres doivent également être autorisés à déroger à l'interdiction de traiter des catégories de données sensibles lorsqu'un motif d'intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance maladie - et tels que la recherche scientifique et les statistiques publiques; qu'il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive prévoyait déjà diverses dérogations aux principes de protection en faveur de traitements à des fins historiques, statistiques ou scientifiques. Par exemple, l’article 6 prévoyait déjà que de tels traitements n’étaient pas réputés incompatibles avec des finalités initiales différentes, moyennant des garanties prévues par le droit national. Sous la même condition, les données pouvaient également être conservées plus longuement que nécessaire à la finalité initiale ou même réputée compatible.

Toujours moyennant des garanties appropriées, une dérogation à l’obligation d’information des personnes concernées pour les traitements poursuivant de telles finalités était prévue à l’article 11.2 si l'information de la personne concernée se révélait impossible ou impliquait des efforts disproportionnés ou si la législation prévoyait expressément l'enregistrement ou la communication des données.

Pour autant que les données ne puissent pas être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises et qu’il n’existait manifestement aucun risque d’atteinte, les États membres pouvaient prévoir des garanties spécifiques en vue de limiter par une mesure législative le droit d’accès prévu à l’article 12 pour la poursuite exclusive de finalités de recherche scientifique ou pour la seule finalité d'établissement de statistiques lorsque les données étaient stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la poursuite d’une telle finalité (article 13.2).

Belgique

Sur cette base, le droit belge avait prévu un régime particulier applicable aux seuls traitements ultérieurs poursuivant de telles finalités (art. 2 et s. de l’arrêté royal du 13 février 2001) tout en prévoyant également dans la loi des dérogations spécifiques pour de telles finalités.

France

En droit français, selon l’article 36 de la loi informatique et liberté, les données personnelles peuvent être conservées au-delà du temps nécessaire à l’accomplissement des finalités qu’en vue d’être traitées à des fins historiques, statistiques, ou scientifiques. En outre, lorsque la finalité du traitement est limitée à assurer la conservation à long terme de documents d’archives, le traitement est dispensé des formalités préalables au traitement visées au Chapitre IV de la loi Informatique et Libertés et Libertés (obligation de déclaration auprès de la CNIL, autorisation préalable,…). Des dérogations à l’obligation d’information à charge du responsable sont également prévues en droit français pour les traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques (art. 32, III). Enfin, le droit d’accès prévu à l’article 39 de la loi Informatique et Libertés et liberté n’est pas applicable aux données à caractère personnel qui sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique (art. 39, II).

Où va-t-on ?

L’article 89 du Règlement prévoit aussi des dérogations expresses pour les finalités à des fins scientifiques, statistiques ou historiques. Il étend également le champ d’application en ajoutant la finalité d’archivage dans l’intérêt public.

À la différence du régime de la Directive, les dérogations valent indépendamment du fait que ces finalités aient été visées lors de la collecte initiale des données ou non. Elles sont donc d’application générale pour toute poursuite de telles finalités.

La réglementation soumet la poursuite de telles finalités à la prise de mesures de sauvegardes des droits et libertés des personnes concernées, garantissant le respect du principe de minimisation des données (art. 5 c)) selon lequel seules les données nécessaires à la poursuite des finalités peuvent faire l’objet d’un traitement. À cet effet, l’article 89 évoque la mise en place de mesures techniques et/ou organisationnelles, telles que la pseudonymisation (art. 4, 5).

La pseudonymisation est définie à l’article 4, 5) comme le traitement de données à caractère personnel de telle façon qu'elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou identifiable. Il s’agit donc de dissimuler l’identité de la personne concernée, en remplaçant un attribut par un autre dans l’enregistrement afin d’atténuer le risque de mise en corrélation d’un ensemble de données avec l’identité originale d’une personne concernée (voir à cet égard G29, Avis 04/2007 sur le concept de données à caractère personnel). Les données codées sont un exemple classique de pseudonymisation ; G29, WP 216, Avis 05/2014 sur les Techniques d’anonymisation, p. 22).

L’article 89 précise que si la poursuite des finalités le permet, le responsable doit privilégier les traitements ultérieurs de données qui ne permettent pas ou plus l’identification des personnes concernées.

Des dérogations peuvent être apportées par les États membres à certains droits reconnus aux personnes concernées pour les traitements à des fins d’archivage dans l’intérêt public ou à des fins scientifiques, statistiques ou historiques à condition, d’une part, que ces droits risquent de rendre impossibles ou de compromettre sérieusement l’accomplissement des finalités poursuivies et, d’autre part, que ces dérogations soient nécessaires pour accomplir lesdites finalités (§ 2). Toutefois la nature des droits auxquels des dérogations peuvent être apportées dépend de la finalité poursuive :

- En cas de traitements  à des fins de recherche scientifique ou historique ou à des fins statistiques, l’UE ou les États peuvent peuvent prévoir des dérogations aux droits d’accès (art. 15), de rectification (art. 16),  à la limitation du traitement (art. 18) et au droit d’opposition (art. 21)

- En cas de traitements  à des fins archivistiques dans l’intérêt public, l’UE ou les États peuvent déroger aux droits d’accès (art. 15), de rectification (art. 16),  à la limitation du traitement (art. 18), aux obligations de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement (art. 19), au droit à la portabilité des données (art. 20) et au droit d’opposition (art. 21)

Néanmoins, si le traitement à des fins de recherche historique ou scientifique ou à des fins archivistiques dans l’intérêt public poursuit également d’autres finalités de traitement, les dérogations visées ci-avant ne peuvent valoir que pour les traitements effectués qu’aux fins énoncés par l’article 89. Il faut en effet se souvenir que des finalités statistiques, servent souvent d’autres finalités, notamment lorsqu’il s’agit de servir de support à la décision (credit scoring, profilage de clientèle, etc.). La règle veut alors que les régimes dérogatoires ne s’appliquent qu’à la finalité en amont –par exemple à la finalité statistique- alors que les finalités apparaissant en aval restent soumises à l’intégralité des règles de protection des données. C’est également ce que semble vouloir dire le considérant 162, ajout de dernière minute, lorsqu’il énonce que les finalités statistiques dont question ne peuvent pas être utilisées en support de mesures ou de décisions à l’égard d’une personne physique spécifique.

Difficultés probables

Dans la mesure où la disposition précise des conséquences admises du principe de proportionnalité en la matière, la disposition ne fait qu’éclaircir un régime déjà d’application.

Pourtant, le choix des dérogations possibles laisse rêveur et paraît moins approprié en la matière. Pourquoi viser le droit à la portabilité ou le droit à l’oubli et pas le droit à l’information (articles 13 et 14) qui pose le plus de difficultés en la matière ?

Règlement
1e 2e

Art. 89

1. Le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière.

2. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

3. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

4. Lorsqu'un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées auxdits paragraphes.

Proposition 1 close

1. Dans les limites du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si:

a) ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée;

b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manière.

2. Les organismes effectuant des recherches historiques, statistiques ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si:

a) la personne concernée a donné son consentement, sous réserve du respect des conditions énoncées à l'article 7;

b) la publication de données à caractère personnel est nécessaire pour présenter les résultats de la recherche ou pour faciliter la recherche, sous réserve que les intérêts ou les libertés ou les droits fondamentaux de la personne concernée ne prévalent pas sur l'intérêt de la recherche; ou c) la personne concernée a rendu publiques les données en cause.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d’information et d’accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause.

Proposition 2 close

1. Lorsque les données à caractère personnel sont traitées à des fins scientifiques, statistiques ou historiques, le droit de l'Union ou de l'État membre peut, sous réserve de garanties appropriées applicables aux droits et aux libertés de la personne concernée, prévoir des dérogations à l'article 14 bis, paragraphes 1 et 2, et aux articles 15, 16, 17, 17 bis, 17 ter, 18 et 19, dans la mesure où de telles dérogations sont nécessaires pour atteindre les finalités concernées.

1 bis. Lorsque les données à caractère personnel sont traitées à des fins d'archivage dans l'intérêt public, le droit de l'Union ou de l'État membre peut, sous réserve de garanties appropriées applicables aux droits et aux libertés de la personne concernée, prévoir des dérogations à l'article 14 bis, paragraphes 1 et 2, aux articles 15, 16, 17, 17 bis, 17 ter, 18, 19, 23, 32 et 33 et à l'article 53, paragraphe 1, points b), d) et e), dans la mesure où de telles dérogations sont nécessaires pour atteindre les finalités concernées.

1 ter Dans le cas où un type de traitement visé aux paragraphes 1 et 1 bis sert dans le même temps une autre finalité, les dérogations autorisées sont applicables au seul traitement effectué aux fins visées auxdits paragraphes.

2. Les garanties appropriées visées aux paragraphes 1 et 1 bis sont énoncées dans la législation de l'Union ou de l'État membre et sont de nature à assurer que les mesures de protection technologiques et/ou organisationnelles prévues par le présent règlement sont appliquées aux données à caractère personnel (…), pour réduire au minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité, par exemple, la pseudonymisation des données, à moins que ces mesures n'empêchent la réalisation de la finalité du traitement et que cette finalité ne puisse être atteinte d'une autre façon par un moyen raisonnable.

3. (…).

Directive

Art. 6

1. Les États membres prévoient que les données à caractère personnel doivent être:

(…)

Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;

(…)

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

Art. 11

1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l'identité du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement;

c) toute information supplémentaire telle que:

- les catégories de données concernées,

- les destinataires ou les catégories de destinataires des données,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.

Art. 13

(…)

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

France

Art. 36

Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l'article L. 212-3 du code du patrimoine.

Les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives dans le cadre du livre II du même code sont dispensés des formalités préalables à la mise en oeuvre des traitements prévues au chapitre IV de la présente loi.

Il peut être procédé à un traitement ayant des finalités autres que celles mentionnées au premier alinéa :

-soit avec l'accord exprès de la personne concernée ;

-soit avec l'autorisation de la Commission nationale de l'informatique et des libertés ;

-soit dans les conditions prévues au 8° du II et au IV de l'article 8 s'agissant de données mentionnées au I de ce même article.

Art 32 III al 2

Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. Ces dispositions ne s'appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

 Art 39 II al 2

Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l'article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d'autorisation ou dans la déclaration adressée à la Commission nationale de l'informatique et des libertés.

Belgique

Art. 4

§ 1. Les données à caractère personnel doivent être :

1° traitées loyalement et licitement;

2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables.

Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée;

Cfr. 13 FEVRIER 2001. - Arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

 

.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK