Guidelines

Ici viendront les guidelines

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Retour au sommaire

Belgique

Autorité de protection des données (APD)

Recommandation relative au Registre des activités de traitements (article 30 du RGPD) n° 06/2017 (14 juin 2017)

1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.

2. Au chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, l’article 30 met à charge des responsables de traitement et des sous-traitants une obligation de tenir un registre des activités de traitement (ci-après le Registre). Un certain nombre d’informations relatives aux traitements opérés doivent figurer dans ce Registre : dans quel but sont-elles traitées, quelles sont les catégories de personnes concernées par les données traitées, quels sont les destinataires des données, quel est leur délai de conservation etc.

3. La Commission de la protection de la vie privée (ci-après la CPVP) reçoit un grand nombre de questions relatives à ce Registre. Partant, elle adopte la présente recommandation afin de guider les responsables de traitement et les sous-traitants dans la préparation de celui-ci d’ici au 25 mai 2018, date à partir de laquelle ce Registre devra être en place et date à partir de laquelle la CPVP pourra également demander qu’il soit mis à sa disposition, dans le cadre de contrôles par exemple.

4. Pour établir ce Registre, la/les déclaration(s) préalable(s) de traitement prévue(s) à l’article 17 de la Loi Vie privée (ci-après LVP) que les responsables de traitement ont introduit auprès de la CPVP pourra/ pourront, dans une certaine mesure, être utile(s). Il sera précisé dans cette recommandation dans quelles limites, cette ou ces déclaration(s) de traitement introduite(s) et disponibles via le Registre public en ligne pourra/pourront être exploitée(s).

5. La recommandation abordera les questions suivantes :

   1. Qui doit tenir un Registre ? Existe-t-il des exceptions ?

   2. Pourquoi cette obligation de tenir un Registre ?

   3. Que doit contenir le Registre ? Quelles informations ?

   4. Comment établir le Registre ?

   5. A qui est-il destiné ?

   6. Quelle(s) sanction(s) ? 

Lien

Recommandation relative au traitement de données biométriques (1er décembre 2021)

Les données biométriques sont les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. Les citoyens sont de plus en plus souvent confrontés au traitement de données biométriques sur leurs smartphones ou leurs tablettes mais aussi par les autorités publiques et par des entreprises privées. Conformément à l’article 9.1 du RGPD, les données biométriques constituent une catégorie particulière de données à caractère personnel, et ce contrairement à la situation antérieure à l’entrée en vigueur du RGPD.

Ce sont des données à caractère personnel qui, par leur nature, sont particulièrement sensibles car leur traitement peut comporter des risques significatifs pour les libertés et droits fondamentaux des personnes. En vertu de l’article 9.1 du RGPD, le traitement de données biométriques est donc interdit, à moins que le responsable du traitement puisse légitimement invoquer l’un des motifs d’exception énumérés de manière limitative à l’article 9.2 du RGPD. Ce sont notamment ce changement de qualification juridique de la notion de données biométriques et l’augmentation considérable de processus de traitement biométriques dans le quotidien qui ont incité le Centre de Connaissances de l’Autorité de protection des données (ci-après : le Centre de Connaissances) à s’exprimer sur ce sujet.

La recommandation vise principalement à accompagner les responsables du traitement et les sous-traitants afin de leur permettre d’interpréter et d’appliquer correctement les règles du RGPD en matière de traitement de données biométriques. Il convient toutefois de faire remarquer dans ce contexte que la recommandation ne s’applique pas au traitement de données biométriques réalisé par des autorités compétentes au sens de la Directive Police-Justice. En outre, la présente recommandation entend inviter le législateur à prévoir une base légale pour le traitement de données biométriques.

Dans un premier temps, la présente recommandation explique en détail au Chapitre II le cadre juridique du traitement visé. Une attention particulière est notamment accordée aux notions de ‘données à caractère personnel’, ‘traitement de données à caractère personnel’, ‘responsable du traitement’ et ‘sous-traitant’. La recommandation fournit ensuite des explications sur la portée concrète de la notion de ‘traitement de données biométriques’. Une bonne compréhension de la terminologie utilisée est en effet fondamentale avant de pouvoir appliquer les principes de protection des données au traitement de données biométriques.

Le Chapitre III traite ensuite des principes pertinents de protection des données dans le cadre du traitement de données biométriques. Dans ce cadre, une attention particulière est consacrée au choix d’une base juridique correcte (motif d’exception), à la définition correcte des finalités du traitement, à l’exigence de proportionnalité, à la sécurité du traitement, au principe de limitation de la conservation, à l’obligation de transparence et à l’obligation (éventuelle) de réaliser une analyse d’impact relative à la protection des données.

Cette analyse, en particulier en ce qui concerne le recours à une base juridique ou à un motif d’exception qui justifie le traitement de données biométriques, nous apprend qu’actuellement, il existe une lacune en droit belge de sorte que tout traitement de données biométriques dans le cadre de l’authentification de personnes, dans la mesure où l’on ne peut pas recourir au consentement explicite et à l’exception du traitement de données biométriques dans le cadre de l’eID (carte d’identité électronique) et du passeport, a lieu sans base juridique. Cela signifie concrètement que le législateur belge devra définir dans la loi les modalités du traitement de données biométriques dans la mesure où il veut (continuer à) autoriser l’utilisation de données biométriques dans un contexte déterminé.

Lien

France

La Cnil

Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté (11 mars 2021)

Ce référentiel porte sur les traitements de données à caractère personnel mis en œuvre couramment par les organismes dans le cadre de l’accompagnement social et/ou médicosocial qu’ils fournissent aux personnes âgées, en situation de handicap ou en difficulté (les personnes qui sont menacées d’exclusion pour des motifs divers et confrontées à des problèmes euxmêmes diversifiés, telles que les demandeurs d’asile, les personnes en situation de grande précarité face au logement, les demandeurs d’emploi, les personnes en difficulté financière, etc.). Il a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel. Les traitements mis en œuvre par les organismes dans le cadre de l’accompagnement social et/ou médico-social doivent être inscrits dans le registre prévu à l’article 30 du RGPD (voir modèle de registre).

Ce référentiel n’a pas de valeur contraignante. Il permet en principe d’assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d’évolution des pratiques à l’ère du numérique. Les organismes qui s’écarteraient du référentiel au regard des conditions particulières tenant à leur situation peuvent le faire. Il peut néanmoins leur être demandé de justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.

Le référentiel n’a pas pour objet d’interpréter les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent par ailleurs trouver à s’appliquer (p. ex. : CASF, CSP, etc.). Ce référentiel constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD), dans le cas où celle-ci est nécessaire. Les organismes peuvent également se reporter aux outils méthodologiques proposés par la CNIL sur son site web en vue de faciliter la mise en conformité des traitements mis en œuvre. Ils seront ainsi à même de définir les mesures permettant d’assurer la nécessité et la proportionnalité de leurs traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). L’organisme pourra également s’appuyer sur les lignes directrices de la CNIL sur les AIPD. Si l’organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.

Lien

Référentiel des durées de conservation dans le domaine de la recherche en santé

Lien

Retour au sommaire

Union Européenne

Jurisprudence de la CJUE

C-101/01 (6 novembre 2003) - Lindqvist

1) L'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .

2) Un tel traitement de données à caractère personnel ne relève d'aucune des exceptions figurant à l'article 3, paragraphe 2, de la directive 95/46.

3) L'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46.

4) Il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d'une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.

5) Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d'expression ou à d'autres droits et libertés applicables dans l'Union européenne et correspondant notamment à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales chargées d'appliquer la réglementation nationale transposant la directive 95/46 d'assurer un juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par l'ordre juridique communautaire.

6) Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.

Conclusions de l'Avocat général

Arrêt rendu

C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2)      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3)      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

C-136/17 ( 24 septembre 2019) - GC e.a. (Déréférencement de données sensibles)

1)      Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.

2)      Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.

L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.

Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.

3)      Les dispositions de la directive 95/46 doivent être interprétées en ce sens que,

–        d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et

–        d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de cette charte.

Conclusions de l'Avocat général

Arrêt rendu

C-184/20 (1er octobre 2022), Vyriausioji tarnybinės etikos komisija

2) L’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que la publication, sur le site Internet de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l’orientation sexuelle d’une personne physique constitue un traitement portant sur des catégories particulières de données à caractère personnel, au sens de ces dispositions. Arrêt de la cour Conclusions de l'avocat général

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°31/2000 (21 mars 2000)

En cause : le recours en annulation totale ou partielle de la loi du 2 juin 1998 portant création d'un Centre d'information et d'avis sur les organisations sectaires nuisibles et d'une Cellule administrative de coordination de la lutte contre les organisations sectaires nuisibles (ci-après « loi attaquée »), introduit par l'a.s.b.l. Société anthroposophique belge et autres.

1. Il résulte tant de la loi du 8 décembre 1992, qui ne prévoit en effet aucune exception en la matière (voy. l’article 3, §§ 2, 3, 4 et 5), que des travaux préparatoires de la loi attaquée que la loi du 8 décembre 1992 est applicable au traitement des données personnelles par le Centre.

2. Le traitement de données à caractère personnel relatives aux opinions philosophiques ou religieuses est, selon cette loi, en principe interdit (article 6, § 1er), sauf les exceptions expressément mentionnées (article 6, § 2), parmi lesquelles figure le cas dans lequel, comme en l’espèce, « le traitement des données à caractère personnel […] est permis par une loi, un décret ou une ordonnance pour un autre motif important d’intérêt public » (littera l) et moyennant le respect des conditions particulières déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée (article 6, § 4).

3. La loi attaquée habilite le Centre à traiter des données à caractère personnel relatives aux opinions et aux activités philosophiques et religieuses pour l’accomplissement de ses missions visées à l’article 6, § 1er, 1°, de la loi attaquée - étudier le phénomène des organisations sectaires nuisibles en Belgique ainsi que leurs liens internationaux – et à l’article 6, § 1er, 3°, de la loi attaquée – assurer l’accueil et l’information du public et informer toute personne qui en fait la demande sur l’étendue de ses droits et obligations et sur les moyens de faire valoir ses droits.

4. Les garanties relatives à la confidentialité et à la sécurité des données à caractère personnel, le statut et les tâches d’un préposé à la protection des données au sein du Centre et la façon dont le Centre devra faire rapport à la Commission de la protection de la vie privée sur le traitement de données à caractère personnel sont fixés par le Roi, en application de l’article 6, § 3, alinéa 2, de la loi attaquée, dans un arrêté délibéré en Conseil des ministres. En adoptant cette disposition, le législateur a voulu prévoir des garanties particulières en la matière « vu le caractère particulièrement délicat des données sensibles que le Centre sera habilité à traiter ». Ces garanties, qui ne sauraient évidemment porter atteinte aux garanties contenues dans la loi du 8 décembre 1992, ne peuvent dès lors constituer que des garanties supplémentaires.

5. Le moyen n’est pas fondé en tant qu’il objecte que la loi attaquée entoure le traitement de données à caractère personnel par le Centre de moins de garanties que n’en prévoit le régime de droit commun.

Arrêt rendu

C. const. Be., n°29/2010 (18 mars 2010)

Le législateur a prévu expressément qu’il n’entendait pas déroger à la loi précitée du 8 décembre 1992 (article 6 de la loi du 21 août 2008). Les garanties de cette loi restent par conséquent d’application en même temps que les garanties qui sont contenues dans la loi du 21 août 2008 lative à l’institution et à l’organisation de la plate-forme eHealth.

Pour le surplus, il est rappelé que la plate-forme eHealth n’a pas été instaurée pour obtenir ou enregistrer des données relatives à la santé mais pour organiser l’échange sécurisé de données existantes. La seule exception à ce principe, comme l’observe le Conseil des ministres, est le répertoire des références précité, pour lequel le législateur a expressément rappelé le consentement exigé par la loi du 8 décembre 1992.

Arrêt rendu

C. const. Be., n°67/2020 (14 mai 2020)

En cause : les recours en annulation totale ou partielle (les articles 2 et 4) de la loi du 29 novembre 2017 « relative à la continuité du service de transport ferroviaire de personnes en cas de grève », introduits par l’ASBL « Syndicat pour la Mobilité et Transport Intermodal des Services Publics - Protect » et par le Secteur « Cheminots » de la Centrale générale des services publics et autres.

Sans qu’il soit besoin de se prononcer sur la question de savoir si les données collectées dans le cadre de la mise en œuvre de la loi attaquée ont ou non un caractère sensible au sens de l’article 9, paragraphe 1, du RGPD, il suffit de constater que la collecte de telles données est « nécessaire pour des motifs d’intérêt public important », conformément à l’article 9, paragraphe 2, g), du RGPD, à savoir l’organisation d’une offre de transport adaptée en cas de grève.

À cet égard, la loi attaquée prévoit expressément que les déclarations d’intention sont traitées de manière confidentielle, dans le seul but d’organiser le service en fonction des effectifs disponibles lors du jour de grève. Le conseil d’administration de HR Rail doit par ailleurs déterminer les modalités concrètes de communication des déclarations d’intention, après avis du comité de pilotage. Il s’agit de mesures appropriées et spécifiques pour sauvegarder les droits fondamentaux des personnes concernées, au sens de l’article 9, paragraphe 2, g), du RGPD. Par ailleurs, dans le silence de la loi attaquée, les garanties ordinaires en matière de protection des données à caractère personnel, et notamment le RGPD, s’appliquent de plein droit. Il en résulte que la loi attaquée ne porte pas atteinte au droit au respect de la vie privée et au droit à la protection des données à caractère personnel des personnes concernées.

Arrêt rendu

C. const. Be., n°118/2020 (24 septembre 2020)

1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.

Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.

2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.

Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.

Arrêt rendu

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

C. const. Be, n°23/2021 (25 février 2021)

1. Les articles 30bis et 51/3 de la loi du 15 décembre 1980 déterminent les personnes concernées par le traitement litigieux et les circonstances dans lesquelles celui-ci peut avoir lieu. Ils habilitent par ailleurs le Roi à fixer le délai de conservation des données biométriques et prévoient le contrôle de l’Autorité de protection des données.

Il s’ensuit que les dispositions attaquées ne méconnaissent pas l’essence du droit à la protection des données et qu’elles sont assorties de mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts des étrangers concernés, au sens de l’article 9, paragraphe 2, point g), du RGPD. Pour le surplus, c’est aux autorités compétentes, en leur qualité de responsable de traitement, qu’il appartient de veiller au respect des principes énoncés à l’article 5, paragraphe 1, du RGPD, dont les parties requérantes n’établissent pas qu’il serait violé par les dispositions attaquées.

2. La faculté, pour les instances chargées de l’examen de la demande de protection internationale, d’inviter le demandeur à produire certains éléments, prévue à l’article 48/6, § 1er, alinéa 4, de la loi du 15 décembre 1980, vise à permettre à ces instances de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée.

La licéité du traitement des données visées par l’article 48/6, § 1er, alinéa 4, précité, ne repose pas sur le seul consentement des personnes concernées, mais également sur la nécessité du traitement en vue de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens de l’article 6, paragraphe 1, point e), du RGPD, mission qui correspond à des motifs d’intérêt public important en ce qui concerne les données à caractère personnel sensibles, au sens de l’article 9, paragraphe 2, point g), du RGPD.

La disposition attaquée vise à permettre aux instances chargées de l’examen de la demande de protection internationale de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée. Cet objectif est légitime.

3. L’exigence selon laquelle les instances chargées de l’examen de la demande de protection internationale doivent avoir de bonnes raisons de penser que le demandeur retient des informations, pièces, documents ou autres éléments essentiels à une évaluation correcte de la demande pour l’inviter à produire ces éléments est de nature à baliser le pouvoir d’appréciation de ces instances.

L’ingérence dans le droit du demandeur au respect de la vie privée et à la protection des données à caractère personnel n’entraîne donc pas des effets disproportionnés eu égard à l’objectif poursuivi.

Arrêt rendu

C. const. Be., n°22/2022 (10 février 2022)

1. En cause : le recours en annulation de l’article 5 de la loi du 29 mars 2018 « modifiant les articles 2 et 9ter de la loi du 2 avril 1965 relative à la prise en charge des secours accordés par les centres publics d’action sociale », en tant qu’il remplace le paragraphe 5 de l’article 9ter de la loi du 2 avril 1965 précitée, introduit par l’ASBL « Medimmigrant » et autres. La disposition attaquée confie au médecin-contrôle de la Caisse auxiliaire d’assurance maladie-invalidité (ci-après : la CAAMI) la mission de contrôler a posteriori le caractère urgent des soins médicaux dispensés par les prestataires de soins dans le cadre de l’aide médicale urgente aux personnes en séjour illégal, et, le cas échéant, d’infliger une sanction financière aux prestataires qui auraient dispensé des soins non conformes aux critères fixés par la loi.

2. Le droit au respect de la vie privée des personnes physiques dans le cadre du traitement automatique des données à caractère personnel n’est pas absolu. L’article 23 du RGPD précise que les droits consacrés par ce règlement peuvent être limités moyennant le respect de l’essence de ceux-ci et que la limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment, des objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale (article 23, paragraphe 1, e)), de la prévention et de la détection de manquements à la déontologie des professions réglementées, ainsi que des enquêtes et des poursuites en la matière (article 23, paragraphe 1, g)) et d’une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique (article 23, paragraphe 1, h)). […]

3. Les contrôles prévus par la disposition attaquée peuvent déboucher sur des sanctions de nature civile, dans l’intérêt du financement de la sécurité sociale, destinées à mettre fin à une situation contraire à la loi. Il s’agit d’un objectif d’intérêt général. Ces contrôles sont effectués par le seul médecin-contrôle de la CAAMI, à l’exclusion de tout autre membre de l’administration. En tant que médecin, il est soumis au secret professionnel ainsi qu’aux règles déontologiques propres à sa profession. Pour le surplus, la disposition attaquée confie au Roi le soin de préciser les modalités des contrôles prévus par la disposition attaquée, ce qui ne Le dispense pas de respecter, à cette occasion, la réglementation relative à la protection des données à caractère personnel, sous le contrôle du juge compétent.

4. La Cour constitutionnelle belge conclut que le moyen pris en violation des articles 5 et 9 du RGPD est non fondé.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°354629 (12 mars 2014)

1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.

2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.

3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.

Arrêt rendu

CE Fr., n°354903 (26 mai 2014)

Les délibérations par lesquelles la CNIL, sur le fondement des dispositions du III de l'article 8 de la loi n° 78-17 du 6 janvier 1978 qui définissent les possibilités de dérogation à l'interdiction de principe posée au I du même article, autorise, compte tenu de leurs finalités, certaines catégories de traitement de données sensibles, sont au nombre des actes devant obligatoirement être motivés en vertu de l'article 2 de la loi n° 79-587 du 11 juillet 1979.

Arrêt rendu

Cass. Fr., n°13-25.156 (19 novembre 2014)

1. Une cour d'appel qui relève que la consultation du registre qui porte mention du baptême d'une personne baptisée, à l'âge de deux jours, n'est ouverte, l'intéressé mis à part, qu'aux ministres du culte, eux-mêmes tenus au secret, et que la seule publicité donnée à cet événement et à son reniement mentionné en 2001 en regard de son nom sur le registre, émanait de la personne elle-même a pu retenir que cette dernière ne pouvait invoquer aucune atteinte au droit au respect de sa vie privée du fait du refus d'effacement de la mention de son baptême sur le registre paroissial.

2. Après avoir relevé que les représentants légaux de l'enfant avaient donné leur consentement à la relation de cet événement sur le registre des baptêmes et constaté qu'à la demande de l'intéressé, la mention "a renié son baptême par lettre du 31 mai 2001" a été inscrite sur ce registre le 6 juin 2001 en regard de son nom, la cour d'appel, qui a justement retenu que, dès le jour de son administration et en dépit de son reniement, le baptême constituait un fait dont la réalité historique ne pouvait être contestée, a décidé, à bon droit, qu'il n'y avait pas lieu d'ordonner l'effacement de sa mention du registre.

Arrêt rendu

Cass. Fr., n°13-86.267 (8 juillet 2015)

1. L'inscription d'un candidat au don du sang dans un fichier automatisé de données personnelles entre dans les prévisions du paragraphe II, 6°, de l'article 8 de la loi n° 78-17 du 6 janvier 1978, selon lesquelles l'interdiction, posée au paragraphe I du même article, de collecter ou de traiter des données à caractère personnel relatives, notamment, à la santé ou à la vie sexuelle des personnes, ne s'applique pas aux traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé, et mis en œuvre par un membre d'une profession de santé, ou par une autre personne soumise au secret professionnel ; il s'en déduit qu'à défaut même de consentement exprès de l'intéressé à la mise en mémoire ou à la conservation des données le concernant, le comportement à cet égard des personnels et établissements de santé ne saurait tomber sous le coup de l'incrimination prévue par l'article 226-19 du code pénal, qui renvoie lui-même à des exceptions, prévues par la loi, à l'interdiction d'enregistrement informatique des données personnelles sensibles

2. L'exception à l'exigence d'un consentement de la personne à l'enregistrement et à la conservation de données personnelles relatives à la santé ou à l'orientation sexuelle, qui découle des dispositions combinées des articles 226-19 du code pénal et 8 de la loi n° 78-17 du 6 janvier 1978, constitue une mesure légitime, nécessaire à la protection de la santé, définie par la loi avec suffisamment de précision pour éviter l'arbitraire, et de nature à assurer, en l'état, entre le respect de la vie privée et la sauvegarde de la santé publique, une conciliation qui n'est pas déséquilibrée.

Arrêt rendu

CE Fr., n°433069 (16 octobre 2019)

1. Les avis, recommandations, mises en garde et prises de position adoptés par les autorités de régulation dans l'exercice des missions dont elles sont investies, peuvent être déférés au juge de l'excès de pouvoir lorsqu'ils revêtent le caractère de dispositions générales et impératives ou lorsqu'ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance. Ces actes peuvent également faire l'objet d'un tel recours, introduit par un requérant justifiant d'un intérêt direct et certain à leur annulation, lorsqu'ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent.

2. L'acte révélé par deux communiqués de presse qui présentent le plan d'actions élaboré par la CNIL dans le domaine du ciblage publicitaire en ligne constitue une prise de position publique de la commission quant au maniement des pouvoirs dont elle dispose, en particulier en matière répressive, pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs. Elle doit être regardée comme ayant pour objet d'influer sur le comportement des opérateurs auxquels elle s'adresse et comme étant de nature à produire des effets notables tant sur ces opérateurs que sur les utilisateurs et abonnés de services électroniques. Compte tenu de leur objet social qui est la défense des libertés sur internet et la protection de la confidentialité des données personnelles, elle fait grief aux associations requérantes qui sont recevables à en demander l'annulation.

3. Pour l'application des articles 8 et 20 de loi n° 78-17 du 6 janvier 1978, la CNIL dispose, s'agissant de l'usage des prérogatives qui lui ont été conférées pour l'accomplissement de ses missions, d'un large pouvoir d'appréciation, en particulier pour ce qui concerne l'exercice de son pouvoir de sanction, que ce soit pour apprécier l'opportunité d'engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu'elle peut recevoir. A cet égard, la CNIL peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. Il lui est loisible, dans ce domaine comme dans tout autre domaine relevant de ses attributions, de rendre publiques les orientations qu'elle a arrêtées pour l'exercice de ses pouvoirs. Il s'ensuit que la CNIL n'a pas méconnu l'étendue de sa compétence en élaborant un plan d'actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu'elle a prise quant à l'usage de ses pouvoirs, notamment de sanction, afin d'atteindre les objectifs qu'elle a définis.

4. a) S'il est vrai que la CNIL a laissé aux opérateurs, dans le cadre de ce plan d'actions, une période d'adaptation, s'achevant six mois après la publication de cette recommandation, durant laquelle elle annonce que la poursuite de la navigation comme expression du consentement n'entraînera pas la mise en mouvement de son pouvoir répressif, il ressort des pièces du dossier que la fixation d'un tel délai a pour objet de permettre, au plus tard à son terme, à l'ensemble des opérateurs de respecter effectivement les exigences résultant de l'article 4 du règlement n° 2016/679 du 27 avril 2016 (RGPD) et de l'article 82 de la loi du 6 janvier 1978. Il ressort des pièces du dossier qu'un tel choix permet à l'autorité de régulation d'accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d'apporter, sur le plan technique, les garanties qu'exige l'état du droit en vigueur, dans la réalisation de l'objectif d'une complète mise en conformité de l'ensemble des acteurs à l'horizon de l'été 2020. En outre, ainsi que la CNIL l'a rappelé dans la prise de position contestée, elle continuera à contrôler, durant cette période, le respect des règles relatives au caractère préalable du consentement, à la possibilité d'accès au service même en cas de refus et à la disponibilité d'un dispositif de retrait du consentement facile d'accès et d'usage. Dans ces conditions et au vu de l'ensemble des circonstances de l'espèce, la CNIL ne peut être regardée comme ayant commis une erreur manifeste d'appréciation en retenant de telles orientations pour l'exercice de ses pouvoirs.

b) L'acte attaqué, qui n'exclut pas que la CNIL puisse en tout état de cause faire usage de son pouvoir répressif en cas d'atteinte particulièrement grave au droit au respect de la vie privée protégé par l'article 7 de la charte des droits fondamentaux de l'Union européenne et l'article 8 de la Conv. EDH ainsi qu'au droit à la protection des données personnelles garanti par l'article 8 de cette charte, contribue à remédier à des pratiques ne respectant pas les exigences posées par l'article 4 du RGPD et l'article 82 de la loi du 6 janvier 1978, en fixant pour l'ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l'exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles doit être écarté.

5. Le juge de l'excès de pouvoir exerce un contrôle restreint à l'erreur manifeste d'appréciation sur les orientations retenues par la CNIL quant au maniement des pouvoirs dont elle dispose pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs.

Arrêt rendu

Retour au sommaire

Le GDPR

L’article 9 du Règlement s’inspire de l’article 8 de la Directive, en ce qu’il interdit le traitement des données sensibles, au motif qu’elles méritent une protection spécifique, compte tenu des risques importants pour les droits et libertés fondamentaux inhérents à leur traitement.

Sont visés par l’interdiction de principe :

- le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ;

- le traitement des données génétiques et des données biométriques aux fins d’identifier une personne physique de manière unique ;

- le traitement des données s concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le considérant 51 du Règlement précise qu’en cas de dérogation à l’interdiction de traiter des données sensibles, les principes généraux et les autres dispositions du Règlement devraient être applicables, en particulier en ce qui concerne les conditions de licéité du traitement.

La notion de « données sensibles » au sens de l’article 9 du Règlement a fait l’objet de nouveaux développements, compte tenu des importantes évolutions technologiques. Ainsi, sont visées par l’interdiction de traitement, outre les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion, les convictions philosophiques ou l'appartenance syndicale, la santé ou la vie sexuelle :

- les données génétiques : elle sont définies à l’article 4(13)  comme visant toutes les données à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises et qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne, résultant en particulier d'une analyse d'un échantillon biologique de la personne en question) ;

-les données biométriques : elles sont définies à l’article 4 (14) comme visant les données à caractère personnel résultant d’un traitement technique spécifique relatives à des caractéristiques physiques, physiologiques ou comportementales d’un individu, qui permettent ou confirment une identification unique de l’individu, telles que des images faciales ou des données dactyloscopiques) traitées aux fins d’identification unique de la personne. .

A noter également que les données relatives à la santé reçoivent une définition spécifique à l’article 4 (15) comme visant toute donnée à caractère personnel relative à la santé physique ou mentale d’un individu, incluant des prestations de soins de santé, qui révèlent de l’information sur l’état de santé de l’individu.

Le Règlement reprend les exceptions déjà contenues dans la Directive parfois en étendant ou limitant leur champ d’application (consentement explicite; droit du travail et droit de la sécurité sociale pour autant que le traitement soit fondé sur une loi de l’Union ou de l’État membre ou une convention collective, sauvegarde de la vie humaine, association sans but lucratif, données rendues publiques par la personne concernée, constatation, défense, exercice ou constatation d’un droit en justice, médecine préventive ou pour des motifs importants d’intérêt public).

Le Règlement introduit cependant de nouvelles dérogations :

- pour les traitements nécessaires pour des motifs d'intérêt public dans le domaine de la santé publique (cfr art. 9, §2,i), tels que la protection contre les menaces transfrontières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux sur la base d’une loi de l’Union ou de l’État membre prévoyant des mesures de sauvegarde, notamment du secret professionnel ;

- pour les traitements nécessaires à des fins d'archivage dans l'intérêt public ou à des fins historiques, statistiques ou scientifiques dans les conditions fixées à l’article 89 et sur une base légale de l’Union ou de l’État membre (cfr. art. 9, § 2, j)). La version finale du Règlement précise que le traitement doit être proportionné au but poursuivi ; respecter l’essence des droits des personnes concernées ; prévoir des mesures appropriées et spécifiques en vue de sauvegarder les droits fondamentaux et les intérêts légitimes de la personne concernée.

Les  données « sensibles » visées au paragraphe 1er peuvent traitées à des fins de médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de soins ou de traitements de santé ou sociaux ou de la gestion de systèmes et de services de soins de santé ou sociaux au sens de l’article 9, § 2, h), pour autant qu’elles soient traitées par un ou sous la responsabilité d’un professionnel ou par ou sous la responsabilité d’une autre personne soumise au secret professionnel (cfr. art. 9, § 3).

Enfin, les États membres ont la faculté de maintenir ou d’introduire des dispositions plus précises, incluant des limitations, en ce qui concerne les données génétiques, biométriques ou les données concernant la santé (cfr. art. 9, § 4).

La Directive

Le premier paragraphe de l’article 8 de la Directive prévoyait une interdiction générale de traiter les données dites « sensibles », sauf consentement explicite de la personne concernée. On vise ici les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données relatives à la santé ou à la vie sexuelle.

Le législateur de l’Union avait considéré que, dans la mesure où ces données sont, par leur nature, susceptibles de porter atteinte aux libertés fondamentales ou à la vie privée, celles-ci ne devraient pas faire l’objet d’un traitement.

Toutefois, il s’agissait d’une interdiction relative. Au terme du second paragraphe de l’article 8 de la Directive, différentes dérogations avaient été prévues à l’interdiction générale de traiter ces données.

La première exception au principe d’interdiction visait les traitements pour lesquels la personne concernée a donné son consentement explicite au traitement (art. 8, § 2, a) (voir à cet égard, G29, Avis 15/2011 relatif à la définition du consentement, WP 187).

En outre, plusieurs exceptions ont été introduites pour répondre à des besoins spécifiques, tels que les traitements nécessaires à la sauvegarde de la vie humaine (art. 8, § 2, c)) ; les traitements portant sur des données rendues publiques par la personne concernée (art. 8, § 2, e)) ; les traitements nécessaires aux fins de la constatation, à l’exercice ou à la défense d’un droit en justice (art. 8, § 2, e) ; les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé (art. 8, § 3 )).

Les traitements nécessaires aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail (art. 8, § 2, b)).

Il était également fait exception au principe d’interdiction pour les traitements mis en œuvre par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale. L’exception ne joue que pour le traitement des données relatives aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers (art. 8, § 2, f)).

La Directive prévoyait, sous certaines conditions, une exception pour le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté (art. 8, § 5). Dans la mesure où le futur Règlement prévoit une disposition spécifique pour ces traitements, nous les examinerons plus en détail dans le cadre du commentaire de l’article 9 bis du Règlement. 

Outre les dérogations expressément contenues dans la Directive, l’article 8, paragraphe 4 autorisait les États membres à prévoir, sous réserve de garanties appropriées, des dérogations supplémentaires pour un motif d’intérêt public important, soit par leur législation nationale, soit par leur autorité de contrôle. Ces dérogations supplémentaires doivent néanmoins être notifiées à la Commission européenne (art. 8, § 4).

Belgique

En droit belge, la loi du 8 décembre 1992 prévoyait également une douzaine d’exceptions (article12 §2) à l’interdiction de traitement des données sensibles. On y retrouve notamment le consentement écrit (et non pas explicite), la nécessité de défense des intérêts vitaux de la personne, ou lorsque le traitement porte sur des données manifestement rendues publiques par la personne ou encore lorsque le traitement est nécessaire à des recherches scientifiques dans les conditions fixées par l’arrêté royal du 13 février 2001. Ce dernier prévoyait des garanties particulières qui devaient être impérativement respectées dans la mise en œuvre de chaque exception (art. 25 à 27 de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.).

France

La loi Informatique et Libertés contenait 11 exceptions à l’interdiction de traiter des données sensibles : 10 dérogations sont contenues dans l’article 8 de la loi Informatique et Libertés et Libertés, auxquelles s’ajoute l’exception concernant les traitements aux fins de journalisme et d’expression littéraire et artistique prévue à l’article 67. 

Au rang des dérogations supplémentaires prévues par le législateur français, la loi informatique et liberté autorisait les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels, après avis de la CNIL et dans le respect des conditions prévues à l’article 25 de la loi (cfr. art. 8, II., 7°). Faisaient également l’objet d’une dérogation, les traitements nécessaires à la recherche dans le domaine de la santé (cfr. art. 8, II., 8), ainsi que, sous certaines conditions, les traitements qui portent sur des données appelées à faire l’objet d’une procédure d’anonymisation (cfr. art. 8, III.). Une catégorie résiduelle était également prévue au point IV de l’article 9 de la loi informatique et liberté, dans l’hypothèse où le traitement était justifié par l’intérêt public et autorisé dans les conditions prévues aux articles 25 ou 26 de la loi (cfr. art. 8, IV.). A noter que le législateur français n’avait pas transposé dans la loi Informatique et Libertés d’exception à l’interdiction de traiter des données sensibles pour les traitements nécessaires aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail (art. 8, § 2, b de la Directive)), à la différence du législateur belge (cfr. art. 8, § 2, b) de la loi du 8 décembre 1992).

Difficultés probables

Pour différentes finalités ou types de données, les États membres gardent une marge de manœuvre importante dans la détermination d’exceptions qui doivent se baser sur une législation spécifique prise par cet État. Des différences significatives peuvent dès lors encore apparaître selon les États, ce qui met à mal l’objectif d’harmonisation complète du droit de la protection des données personnelles  poursuivi par le Règlement.