arrow_back Retour à tous les articles

Article 9
Traitement portant sur des catégories particulières de données à caractère personnel

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 9 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 9 keyboard_arrow_up

(33) Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

(35) Les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l'inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil1 au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro.

(51) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de l'expression "origine raciale" dans le présent règlement n'implique pas que l'Union adhère à des théories tendant à établir l'existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique. De telles données à caractère personnel ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d'un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l'interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour objet de permettre l'exercice des libertés fondamentales.

(52) Des dérogations à l'interdiction de traiter des catégories particulières de données à caractère personnel devraient également être autorisées lorsque le droit de l'Union ou le droit d'un État membre le prévoit, et sous réserve de garanties appropriées, de manière à protéger les données à caractère personnel et d'autres droits fondamentaux, lorsque l'intérêt public le commande, notamment le traitement des données à caractère personnel dans le domaine du droit du travail et du droit de la protection sociale, y compris les retraites, et à des fins de sécurité, de surveillance et d'alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d'autres menaces graves pour la santé. Ces dérogations sont possibles à des fins de santé, en ce compris la santé publique et la gestion des services de soins de santé, en particulier pour assurer la qualité et l'efficience des procédures de règlement des demandes de prestations et et de services dans le régime d'assurance-maladie, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Une dérogation devrait, en outre, permettre le traitement de ces données à caractère personnel, si cela est nécessaire aux fins de la constatation, de l'exercice ou de la défense d'un droit en justice, que ce soit dans le cadre d'une procédure judiciaire, administrative ou extrajudiciaire.

(53) Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu’à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des systèmes et des services sanitaires ou sociaux , y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l'information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d'assurer la continuité des soins de santé ou de la protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance et d'alerte sanitaire, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit des États membres qui doit répondre à un objectif d'intérêt public, ainsi que pour des études menées dans l'intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne devrait pas entraver le libre flux des données à caractère personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données.

(54) Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de "santé publique" devrait s'interpréter selon la définition contenue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil1, à savoir tous les éléments relatifs à la santé, à savoir l'état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l'accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d'intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques.

(55) En outre, le traitement de données à caractère personnel par des autorités publiques aux fins de réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public, d'associations à caractère religieux officiellement reconnues est effectué pour des motifs d'intérêt public.

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Afficher les considérants de la Directive 95/46 liés à l'article 9 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 9 keyboard_arrow_up

(33) considérant que les données qui sont susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ne devraient pas faire l'objet d'un traitement, sauf consentement explicite de la personne concernée; que, cependant, des dérogations à cette interdiction doivent être expressément prévues pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est mis en oeuvre à certaines fins relatives à la santé par des personnes soumises à une obligation de secret professionnel ou pour la réalisation d'activités légitimes par certaines associations ou fondations dont l'objet est de permettre l'exercice de libertés fondamentales;

(34) considérant que les États membres doivent également être autorisés à déroger à l'interdiction de traiter des catégories de données sensibles lorsqu'un motif d'intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance maladie - et tels que la recherche scientifique et les statistiques publiques; qu'il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes;

(35) considérant, en outre, que le traitement de données à caractère personnel par des autorités publiques pour la réalisation de fins prévues par le droit constitutionnel ou le droit international public, au profit d'associations à caractère religieux officiellement reconnues, est mis en oeuvre pour un motif d'intérêt public important;

(36) considérant que, si, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique suppose, dans certains États membres, que les partis politiques collectent des données relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé en raison de l'intérêt public important, à condition que des garanties appropriées soient prévues;

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Belgique

France

Union Européenne

Comité européen de la protection des données (EDPB)

Lignes directrices sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19 - 03/2020 (21 avril 2020)

Lien

Retour au sommaire

Groupe 29

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Retour au sommaire

Belgique

Autorité de protection des données (APD)

Recommandation relative au Registre des activités de traitements (article 30 du RGPD) n° 06/2017 (14 juin 2017)

  1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.

  2. Au chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, l’article 30 met à charge des responsables de traitement et des sous-traitants une obligation de tenir un registre des activités de traitement (ci-après le Registre). Un certain nombre d’informations relatives aux traitements opérés doivent figurer dans ce Registre : dans quel but sont-elles traitées, quelles sont les catégories de personnes concernées par les données traitées, quels sont les destinataires des données, quel est leur délai de conservation etc.

  3. La Commission de la protection de la vie privée (ci-après la CPVP) reçoit un grand nombre de questions relatives à ce Registre. Partant, elle adopte la présente recommandation afin de guider les responsables de traitement et les sous-traitants dans la préparation de celui-ci d’ici au 25 mai 2018, date à partir de laquelle ce Registre devra être en place et date à partir de laquelle la CPVP pourra également demander qu’il soit mis à sa disposition, dans le cadre de contrôles par exemple.

  4. Pour établir ce Registre, la/les déclaration(s) préalable(s) de traitement prévue(s) à l’article 17 de la Loi Vie privée (ci-après LVP) que les responsables de traitement ont introduit auprès de la CPVP pourra/ pourront, dans une certaine mesure, être utile(s). Il sera précisé dans cette recommandation dans quelles limites, cette ou ces déclaration(s) de traitement introduite(s) et disponibles via le Registre public en ligne pourra/pourront être exploitée(s).

  5. La recommandation abordera les questions suivantes :

    1. Qui doit tenir un Registre ? Existe-t-il des exceptions ?

    2. Pourquoi cette obligation de tenir un Registre ?

    3. Que doit contenir le Registre ? Quelles informations ?

    4. Comment établir le Registre ?

    5. A qui est-il destiné ?

    6. Quelle(s) sanction(s) ? 

Lien

Recommandation relative au traitement de données biométriques (1er décembre 2021)

Les données biométriques sont les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. Les citoyens sont de plus en plus souvent confrontés au traitement de données biométriques sur leurs smartphones ou leurs tablettes mais aussi par les autorités publiques et par des entreprises privées. Conformément à l’article 9.1 du RGPD, les données biométriques constituent une catégorie particulière de données à caractère personnel, et ce contrairement à la situation antérieure à l’entrée en vigueur du RGPD.

Ce sont des données à caractère personnel qui, par leur nature, sont particulièrement sensibles car leur traitement peut comporter des risques significatifs pour les libertés et droits fondamentaux des personnes. En vertu de l’article 9.1 du RGPD, le traitement de données biométriques est donc interdit, à moins que le responsable du traitement puisse légitimement invoquer l’un des motifs d’exception énumérés de manière limitative à l’article 9.2 du RGPD. Ce sont notamment ce changement de qualification juridique de la notion de données biométriques et l’augmentation considérable de processus de traitement biométriques dans le quotidien qui ont incité le Centre de Connaissances de l’Autorité de protection des données (ci-après : le Centre de Connaissances) à s’exprimer sur ce sujet.

La recommandation vise principalement à accompagner les responsables du traitement et les sous-traitants afin de leur permettre d’interpréter et d’appliquer correctement les règles du RGPD en matière de traitement de données biométriques. Il convient toutefois de faire remarquer dans ce contexte que la recommandation ne s’applique pas au traitement de données biométriques réalisé par des autorités compétentes au sens de la Directive Police-Justice. En outre, la présente recommandation entend inviter le législateur à prévoir une base légale pour le traitement de données biométriques.

Dans un premier temps, la présente recommandation explique en détail au Chapitre II le cadre juridique du traitement visé. Une attention particulière est notamment accordée aux notions de ‘données à caractère personnel’, ‘traitement de données à caractère personnel’, ‘responsable du traitement’ et ‘sous-traitant’. La recommandation fournit ensuite des explications sur la portée concrète de la notion de ‘traitement de données biométriques’. Une bonne compréhension de la terminologie utilisée est en effet fondamentale avant de pouvoir appliquer les principes de protection des données au traitement de données biométriques.

Le Chapitre III traite ensuite des principes pertinents de protection des données dans le cadre du traitement de données biométriques. Dans ce cadre, une attention particulière est consacrée au choix d’une base juridique correcte (motif d’exception), à la définition correcte des finalités du traitement, à l’exigence de proportionnalité, à la sécurité du traitement, au principe de limitation de la conservation, à l’obligation de transparence et à l’obligation (éventuelle) de réaliser une analyse d’impact relative à la protection des données.

Cette analyse, en particulier en ce qui concerne le recours à une base juridique ou à un motif d’exception qui justifie le traitement de données biométriques, nous apprend qu’actuellement, il existe une lacune en droit belge de sorte que tout traitement de données biométriques dans le cadre de l’authentification de personnes, dans la mesure où l’on ne peut pas recourir au consentement explicite et à l’exception du traitement de données biométriques dans le cadre de l’eID (carte d’identité électronique) et du passeport, a lieu sans base juridique. Cela signifie concrètement que le législateur belge devra définir dans la loi les modalités du traitement de données biométriques dans la mesure où il veut (continuer à) autoriser l’utilisation de données biométriques dans un contexte déterminé.

Lien


France

La Cnil

Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté (11 mars 2021)

Ce référentiel porte sur les traitements de données à caractère personnel mis en œuvre couramment par les organismes dans le cadre de l’accompagnement social et/ou médicosocial qu’ils fournissent aux personnes âgées, en situation de handicap ou en difficulté (les personnes qui sont menacées d’exclusion pour des motifs divers et confrontées à des problèmes euxmêmes diversifiés, telles que les demandeurs d’asile, les personnes en situation de grande précarité face au logement, les demandeurs d’emploi, les personnes en difficulté financière, etc.). Il a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel. Les traitements mis en œuvre par les organismes dans le cadre de l’accompagnement social et/ou médico-social doivent être inscrits dans le registre prévu à l’article 30 du RGPD (voir modèle de registre).

Ce référentiel n’a pas de valeur contraignante. Il permet en principe d’assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d’évolution des pratiques à l’ère du numérique. Les organismes qui s’écarteraient du référentiel au regard des conditions particulières tenant à leur situation peuvent le faire. Il peut néanmoins leur être demandé de justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.

Le référentiel n’a pas pour objet d’interpréter les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent par ailleurs trouver à s’appliquer (p. ex. : CASF, CSP, etc.). Ce référentiel constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD), dans le cas où celle-ci est nécessaire. Les organismes peuvent également se reporter aux outils méthodologiques proposés par la CNIL sur son site web en vue de faciliter la mise en conformité des traitements mis en œuvre. Ils seront ainsi à même de définir les mesures permettant d’assurer la nécessité et la proportionnalité de leurs traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). L’organisme pourra également s’appuyer sur les lignes directrices de la CNIL sur les AIPD. Si l’organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.

Lien

Référentiel des durées de conservation dans le domaine de la recherche en santé

Lien

Retour au sommaire

Sommaire

Union Européenne

Union Européenne

Jurisprudence de la CJUE

C-101/01 (6 novembre 2003) - Lindqvist

1) L'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .

2) Un tel traitement de données à caractère personnel ne relève d'aucune des exceptions figurant à l'article 3, paragraphe 2, de la directive 95/46.

3) L'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46.

4) Il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d'une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.

5) Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d'expression ou à d'autres droits et libertés applicables dans l'Union européenne et correspondant notamment à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales chargées d'appliquer la réglementation nationale transposant la directive 95/46 d'assurer un juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par l'ordre juridique communautaire.

6) Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.

Conclusions de l'Avocat général

Arrêt rendu

C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2)      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3)      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

C-136/17 ( 24 septembre 2019) - GC e.a. (Déréférencement de données sensibles)

1)      Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.

2)      Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.

L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.

Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.

3)      Les dispositions de la directive 95/46 doivent être interprétées en ce sens que,

–        d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et

–        d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de cette charte.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°31/2000 (21 mars 2000)

En cause : le recours en annulation totale ou partielle de la loi du 2 juin 1998 portant création d'un Centre d'information et d'avis sur les organisations sectaires nuisibles et d'une Cellule administrative de coordination de la lutte contre les organisations sectaires nuisibles (ci-après « loi attaquée »), introduit par l'a.s.b.l. Société anthroposophique belge et autres.

1. Il résulte tant de la loi du 8 décembre 1992, qui ne prévoit en effet aucune exception en la matière (voy. l’article 3, §§ 2, 3, 4 et 5), que des travaux préparatoires de la loi attaquée que la loi du 8 décembre 1992 est applicable au traitement des données personnelles par le Centre.

2. Le traitement de données à caractère personnel relatives aux opinions philosophiques ou religieuses est, selon cette loi, en principe interdit (article 6, § 1er), sauf les exceptions expressément mentionnées (article 6, § 2), parmi lesquelles figure le cas dans lequel, comme en l’espèce, « le traitement des données à caractère personnel […] est permis par une loi, un décret ou une ordonnance pour un autre motif important d’intérêt public » (littera l) et moyennant le respect des conditions particulières déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée (article 6, § 4).

3. La loi attaquée habilite le Centre à traiter des données à caractère personnel relatives aux opinions et aux activités philosophiques et religieuses pour l’accomplissement de ses missions visées à l’article 6, § 1er, 1°, de la loi attaquée - étudier le phénomène des organisations sectaires nuisibles en Belgique ainsi que leurs liens internationaux – et à l’article 6, § 1er, 3°, de la loi attaquée – assurer l’accueil et l’information du public et informer toute personne qui en fait la demande sur l’étendue de ses droits et obligations et sur les moyens de faire valoir ses droits.

4. Les garanties relatives à la confidentialité et à la sécurité des données à caractère personnel, le statut et les tâches d’un préposé à la protection des données au sein du Centre et la façon dont le Centre devra faire rapport à la Commission de la protection de la vie privée sur le traitement de données à caractère personnel sont fixés par le Roi, en application de l’article 6, § 3, alinéa 2, de la loi attaquée, dans un arrêté délibéré en Conseil des ministres. En adoptant cette disposition, le législateur a voulu prévoir des garanties particulières en la matière « vu le caractère particulièrement délicat des données sensibles que le Centre sera habilité à traiter ». Ces garanties, qui ne sauraient évidemment porter atteinte aux garanties contenues dans la loi du 8 décembre 1992, ne peuvent dès lors constituer que des garanties supplémentaires.

5. Le moyen n’est pas fondé en tant qu’il objecte que la loi attaquée entoure le traitement de données à caractère personnel par le Centre de moins de garanties que n’en prévoit le régime de droit commun.

Arrêt rendu

C. const. Be., n°29/2010 (18 mars 2010)

Le législateur a prévu expressément qu’il n’entendait pas déroger à la loi précitée du 8 décembre 1992 (article 6 de la loi du 21 août 2008). Les garanties de cette loi restent par conséquent d’application en même temps que les garanties qui sont contenues dans la loi du 21 août 2008 lative à l’institution et à l’organisation de la plate-forme eHealth.

Pour le surplus, il est rappelé que la plate-forme eHealth n’a pas été instaurée pour obtenir ou enregistrer des données relatives à la santé mais pour organiser l’échange sécurisé de données existantes. La seule exception à ce principe, comme l’observe le Conseil des ministres, est le répertoire des références précité, pour lequel le législateur a expressément rappelé le consentement exigé par la loi du 8 décembre 1992.

Arrêt rendu

C. const. Be., n°67/2020 (14 mai 2020)

En cause : les recours en annulation totale ou partielle (les articles 2 et 4) de la loi du 29 novembre 2017 « relative à la continuité du service de transport ferroviaire de personnes en cas de grève », introduits par l’ASBL « Syndicat pour la Mobilité et Transport Intermodal des Services Publics - Protect » et par le Secteur « Cheminots » de la Centrale générale des services publics et autres.

Sans qu’il soit besoin de se prononcer sur la question de savoir si les données collectées dans le cadre de la mise en œuvre de la loi attaquée ont ou non un caractère sensible au sens de l’article 9, paragraphe 1, du RGPD, il suffit de constater que la collecte de telles données est « nécessaire pour des motifs d’intérêt public important », conformément à l’article 9, paragraphe 2, g), du RGPD, à savoir l’organisation d’une offre de transport adaptée en cas de grève.

À cet égard, la loi attaquée prévoit expressément que les déclarations d’intention sont traitées de manière confidentielle, dans le seul but d’organiser le service en fonction des effectifs disponibles lors du jour de grève. Le conseil d’administration de HR Rail doit par ailleurs déterminer les modalités concrètes de communication des déclarations d’intention, après avis du comité de pilotage. Il s’agit de mesures appropriées et spécifiques pour sauvegarder les droits fondamentaux des personnes concernées, au sens de l’article 9, paragraphe 2, g), du RGPD. Par ailleurs, dans le silence de la loi attaquée, les garanties ordinaires en matière de protection des données à caractère personnel, et notamment le RGPD, s’appliquent de plein droit. Il en résulte que la loi attaquée ne porte pas atteinte au droit au respect de la vie privée et au droit à la protection des données à caractère personnel des personnes concernées.

Arrêt rendu

C. const. Be., n°118/2020 (24 septembre 2020)

1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.

Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.

2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.

Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.

Arrêt rendu

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

C. const. Be, n°23/2021 (25 février 2021)

1. Les articles 30bis et 51/3 de la loi du 15 décembre 1980 déterminent les personnes concernées par le traitement litigieux et les circonstances dans lesquelles celui-ci peut avoir lieu. Ils habilitent par ailleurs le Roi à fixer le délai de conservation des données biométriques et prévoient le contrôle de l’Autorité de protection des données.

Il s’ensuit que les dispositions attaquées ne méconnaissent pas l’essence du droit à la protection des données et qu’elles sont assorties de mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts des étrangers concernés, au sens de l’article 9, paragraphe 2, point g), du RGPD. Pour le surplus, c’est aux autorités compétentes, en leur qualité de responsable de traitement, qu’il appartient de veiller au respect des principes énoncés à l’article 5, paragraphe 1, du RGPD, dont les parties requérantes n’établissent pas qu’il serait violé par les dispositions attaquées.

2. La faculté, pour les instances chargées de l’examen de la demande de protection internationale, d’inviter le demandeur à produire certains éléments, prévue à l’article 48/6, § 1er, alinéa 4, de la loi du 15 décembre 1980, vise à permettre à ces instances de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée.

La licéité du traitement des données visées par l’article 48/6, § 1er, alinéa 4, précité, ne repose pas sur le seul consentement des personnes concernées, mais également sur la nécessité du traitement en vue de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens de l’article 6, paragraphe 1, point e), du RGPD, mission qui correspond à des motifs d’intérêt public important en ce qui concerne les données à caractère personnel sensibles, au sens de l’article 9, paragraphe 2, point g), du RGPD.

La disposition attaquée vise à permettre aux instances chargées de l’examen de la demande de protection internationale de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée. Cet objectif est légitime.

3. L’exigence selon laquelle les instances chargées de l’examen de la demande de protection internationale doivent avoir de bonnes raisons de penser que le demandeur retient des informations, pièces, documents ou autres éléments essentiels à une évaluation correcte de la demande pour l’inviter à produire ces éléments est de nature à baliser le pouvoir d’appréciation de ces instances.

L’ingérence dans le droit du demandeur au respect de la vie privée et à la protection des données à caractère personnel n’entraîne donc pas des effets disproportionnés eu égard à l’objectif poursuivi.

Arrêt rendu

C. const. Be., n°22/2022 (10 février 2022)

1. En cause : le recours en annulation de l’article 5 de la loi du 29 mars 2018 « modifiant les articles 2 et 9ter de la loi du 2 avril 1965 relative à la prise en charge des secours accordés par les centres publics d’action sociale », en tant qu’il remplace le paragraphe 5 de l’article 9ter de la loi du 2 avril 1965 précitée, introduit par l’ASBL « Medimmigrant » et autres. La disposition attaquée confie au médecin-contrôle de la Caisse auxiliaire d’assurance maladie-invalidité (ci-après : la CAAMI) la mission de contrôler a posteriori le caractère urgent des soins médicaux dispensés par les prestataires de soins dans le cadre de l’aide médicale urgente aux personnes en séjour illégal, et, le cas échéant, d’infliger une sanction financière aux prestataires qui auraient dispensé des soins non conformes aux critères fixés par la loi.

2. Le droit au respect de la vie privée des personnes physiques dans le cadre du traitement automatique des données à caractère personnel n’est pas absolu. L’article 23 du RGPD précise que les droits consacrés par ce règlement peuvent être limités moyennant le respect de l’essence de ceux-ci et que la limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment, des objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale (article 23, paragraphe 1, e)), de la prévention et de la détection de manquements à la déontologie des professions réglementées, ainsi que des enquêtes et des poursuites en la matière (article 23, paragraphe 1, g)) et d’une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique (article 23, paragraphe 1, h)). […]

3. Les contrôles prévus par la disposition attaquée peuvent déboucher sur des sanctions de nature civile, dans l’intérêt du financement de la sécurité sociale, destinées à mettre fin à une situation contraire à la loi. Il s’agit d’un objectif d’intérêt général. Ces contrôles sont effectués par le seul médecin-contrôle de la CAAMI, à l’exclusion de tout autre membre de l’administration. En tant que médecin, il est soumis au secret professionnel ainsi qu’aux règles déontologiques propres à sa profession. Pour le surplus, la disposition attaquée confie au Roi le soin de préciser les modalités des contrôles prévus par la disposition attaquée, ce qui ne Le dispense pas de respecter, à cette occasion, la réglementation relative à la protection des données à caractère personnel, sous le contrôle du juge compétent.

4. La Cour constitutionnelle belge conclut que le moyen pris en violation des articles 5 et 9 du RGPD est non fondé.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°354629 (12 mars 2014)

1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.

2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.

3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.

Arrêt rendu

CE Fr., n°354903 (26 mai 2014)

Les délibérations par lesquelles la CNIL, sur le fondement des dispositions du III de l'article 8 de la loi n° 78-17 du 6 janvier 1978 qui définissent les possibilités de dérogation à l'interdiction de principe posée au I du même article, autorise, compte tenu de leurs finalités, certaines catégories de traitement de données sensibles, sont au nombre des actes devant obligatoirement être motivés en vertu de l'article 2 de la loi n° 79-587 du 11 juillet 1979.

Arrêt rendu

Cass. Fr., n°13-25.156 (19 novembre 2014)

1. Une cour d'appel qui relève que la consultation du registre qui porte mention du baptême d'une personne baptisée, à l'âge de deux jours, n'est ouverte, l'intéressé mis à part, qu'aux ministres du culte, eux-mêmes tenus au secret, et que la seule publicité donnée à cet événement et à son reniement mentionné en 2001 en regard de son nom sur le registre, émanait de la personne elle-même a pu retenir que cette dernière ne pouvait invoquer aucune atteinte au droit au respect de sa vie privée du fait du refus d'effacement de la mention de son baptême sur le registre paroissial.

2. Après avoir relevé que les représentants légaux de l'enfant avaient donné leur consentement à la relation de cet événement sur le registre des baptêmes et constaté qu'à la demande de l'intéressé, la mention "a renié son baptême par lettre du 31 mai 2001" a été inscrite sur ce registre le 6 juin 2001 en regard de son nom, la cour d'appel, qui a justement retenu que, dès le jour de son administration et en dépit de son reniement, le baptême constituait un fait dont la réalité historique ne pouvait être contestée, a décidé, à bon droit, qu'il n'y avait pas lieu d'ordonner l'effacement de sa mention du registre.

Arrêt rendu

Cass. Fr., n°13-86.267 (8 juillet 2015)

1. L'inscription d'un candidat au don du sang dans un fichier automatisé de données personnelles entre dans les prévisions du paragraphe II, 6°, de l'article 8 de la loi n° 78-17 du 6 janvier 1978, selon lesquelles l'interdiction, posée au paragraphe I du même article, de collecter ou de traiter des données à caractère personnel relatives, notamment, à la santé ou à la vie sexuelle des personnes, ne s'applique pas aux traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé, et mis en œuvre par un membre d'une profession de santé, ou par une autre personne soumise au secret professionnel ; il s'en déduit qu'à défaut même de consentement exprès de l'intéressé à la mise en mémoire ou à la conservation des données le concernant, le comportement à cet égard des personnels et établissements de santé ne saurait tomber sous le coup de l'incrimination prévue par l'article 226-19 du code pénal, qui renvoie lui-même à des exceptions, prévues par la loi, à l'interdiction d'enregistrement informatique des données personnelles sensibles

2. L'exception à l'exigence d'un consentement de la personne à l'enregistrement et à la conservation de données personnelles relatives à la santé ou à l'orientation sexuelle, qui découle des dispositions combinées des articles 226-19 du code pénal et 8 de la loi n° 78-17 du 6 janvier 1978, constitue une mesure légitime, nécessaire à la protection de la santé, définie par la loi avec suffisamment de précision pour éviter l'arbitraire, et de nature à assurer, en l'état, entre le respect de la vie privée et la sauvegarde de la santé publique, une conciliation qui n'est pas déséquilibrée.

Arrêt rendu

CE Fr., n°433069 (16 octobre 2019)

1. Les avis, recommandations, mises en garde et prises de position adoptés par les autorités de régulation dans l'exercice des missions dont elles sont investies, peuvent être déférés au juge de l'excès de pouvoir lorsqu'ils revêtent le caractère de dispositions générales et impératives ou lorsqu'ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance. Ces actes peuvent également faire l'objet d'un tel recours, introduit par un requérant justifiant d'un intérêt direct et certain à leur annulation, lorsqu'ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent.

2. L'acte révélé par deux communiqués de presse qui présentent le plan d'actions élaboré par la CNIL dans le domaine du ciblage publicitaire en ligne constitue une prise de position publique de la commission quant au maniement des pouvoirs dont elle dispose, en particulier en matière répressive, pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs. Elle doit être regardée comme ayant pour objet d'influer sur le comportement des opérateurs auxquels elle s'adresse et comme étant de nature à produire des effets notables tant sur ces opérateurs que sur les utilisateurs et abonnés de services électroniques. Compte tenu de leur objet social qui est la défense des libertés sur internet et la protection de la confidentialité des données personnelles, elle fait grief aux associations requérantes qui sont recevables à en demander l'annulation.

3. Pour l'application des articles 8 et 20 de loi n° 78-17 du 6 janvier 1978, la CNIL dispose, s'agissant de l'usage des prérogatives qui lui ont été conférées pour l'accomplissement de ses missions, d'un large pouvoir d'appréciation, en particulier pour ce qui concerne l'exercice de son pouvoir de sanction, que ce soit pour apprécier l'opportunité d'engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu'elle peut recevoir. A cet égard, la CNIL peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. Il lui est loisible, dans ce domaine comme dans tout autre domaine relevant de ses attributions, de rendre publiques les orientations qu'elle a arrêtées pour l'exercice de ses pouvoirs. Il s'ensuit que la CNIL n'a pas méconnu l'étendue de sa compétence en élaborant un plan d'actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu'elle a prise quant à l'usage de ses pouvoirs, notamment de sanction, afin d'atteindre les objectifs qu'elle a définis.

4. a) S'il est vrai que la CNIL a laissé aux opérateurs, dans le cadre de ce plan d'actions, une période d'adaptation, s'achevant six mois après la publication de cette recommandation, durant laquelle elle annonce que la poursuite de la navigation comme expression du consentement n'entraînera pas la mise en mouvement de son pouvoir répressif, il ressort des pièces du dossier que la fixation d'un tel délai a pour objet de permettre, au plus tard à son terme, à l'ensemble des opérateurs de respecter effectivement les exigences résultant de l'article 4 du règlement n° 2016/679 du 27 avril 2016 (RGPD) et de l'article 82 de la loi du 6 janvier 1978. Il ressort des pièces du dossier qu'un tel choix permet à l'autorité de régulation d'accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d'apporter, sur le plan technique, les garanties qu'exige l'état du droit en vigueur, dans la réalisation de l'objectif d'une complète mise en conformité de l'ensemble des acteurs à l'horizon de l'été 2020. En outre, ainsi que la CNIL l'a rappelé dans la prise de position contestée, elle continuera à contrôler, durant cette période, le respect des règles relatives au caractère préalable du consentement, à la possibilité d'accès au service même en cas de refus et à la disponibilité d'un dispositif de retrait du consentement facile d'accès et d'usage. Dans ces conditions et au vu de l'ensemble des circonstances de l'espèce, la CNIL ne peut être regardée comme ayant commis une erreur manifeste d'appréciation en retenant de telles orientations pour l'exercice de ses pouvoirs.

b) L'acte attaqué, qui n'exclut pas que la CNIL puisse en tout état de cause faire usage de son pouvoir répressif en cas d'atteinte particulièrement grave au droit au respect de la vie privée protégé par l'article 7 de la charte des droits fondamentaux de l'Union européenne et l'article 8 de la Conv. EDH ainsi qu'au droit à la protection des données personnelles garanti par l'article 8 de cette charte, contribue à remédier à des pratiques ne respectant pas les exigences posées par l'article 4 du RGPD et l'article 82 de la loi du 6 janvier 1978, en fixant pour l'ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l'exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles doit être écarté.

5. Le juge de l'excès de pouvoir exerce un contrôle restreint à l'erreur manifeste d'appréciation sur les orientations retenues par la CNIL quant au maniement des pouvoirs dont elle dispose pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs.

Arrêt rendu

Retour au sommaire

Le GDPR

L’article 9 du Règlement s’inspire de l’article 8 de la Directive, en ce qu’il interdit le traitement des données sensibles, au motif qu’elles méritent une protection spécifique, compte tenu des risques importants pour les droits et libertés fondamentaux inhérents à leur traitement.

Sont visés par l’interdiction de principe :

- le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ;

- le traitement des données génétiques et des données biométriques aux fins d’identifier une personne physique de manière unique ;

- le traitement des données s concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le considérant 51 du Règlement précise qu’en cas de dérogation à l’interdiction de traiter des données sensibles, les principes généraux et les autres dispositions du Règlement devraient être applicables, en particulier en ce qui concerne les conditions de licéité du traitement.

La notion de « données sensibles » au sens de l’article 9 du Règlement a fait l’objet de nouveaux développements, compte tenu des importantes évolutions technologiques. Ainsi, sont visées par l’interdiction de traitement, outre les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion, les convictions philosophiques ou l'appartenance syndicale, la santé ou la vie sexuelle :

- les données génétiques : elle sont définies à l’article 4(13)  comme visant toutes les données à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises et qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne, résultant en particulier d'une analyse d'un échantillon biologique de la personne en question) ;

-les données biométriques : elles sont définies à l’article 4 (14) comme visant les données à caractère personnel résultant d’un traitement technique spécifique relatives à des caractéristiques physiques, physiologiques ou comportementales d’un individu, qui permettent ou confirment une identification unique de l’individu, telles que des images faciales ou des données dactyloscopiques) traitées aux fins d’identification unique de la personne. .

A noter également que les données relatives à la santé reçoivent une définition spécifique à l’article 4 (15) comme visant toute donnée à caractère personnel relative à la santé physique ou mentale d’un individu, incluant des prestations de soins de santé, qui révèlent de l’information sur l’état de santé de l’individu.

Le Règlement reprend les exceptions déjà contenues dans la Directive parfois en étendant ou limitant leur champ d’application (consentement explicite; droit du travail et droit de la sécurité sociale pour autant que le traitement soit fondé sur une loi de l’Union ou de l’État membre ou une convention collective, sauvegarde de la vie humaine, association sans but lucratif, données rendues publiques par la personne concernée, constatation, défense, exercice ou constatation d’un droit en justice, médecine préventive ou pour des motifs importants d’intérêt public).

Le Règlement introduit cependant de nouvelles dérogations :

- pour les traitements nécessaires pour des motifs d'intérêt public dans le domaine de la santé publique (cfr art. 9, §2,i), tels que la protection contre les menaces transfrontières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux sur la base d’une loi de l’Union ou de l’État membre prévoyant des mesures de sauvegarde, notamment du secret professionnel ;

- pour les traitements nécessaires à des fins d'archivage dans l'intérêt public ou à des fins historiques, statistiques ou scientifiques dans les conditions fixées à l’article 89 et sur une base légale de l’Union ou de l’État membre (cfr. art. 9, § 2, j)). La version finale du Règlement précise que le traitement doit être proportionné au but poursuivi ; respecter l’essence des droits des personnes concernées ; prévoir des mesures appropriées et spécifiques en vue de sauvegarder les droits fondamentaux et les intérêts légitimes de la personne concernée.

Les  données « sensibles » visées au paragraphe 1er peuvent traitées à des fins de médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de soins ou de traitements de santé ou sociaux ou de la gestion de systèmes et de services de soins de santé ou sociaux au sens de l’article 9, § 2, h), pour autant qu’elles soient traitées par un ou sous la responsabilité d’un professionnel ou par ou sous la responsabilité d’une autre personne soumise au secret professionnel (cfr. art. 9, § 3).

Enfin, les États membres ont la faculté de maintenir ou d’introduire des dispositions plus précises, incluant des limitations, en ce qui concerne les données génétiques, biométriques ou les données concernant la santé (cfr. art. 9, § 4).

La Directive

Le premier paragraphe de l’article 8 de la Directive prévoyait une interdiction générale de traiter les données dites « sensibles », sauf consentement explicite de la personne concernée. On vise ici les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données relatives à la santé ou à la vie sexuelle.

Le législateur de l’Union avait considéré que, dans la mesure où ces données sont, par leur nature, susceptibles de porter atteinte aux libertés fondamentales ou à la vie privée, celles-ci ne devraient pas faire l’objet d’un traitement.

Toutefois, il s’agissait d’une interdiction relative. Au terme du second paragraphe de l’article 8 de la Directive, différentes dérogations avaient été prévues à l’interdiction générale de traiter ces données.

La première exception au principe d’interdiction visait les traitements pour lesquels la personne concernée a donné son consentement explicite au traitement (art. 8, § 2, a) (voir à cet égard, G29, Avis 15/2011 relatif à la définition du consentement, WP 187).

En outre, plusieurs exceptions ont été introduites pour répondre à des besoins spécifiques, tels que les traitements nécessaires à la sauvegarde de la vie humaine (art. 8, § 2, c)) ; les traitements portant sur des données rendues publiques par la personne concernée (art. 8, § 2, e)) ; les traitements nécessaires aux fins de la constatation, à l’exercice ou à la défense d’un droit en justice (art. 8, § 2, e) ; les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé (art. 8, § 3 )).

Les traitements nécessaires aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail (art. 8, § 2, b)).

Il était également fait exception au principe d’interdiction pour les traitements mis en œuvre par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale. L’exception ne joue que pour le traitement des données relatives aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers (art. 8, § 2, f)).

La Directive prévoyait, sous certaines conditions, une exception pour le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté (art. 8, § 5). Dans la mesure où le futur Règlement prévoit une disposition spécifique pour ces traitements, nous les examinerons plus en détail dans le cadre du commentaire de l’article 9 bis du Règlement. 

Outre les dérogations expressément contenues dans la Directive, l’article 8, paragraphe 4 autorisait les États membres à prévoir, sous réserve de garanties appropriées, des dérogations supplémentaires pour un motif d’intérêt public important, soit par leur législation nationale, soit par leur autorité de contrôle. Ces dérogations supplémentaires doivent néanmoins être notifiées à la Commission européenne (art. 8, § 4).

Belgique

En droit belge, la loi du 8 décembre 1992 prévoyait également une douzaine d’exceptions (article12 §2) à l’interdiction de traitement des données sensibles. On y retrouve notamment le consentement écrit (et non pas explicite), la nécessité de défense des intérêts vitaux de la personne, ou lorsque le traitement porte sur des données manifestement rendues publiques par la personne ou encore lorsque le traitement est nécessaire à des recherches scientifiques dans les conditions fixées par l’arrêté royal du 13 février 2001. Ce dernier prévoyait des garanties particulières qui devaient être impérativement respectées dans la mise en œuvre de chaque exception (art. 25 à 27 de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.).

France

La loi Informatique et Libertés contenait 11 exceptions à l’interdiction de traiter des données sensibles : 10 dérogations sont contenues dans l’article 8 de la loi Informatique et Libertés et Libertés, auxquelles s’ajoute l’exception concernant les traitements aux fins de journalisme et d’expression littéraire et artistique prévue à l’article 67. 

Au rang des dérogations supplémentaires prévues par le législateur français, la loi informatique et liberté autorisait les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels, après avis de la CNIL et dans le respect des conditions prévues à l’article 25 de la loi (cfr. art. 8, II., 7°). Faisaient également l’objet d’une dérogation, les traitements nécessaires à la recherche dans le domaine de la santé (cfr. art. 8, II., 8), ainsi que, sous certaines conditions, les traitements qui portent sur des données appelées à faire l’objet d’une procédure d’anonymisation (cfr. art. 8, III.). Une catégorie résiduelle était également prévue au point IV de l’article 9 de la loi informatique et liberté, dans l’hypothèse où le traitement était justifié par l’intérêt public et autorisé dans les conditions prévues aux articles 25 ou 26 de la loi (cfr. art. 8, IV.). A noter que le législateur français n’avait pas transposé dans la loi Informatique et Libertés d’exception à l’interdiction de traiter des données sensibles pour les traitements nécessaires aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail (art. 8, § 2, b de la Directive)), à la différence du législateur belge (cfr. art. 8, § 2, b) de la loi du 8 décembre 1992).

Difficultés probables

Pour différentes finalités ou types de données, les États membres gardent une marge de manœuvre importante dans la détermination d’exceptions qui doivent se baser sur une législation spécifique prise par cet État. Des différences significatives peuvent dès lors encore apparaître selon les États, ce qui met à mal l’objectif d’harmonisation complète du droit de la protection des données personnelles  poursuivi par le Règlement.

Règlement
1e 2e

Art. 9

1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, la prise en charge sanitaire ou sociale, ou la gestion des systèmes et des services sanitaires ou sociaux sur la base du droit de l'Union, du droit d'un' État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

i) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel; ou

j) le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3. Les données à caractère personnel visées au paragraphe 1 peuvent faire l'objet d'un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents.

4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

Proposition 1 close

 1. Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits.

2. Le paragraphe 1 ne s'applique pas lorsque:

a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel, dans les conditions fixées à l’article 7 et à l'article 8, sauf lorsque le droit de l’Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

ou b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par une législation nationale prévoyant des garanties appropriées;

 ou c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement, ou d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées;

ou e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée;

ou f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice;

ou g) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général sur le fondement du droit de l’Union ou d’un État membre, qui doit prévoir des mesures appropriées à la sauvegarde des intérêts légitimes de la personne concernée;

ou h) le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties prévues à l'article 81;

ou i) le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 83;

ou j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriées pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2.

Proposition 2 close

1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion, les convictions philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou la vie sexuelle (…) sont interdits.

2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie (…):

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel (…), sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité et de la protection sociales, dans la mesure où ce traitement est autorisé par le droit de l'Union, par la législation nationale ou par une convention collective relevant de celle-ci prévoyant des garanties appropriées;

 c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à des tiers sans le consentement des personnes concernées;

 e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée (...);

 f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

g) le traitement est nécessaire pour des motifs (...) d'intérêt public, sur la base du droit de l'Union ou de la législation nationale, qui doit prévoir des mesures appropriées et spécifiques en vue de sauvegarder les intérêts légitimes de la personne concernée;

h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de soins ou de traitements de santé ou sociaux ou de la gestion de systèmes et de services de soins de santé ou sociaux, sur la base du droit de l'Union, de la législation nationale ou d'un contrat conclu avec un professionnel de la santé et dans le respect des conditions et des garanties prévues au paragraphe 4;

h bis)(...);

h ter)le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou la législation nationale prévoyant des mesures appropriées et spécifiques en vue de sauvegarder les droits et libertés de la personne concernée;

 i) le traitement est nécessaire à des fins d'archivage dans l'intérêt public ou à des fins historiques, statistiques ou scientifiques (...) et est effectué dans le respect des conditions et des garanties prévues dans le droit de l'Union ou la législation des États membres, y compris celles visées à l'article 83.

 j) (...)

3. (...)

4. Les données à caractère personnel visées au paragraphe 1 peuvent faire l'objet, sur la base du droit de l'Union ou de la législation nationale, d'un traitement aux fins prévues au paragraphe 2, point h) (...), si ces données sont traitées par un praticien soumis au secret professionnel conformément au droit de l'Union, à la législation nationale ou aux règles arrêtées par les autorités nationales compétentes, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément à la législation nationale ou de l'Union ou aux règles arrêtées par les autorités nationales compétentes.

4 bis. (...).

5. Les États membres peuvent maintenir ou introduire des dispositions plus précises en ce qui concerne les données génétiques ou liées à la santé. Cela englobe la possibilité pour les États membres de (...) prévoir de nouvelles conditions pour le traitement de telles données.

Directive close

Art. 8

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque:

a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée

ou

b) le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates

ou

c) le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement

ou

d) le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées

ou

e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.

3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

4. Sous réserve de garanties appropriées, les États membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle.

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Les États membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l'autorité publique.

6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission.

7. Les États membres déterminent les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 6

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

II. - Les exceptions à l'interdiction mentionnée au I sont fixées dans les conditions prévues par le 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 et par la présente loi.

III. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés suivant les modalités prévues au II de l'article 31 et à l'article 32.

Art. 8

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

(...)

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

A ce titre :

(...)

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ;

Art.44

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

L'article 6 ne s'applique pas si l'une des conditions prévues au 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 est remplie, ainsi que pour :

1° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel dont l'atteinte est réprimée par l'article 226-13 du code pénal ;

2° Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique ;

3° Les traitements comportant des données concernant la santé justifiés par l'intérêt public et conformes aux dispositions de la section 3 du chapitre III du présent titre ;

4° Les traitements conformes aux règlements types mentionnés au c du 2° du I de l'article 8 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l'accès aux lieux de travail ainsi qu'aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;

5° Les traitements portant sur la réutilisation des informations publiques figurant dans les décisions mentionnées à l'article L. 10 du code de justice administrative et à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que ces traitements n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;

6° Les traitements nécessaires à la recherche publique au sens de l'article L. 112-1 du code de la recherche, sous réserve que des motifs d'intérêt public important les rendent nécessaires, dans les conditions prévues par le g du 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016, après avis motivé et publié de la Commission nationale de l'informatique et des libertés rendu selon les modalités prévues à l'article 34 de la présente loi.

Section 3 : Traitements de données à caractère personnel dans le domaine de la santé

Art. 64

Lorsque l'exercice du droit d'accès s'applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l'intermédiaire d'un médecin qu'elle désigne à cet effet, dans le respect des dispositions de l'article L. 1111-7 du code de la santé publique.

Sous-section 1 : Dispositions générales

Art. 65

Les traitements contenant des données concernant la santé des personnes sont soumis, outre à celles du règlement (UE) 2016/679 du 27 avril 2016, aux dispositions de la présente section, à l'exception des catégories de traitements suivantes :

1° Les traitements relevant du 1° de l'article 44 de la présente loi et des a et c à f du 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 ;

2° Les traitements permettant d'effectuer des études à partir des données recueillies en application du 1° de l'article 44 de la présente loi lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

3° Les traitements mis en œuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;

4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans les conditions prévues au deuxième alinéa de l'article L. 6113-7 du code de la santé publique ;

5° Les traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique qu'il désigne en application du premier alinéa de l'article L. 6113-8 du même code, dans le cadre défini au même article L. 6113-8.

Art. 66

I. -Les traitements relevant de la présente section ne peuvent être mis en œuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public.

II. -Des référentiels et règlements types, au sens des b et c du 2° du I de l'article 8, s'appliquant aux traitements relevant de la présente section sont établis par la Commission nationale de l'informatique et des libertés, en concertation avec l'Institut national des données de santé mentionné à l'article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité.

Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d'impact sur la vie privée.

III. -Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés. La demande d'autorisation est présentée dans les formes prévues à l'article 33.

IV. -La Commission nationale de l'informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

V. -La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque l'Institut national des données de santé est saisi en application du second alinéa de l'article 72.

Lorsque la Commission nationale de l'informatique et des libertés ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée acceptée. Cette disposition n'est toutefois pas applicable si l'autorisation fait l'objet d'un avis préalable en application de la sous-section 2 de la présente section et que l'avis ou les avis rendus ne sont pas expressément favorables.

Art. 67

Par dérogation à l'article 66, les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016.

Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques sont mis en œuvre dans les conditions prévues à l'article 30 de la présente loi.

Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du traitement si ce dernier continue à être mis en œuvre au-delà de ce délai.

Art. 68

Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable d'un traitement de données autorisé en application de l'article 66 les données à caractère personnel qu'ils détiennent.

Lorsque ces données permettent l'identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l'informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.

Lorsque le résultat du traitement de données est rendu public, l'identification directe ou indirecte des personnes concernées doit être impossible.

Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

Art. 69

Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du règlement (UE) 2016/679 du 27 avril 2016.

Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du droit qui lui est reconnu par l'article L. 1111-2 du code de la santé publique d'être laissée dans l'ignorance d'un diagnostic ou d'un pronostic.

Art. 70

Sont destinataires de l'information et exercent les droits de la personne concernée par le traitement les titulaires de l'exercice de l'autorité parentale, pour les mineurs, ou la personne chargée d'une mission de représentation dans le cadre d'une tutelle, d'une habilitation familiale ou d'un mandat de protection future, pour les majeurs protégés dont l'état ne leur permet pas de prendre seuls une décision personnelle éclairée.

Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l'article L. 1121-1 du code de la santé publique ou d'études ou d'évaluations dans le domaine de la santé, ayant une finalité d'intérêt public et incluant des personnes mineures, l'information peut être effectuée auprès d'un seul des titulaires de l'exercice de l'autorité parentale s'il est impossible d'informer l'autre titulaire ou s'il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l'étude ou de l'évaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à l'exercice ultérieur, par chaque titulaire de l'exercice de l'autorité parentale, des droits mentionnés au premier alinéa.

Pour ces traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de l'évaluation. Le mineur reçoit alors l'information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale soient informés du traitement de données si le fait d'y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s'est expressément opposé à la consultation des titulaires de l'autorité parentale, en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l'assurance maladie et maternité et de la couverture complémentaire mise en place par la loi n° 99-641 du 27 juillet 1999 portant création d'une couverture maladie universelle. Il exerce alors seul ses droits.

Art. 71

Une information relative aux dispositions de la présente sous-section doit être assurée notamment dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d'un traitement mentionné au présent titre.

Sous-section 2 : Dispositions particulières relatives aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé

Art. 72

Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des activités de soins ou de prévention sont soumis à la sous-section 1 de la présente section, sous réserve de la présente sous-section.

L'Institut national des données de santé mentionné à l'article L. 1462-1 du code de la santé publique peut se saisir ou être saisi, dans des conditions définies par décret en Conseil d'Etat, par la Commission nationale de l'informatique et des libertés ou le ministre chargé de la santé sur le caractère d'intérêt public que présentent les traitements mentionnés au premier alinéa du présent article.

Art. 73

Au titre des référentiels mentionnés au II de l'article 66 de la présente loi, des méthodologies de référence sont homologuées et publiées par la Commission nationale de l'informatique et des libertés. Elles sont établies en concertation avec l'Institut national des données de santé mentionné à l'article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.

Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans autorisation mentionnée à l'article 66 de la présente loi, à la condition que son responsable adresse préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité.

Art. 74

Toute personne a le droit de s'opposer à ce que des données à caractère personnel la concernant fassent l'objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux mentionnés à l'article 65.

Art. 75

Dans le cas où la recherche nécessite l'examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Le présent article n'est pas applicable aux recherches réalisées en application de l'article L. 1131-1-1 du code de la santé publique.

Art. 76

L'autorisation du traitement est accordée par la Commission nationale de l'informatique et des libertés dans les conditions définies à l'article 66, après avis :

1° Du comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code ;

2° Du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens du 1° du présent article. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la composition de ce comité et définit ses règles de fonctionnement. Les membres du comité d'expertise sont soumis à l'article L. 1451-1 du code de la santé publique.

Les dossiers présentés dans le cadre de la présente section, à l'exclusion des recherches impliquant la personne humaine, sont déposés auprès d'un secrétariat unique assuré par l'Institut national des données de santé, qui assure leur orientation vers les instances compétentes.

Art. 77

Dans le respect des missions et des pouvoirs de la Commission nationale de l'informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d'audit du système national des données de santé est institué. Ce comité d'audit définit une stratégie d'audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé.

Le comité d'audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale d'assurance maladie responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l'Institut national des données de santé, ainsi qu'une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l'informatique et des libertés, ou son représentant, y assiste en tant qu'observateur.

Les audits, dont le contenu est défini par le comité d'audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d'audit de systèmes d'information et de leur indépendance à l'égard de l'entité auditée.

Le prestataire retenu soumet au président du comité d'audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.

Les missions d'audit s'exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l'autorité et en présence d'un médecin, s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé.

Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d'audit, le responsable du traitement mentionné au II de l'article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l'informatique et des libertés.

Si le comité d'audit a connaissance d'informations de nature à révéler des manquements graves en amont ou au cours d'un audit ou en cas d'opposition ou d'obstruction à l'audit, un signalement est adressé sans délai par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.

Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d'information audités.

Si la mission constate, à l'issue de l'audit, de graves manquements, elle en informe sans délai le président du comité d'audit, qui informe sans délai le président de la Commission nationale de l'informatique et des libertés et le responsable du traitement mentionné au II de l'article L. 1461-1 du code de la santé publique.

En cas d'urgence, le directeur général de la Caisse nationale d'assurance maladie peut suspendre temporairement l'accès au système national des données de santé avant le terme de l'audit s'il dispose d'éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l'accès ne peut se faire qu'avec l'accord de ce dernier au regard des mesures correctives prises par l'entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l'informatique et des libertés.

Le rapport définitif de chaque mission est transmis au comité d'audit, au président de la Commission nationale de l'informatique et des libertés et au responsable du traitement audité.

Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l'audit.

Art.31 à 36

Re : traitements mis en oeuvre pour le compte de l'Etat

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 8.

Version initiale

I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

II. -Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :

1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ;

2° Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;

3° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :

- pour les seules données mentionnées au I correspondant à l'objet de ladite association ou dudit organisme ;

- sous réserve qu'ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;

- et qu'ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;

4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;

5° Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;

6° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;

7° Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique et dans les conditions prévues à l'article 25 de la présente loi ;

8° Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.

III.-Si les données à caractère personnel visées au I sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l'article 25. Les dispositions des chapitres IX et X ne sont pas applicables.

IV.-De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26.

Art. 8

Modifié par la loi n°2018-493 du 20 juin 2018

I. - Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

II. - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :

1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ;

2° Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;

3° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :

- pour les seules données mentionnées au I correspondant à l'objet de ladite association ou dudit organisme ;

- sous réserve qu'ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;

- et qu'ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;

4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;

5° Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;

6° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;

7° Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi n°51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique ;

8° Les traitements comportant des données concernant la santé justifiés par l'intérêt public et conformes aux dispositions du chapitre IX de la présente loi ;

9° Les traitements conformes aux règlements types mentionnés au b du 2° du I de l'article 11 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l'accès aux lieux de travail ainsi qu'aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;

10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l'article L. 10 du code de justice administrative et à l'article L. 111-13 du code de l'organisation judiciaire, sous réserve que ces traitements n'aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;

11° Les traitements nécessaires à la recherche publique au sens de l'article L. 112-1 du code de la recherche, mis en œuvre dans les conditions prévues au 2 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, après avis motivé et publié de la Commission nationale de l'informatique et des libertés rendu selon les modalités prévues à l'article 28 de la présente loi.

III. - N'entrent pas dans le champ de l'interdiction prévue au I les données à caractère personnel mentionnées au même I qui sont appelées à faire l'objet, à bref délai, d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés.

IV. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au II de l'article 26.

Décret d'application.

Données de santé: CF Chapitre IV du TITRE II du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978. ​

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art. 8

En exécution de l’article 9.2.g) du Règlement, les traitements ci-après sont considérés comme traitements nécessaires pour des motifs d’intérêt public important:

1° le traitement effectué par des associations dotées de la personnalité juridique ou par des fondations qui ont pour objet statutaire principal la défense et la promotion des droits de l’homme et des libertés fondamentales,en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par le Roi, par arrêté délibéré en Conseil des ministres, après avis de l’autorité de contrôle compétente. Le Roi peut prévoir des modalités de ce traitement;

2° le traitement géré par la fondation d’utilité publique “Fondation pour Enfants Disparus et Sexuellement Exploités” pour la réception, la transmission à l ’autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées, dans un dossier déterminé de disparition ou d’exploitation sexuelle, d’avoir commis un crime ou un délit;

3° le traitement de données à caractère personnel concernant la vie sexuelle, effectué par une association dotée de la personnalité juridique ou par une fondation,qui a pour objet statutaire principal l’évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d’infraction, et qui est agréée et subventionné par l’autorité compétente en vue de la réalisation de cet objet. Ces traitements, qui doivent être destinés à l’évaluation, la guidance et le traitement des personnes visées dans le présent paragraphe et qui ne peuvent porter que sur des données à caractère personnel qui, pour autant qu’elles soient relatives à la vie sexuelle, concernent les personnes visées dans le présent paragraphe, sont soumis à une autorisation spéciale individuelle accordée par le Roi, dans un arrêté royal délibéré en Conseil des ministres, après avis de l’autorité de contrôle compétente. L’arrêté visé à l’alinéa 1er, 3°, précise la durée de validité de l’autorisation, les modalités du traitement des données, les modalités de contrôle de l’association ou de la fondation par l’autorité compétente et la façon dont cette autorité informe l’autorité de contrôle compétente sur le traitement de données à caractère personnel effectué dans le cadre de l’autorisation accordée. Sauf dispositions légales particulières, le traitement de données génétiques et biométriques aux fins d’identifier une personne physique de manière unique par ces associations et fondations est interdit.

§ 2. Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l’autorité de contrôle compétente.

Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.

§ 3. La fondation visée au paragraphe 1er, alinéa 1er, 2°, ne peut tenir un fichier de personnes suspectes d’avoir commis un crime ou un délit ou de personnes condamnées. Elle désigne également un délégué à la protection des données.

Art. 9

En exécution de l’article 9.4 du Règlement, le responsable du traitement prend les mesures supplémentaires suivantes lors du traitement de données génétiques, biométriques ou des données concernant la santé:

1° les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;

2° la liste des catégories des personnes ainsi désignées est tenue à la disposition de l’autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant;

3° il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.

 

Ancienne loi
en Belgique
close

Art. 6. 

§ 1. Le traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la vie sexuelle, est interdit.


  § 2. L'interdiction de traiter les données à caractère personnel visées au § 1er du présent article ne s'applique pas dans l'un des cas suivants :


  a) lorsque la personne concernée a donné son consentement par écrit à un tel traitement, pour autant que ce consentement puisse à tout moment être retiré par celle-ci; le Roi peut déterminer, par arrêté délibéré en Conseil des ministres après avis de la Commission de la protection de la vie privée, dans quels cas l'interdiction de traiter des données visées à l'article présent, ne peut être levée par le consentement écrit de la personne concernée;


  b) lorsque le traitement est nécessaire afin d'exécuter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail;


  c) lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;


  d) lorsque le traitement est effectué dans le cadre des activités légitimes d'une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse, mutualiste ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées;


  e) lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée;


  f) lorsque le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice;


  g) lorsque le traitement est nécessaire à des recherches scientifiques et effectué aux conditions déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée;


  h) lorsque le traitement est nécessaire à la réalisation d'une finalité fixée par ou en vertu de la loi, en vue de l'application de la sécurité sociale;


  i) lorsque le traitement est effectué en exécution de la loi du 4 juillet 1962 relative à la statistique publique;


  j) lorsque le traitement est nécessaire aux fins de médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements soit à la personne concernée, soit à un parent, ou de la gestion de services de santé agissant dans l'intérêt de la personne concernée et le traitement est effectué sous la surveillance d'un professionnel des soins de santé;


  k) lorsque le traitement est effectué par des associations dotées de la personnalité juridique ou par des établissements d'utilité publique qui ont pour objet social principal la défense et la promotion des droits de l'homme et des libertés fondamentales, en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée;


  l) lorsque le traitement des données à caractère personnel visées au § 1er est permis par une loi, un décret ou une ordonnance pour un autre motif important d'intérêt public.


  Dans le cas vise au j) le professionnel des soins de santé et ses préposés ou mandataires sont soumis au secret.
  § 3. Sans préjudice de l'application des articles 7 et 8 de la présente loi, le traitement de données à caractère personnel concernant la vie sexuelle, est autorisé lorsque le traitement est effectué par une association dotée de la personnalité juridique ou par un établissement d'utilité publique, qui a pour objet statutaire principal l'évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d'infraction, et qui est agréé et subventionné par l'autorité compétente en vue de la réalisation de ce but; ces traitements, qui doivent être destinés à l'évaluation, la guidance et le traitement des personnes visées dans le présent paragraphe et qui ne peuvent porter que sur des données à caractère personnel qui, pour autant qu'elles sont relatives à la vie sexuelle, concernent les personnes visées dans le présent paragraphe, sont soumis à une autorisation spéciale individuelle accordée par le Roi, dans un arrêté royal délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée.
  L'arrêté visé dans ce paragraphe précise la durée de validité de l'autorisation, les modalités de contrôle de l'association ou de l'établissement par l'autorité compétente et la façon dont cette autorité informera la Commission de la protection de la vie privée sur le traitement de données à caractère personnel effectué dans le cadre de l'autorisation accordée.


  § 4. Le Roi détermine, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, les conditions particulières auxquelles doit satisfaire le traitement de données à caractère personnel visées au présent article.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK