Article 36
Consultation préalable

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 36 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 36 keyboard_arrow_up

(37) Un groupe d'entreprises devrait couvrir une entreprise qui exerce le contrôle et ses entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres entreprises du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. Une entreprise qui contrôle le traitement de données à caractère personnel dans des entreprises qui lui sont affiliées devrait être considérée comme formant avec ces dernières un "groupe d'entreprises".

(94) Lorsqu'il ressort d'une analyse d'impact relative à la protection des données que, en l'absence des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en oeuvre, il y a lieu de consulter l'autorité de contrôle avant le début des opérations de traitement. Certains types de traitements et l'ampleur et la fréquence des traitements sont susceptibles d'engendrer un tel risque élevé et peuvent également causer un dommage ou porter atteinte aux droits et libertés d'une personne physique. L'autorité de contrôle devrait répondre à la demande de consultation dans un délai déterminé. Toutefois, l'absence de réaction de l'autorité de contrôle dans le délai imparti devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d'interdire des opérations de traitement. Dans le cadre de ce processus de consultation, les résultats d'une analyse d'impact relative à la protection des données réalisée en ce qui concerne le traitement en question peuvent être soumis à l'autorité de contrôle, notamment les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

(95) Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d'impact relatives à la protection des données et de la consultation préalable de l'autorité de contrôle.

(96) L'autorité de contrôle devrait également être consultée au stade de la préparation d'une mesure législative ou réglementaire qui prévoit le traitement de données à caractère personnel, afin d'assurer que le traitement prévu respecte le présent règlement et, en particulier, d'atténuer le risque qu'il comporte pour la personne concernée.

Afficher les considérants de la Directive 95/46 liés à l'article 36 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 36 keyboard_arrow_up

(52) considérant que, dans ce contexte, le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante;

(53) considérant que, cependant, certains traitements sont susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celle d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat, ou du fait de l'usage particulier d'une technologie nouvelle; qu'il appartient aux États membres, s'ils le souhaitent, de préciser dans leur législation de tels risques;

(54) considérant que, au regard de tous les traitements mis en oeuvre dans la société, le nombre de ceux présentant de tels risques particuliers devrait être très restreint; que les États membres doivent prévoir, pour ces traitements, un examen préalable à leur mise en oeuvre, effectué par l'autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci; que, à la suite de cet examen préalable, l'autorité de contrôle peut, selon le droit national dont elle relève, émettre un avis ou autoriser le traitement des données; qu'un tel examen peut également être effectué au cours de l'élaboration soit d'une mesure législative du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et précise les garanties appropriées.

Le GDPR

Le responsable doit consulter l’autorité de contrôle avant la mise en œuvre du traitement uniquement lorsque l’analyse d’impact mené par le responsable du traitement en application de l’article 35, révèle que le traitement présente un risque élevé en cas d’absence de mesures appropriées prises par le responsable afin d’atténuer le risque (art. 36, paragraphe 2).

Si l’autorité estime que le traitement n’est pas conforme au Règlement, en particulier si le responsable n’a pas suffisamment identifié ou atténué le risque inhérent au traitement, cette dernière dispose alors d’un délai de huit semaines (pouvant être prolongé de six semaines si la complexité du traitement l’exige) pour conseiller par écrit le responsable du traitement de données -ou le cas échéant, le sous-traitant- en usant, en cas de besoin, des pouvoirs visés à l'article 58 consistant à exiger la communication d’informations, diligenter des enquêtes sous la forme d’audit, obtenir l’accès aux données à caractère personnel, ainsi qu’aux locaux du responsable ou du sous-traitant. La version finale du Règlement précise que le délai dans lequel l’autorité doit rendre son avis est suspendu jusqu’à ce l’autorité ait obtenu les informations qu’elle a sollicitées.

Le paragraphe 6 détermine les modalités de la demande de consultation : le responsable doit indiquer à l’autorité de contrôle la répartition des responsabilités entre le responsable du traitement, les éventuels responsables conjoints du traitement et des sous-traitants ; les finalités et les modalités du traitement ; les mesures et des garanties prévues afin de protéger les droits et les libertés des personnes concernées ; le cas échéant, les coordonnées du délégué à la protection des données ; l’analyse d’impact réalisée, ainsi que toute autre information sollicitée par l’autorité.

Comme cela existait déjà auparavant dans certains pays, le Règlement prévoit que les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative ou d'une mesure réglementaire relative à un traitement de données à caractère personnel (§ 4).

Les États membres peuvent aussi exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable pour le traitement de données effectué dans le cadre d'une mission menée dans l'intérêt public, y compris le traitement de telles données relatives à la protection sociale et à la santé publique.

La Directive

L’article 20 de la Directive obligeait les États membres à définir des traitements dits « à risque » c’est-à-dire ceux susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées. Il s’agissait notamment des traitements qui du fait de leur nature, de leur portée ou de leurs finalités sont susceptibles d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat, ou ceux qui susceptibles de présenter des risques, du fait de l'usage particulier d'une technologie nouvelle (cfr. considérant 53).

Avant la mise en œuvre de ces traitements, des examens préalables devaient être effectués par l’autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci.

Un tel examen préalable pouvait également être effectué dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, définissant la nature du traitement et fixant des garanties appropriées.

Belgique

En droit belge, l’article 17 bis de la loi du 8 décembre 1992 investit le Roi du pouvoir de déterminer les catégories de traitements qui présentent des risques particuliers, ainsi que des conditions particulières pour garantir les droits et libertés des personnes concernées. Aucun texte réglementaire n’a exécuté cette disposition.

Cependant, différentes catégories de traitements (communication de données relatives à la santé et à la sécurité sociales, communications électroniques de données d’autorités publiques vers des tiers, etc.) relèvent de comités sectoriels auprès desquels une demande d’autorisation doit le cas échéant être introduite.

Difficultés probables ?

Il appartient donc au responsable –voire au sous-traitant- de consulter l’autorité contrôle si le résultat de l’analyse d’impact révèle que le traitement présente un risque élevé qui ne peut pas être atténué sans l’intervention du responsable du traitement.

La mission exacte de l’autorité n’est pas claire non plus : la consultation a-t-elle pour but de voir l’autorité « conseiller » le responsable dans la prise de mesures adéquates ou d’interdire in fine le responsable de mettre en œuvre le traitement en cause ? Il faudra que les États membres précisent si en réalité il s’agit d’une procédure d’autorisation préalable et si les responsables doivent suivre obligatoirement l’avis de l’autorité.

Sommaire

Union Européenne

Belgique

Union Européenne

Groupe 29

Lignes directrices concernant l'autorité de contrôle chef de file - wp244rev.01 (5 avril 2017)

(Approuvées par le CEPD)

Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.

L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.

Lien

Lignes directrices concernant l’analyse d’impact relative à la protection des données
(AIPD) - wp248rev.01 (4 octobre 2017)

(Approuvées par le CEPD)

Le règlement (UE) 2016/679 (RGPD) s’appliquera à partir du 25 mai 2018. De la même manière que la directive 2016/680, l’article 35 du RGPD introduit la notion d’analyse d’impact relative à la protection des données (AIPD),

Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. Les AIPD sont un outil important au regard du principe de responsabilité, compte tenu de leur utilité pour les responsables du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne leur capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement (voir également l’article 24). Autrement dit, une AIPD est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

En vertu du RGPD, le non-respect des exigences applicables en matière d’AIPD peut donner lieu à des amendes imposées par l’autorité de contrôle compétente. Le fait de ne pas effectuer d’AIPD alors que le traitement est soumis à l’obligation d’une telle analyse (article 35, paragraphes 1, 3 et 4), de réaliser l’analyse d’une manière incorrecte (article 35, paragraphes 2 et 7 à 9) ou de ne pas consulter l’autorité de contrôle compétente lorsque la situation l’exige (article 36, paragraphe 3, point e), est passible d'une amende administrative pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Lien


Belgique

Autorité de protection des données

Recommandation relative à l’autorité chef de file - 04/2016 (19 décembre 2016)

1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.

Lien

Recommandation concernant l'analyse d'impact et la consultation préalable - 01/2018 (28 février 2018)

1. Le Règlement général sur la protection des données (RGPD) prévoit plusieurs nouvelles obligations pour les responsables du traitement. Une des nouvelles obligations figurant dans le RGPD concerne l'obligation de réaliser - dans certaines circonstances - une "analyse d'impact relative à la protection des données", en abrégé "AIPD".

2. Une AIPD est un processus dont l’objet est de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques qui y sont liés en les évaluant et en déterminant les mesures nécessaires pour y faire face.

3. La Directive Police et Justice (Directive 2016/680) prévoit également une obligation de réaliser une AIPD dans certaines circonstances. Les lignes directrices reprises dans la présente recommandation, qui s'inspirent des dispositions du RGPD, s'appliquent mutatis mutandis pour l'interprétation des dispositions pertinentes de la Directive 2016/680.

4. Le but de la présente recommandation est de fournir des explications plus détaillées concernant : (1) les circonstances dans lesquelles une AIPD est obligatoire (section 3) ; (2) les éléments essentiels d’une AIPD (section 5) ; (3) les circonstances dans lesquelles une consultation préalable est obligatoire (section 6) ; (4) les acteurs qui doivent être impliqués dans une AIPD (section 7) ; et (5) plusieurs dispositions particulières (section 8).

5. Un précédent projet de recommandation a été soumis à une consultation publique du 20 décembre 2016 au 28 février 2017. La présente recommandation tient compte des remarques et suggestions qui ont été formulées par des entreprises, des fédérations sectorielles et des universitaires, ainsi que de la version finale des lignes directrices du Groupe de protection des données Article 29 promulguées en octobre 2017.

6. La présente recommandation ne comporte aucun modèle établi, ni de vade-mecum pour la réalisation d'une AIPD. Bien qu'il existe plusieurs modèles et vade-mecum, la Commission encourage les fédérations sectorielles à élaborer des codes de conduite adaptés aux traitements de données au sein de leur secteur et qui sont adaptés en particulier aux besoins des petites, moyennes et micro- entreprises. Il n'est toutefois pas exclu qu'à l'avenir, la Commission mette à disposition un formulaire et/ou un vade-mecum complémentaire qui pourrait servir de point de départ à la réalisation d'une AIPD ou dans le cadre d'une consultation préalable. 

Lien

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-92/09 ; C-93/09 (9 novembre 2010) - Volker und Markus Schecke et Eifert

1)      Les articles 42, point 8 ter, et 44 bis du règlement (CE) n° 1290/2005 du Conseil, du 21 juin 2005, relatif au financement de la politique agricole commune, tel que modifié par le règlement (CE) n° 1437/2007 du Conseil, du 26 novembre 2007, ainsi que le règlement (CE) n° 259/2008 de la Commission, du 18 mars 2008, portant modalités d’application du règlement n° 1290/2005 en ce qui concerne la publication des informations relatives aux bénéficiaires de fonds en provenance du Fonds européen agricole de garantie (FEAGA) et du Fonds européen agricole pour le développement rural (Feader), sont invalides dans la mesure où, s’agissant des personnes physiques bénéficiaires d’aides du FEAGA et du Feader, ces dispositions imposent la publication de données à caractère personnel relatives à tout bénéficiaire, sans opérer de distinction selon des critères pertinents, tels que les périodes pendant lesquelles elles ont perçu de telles aides, la fréquence ou encore le type et l’importance de celles-ci.

2)      L’invalidité des dispositions du droit de l’Union mentionnées au point 1 de ce dispositif ne permet pas de remettre en cause les effets de la publication des listes des bénéficiaires d’aides du FEAGA et du Feader effectuée par les autorités nationales, sur le fondement desdites dispositions, pendant la période antérieure à la date du prononcé du présent arrêt.

3)      L’article 18, paragraphe 2, second tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il ne soumet pas le détaché à la protection des données à caractère personnel à une obligation de procéder à la tenue du registre prévue par cette disposition préalablement à la mise en œuvre d’un traitement de données à caractère personnel, tel que celui résultant des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, tel que modifié par le règlement n° 1437/2007, ainsi que du règlement n° 259/2008.

4)      L’article 20 de la directive 95/46 doit être interprété en ce sens qu’il ne fait pas obligation aux États membres de soumettre aux contrôles préalables prévus par cette disposition la publication des informations résultant des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, tel que modifié par le règlement n° 1437/2007, ainsi que du règlement n° 259/2008.

Conclusions de l'Avocat général

Arrêt rendu

Belgique

Jurisprudence belge

C. const. Be., n°118/2020 (24 septembre 2020)

1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.

Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.

2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.

Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.

Arrêt rendu

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

France

Jurisprudence française

CE Fr., n°210412 (30 juin 2000)

a) La collecte des données individuelles concernant les cas de maladies visées à l'article L. 11 du code de la santé publique, en vue de leur transmission à l'autorité sanitaire, dont les modalités sont fixées par le décret du 6 mai 1999, constitue un traitement de données à caractère personnel au sens de la directive.

b) Le choix est laissé aux Etats membres de faire procéder à l'examen préalable des traitements qu'ils identifient comme présentant des risques particuliers, soit à la suite de leur notification à l'autorité de contrôle soit, plus tôt, lors de l'élaboration de la loi ou du règlement d'application qui définit la nature du traitement ainsi que les droits et garanties qui y sont attachés.

c) En prévoyant, aux quatrième et cinquième alinéas de l'article R. 11-3 au code de la santé publique, d'une part, "qu'à la demande du médecin destinataire du signalement, le déclarant est tenu de lui fournir toute information nécessaire à la mise en œuvre des mesures d'investigation et d'intervention, y compris l'identité et l'adresse du patient", d'autre part, que "ces informations peuvent être transmises à d'autres professionnels lorsque leur intervention est indispensable pour la mise en œuvre des mesures de prévention individuelle et collective", le gouvernement n'a pas excédé les limites de l'habilitation reçue du législateur, qui l'invitait au contraire, pour les maladies figurant au 1) de l'article L. 11, à concilier le principe de l'anonymat avec la nécessité de protéger la santé publique dans les cas où celle-ci requiert une intervention urgente. La règle qu'il a édictée, en la complétant au même article R. 11-3 de la précaution selon laquelle les informations ainsi communiquées ne sont conservées que "le temps nécessaire à l'intervention ou à l'investigation", est proportionnée à l'objectif poursuivi.

Arrêt rendu

Cass., n°04-80.048 (16 mars 2004)

Il résulte de l'arrêt attaqué et des pièces de la procédure que, pour les besoins d'une enquête préliminaire portant sur des faits de vols aggravés auxquels se seraient livrés des individus d'origine roumaine, les services de gendarmerie ont regroupé sous forme de tableaux des informations obtenues tant d'un officier d'état civil que d'un témoin, à partir desquels ils ont, dans un procès-verbal de synthèse, dégagé les liens existant entre des personnes, des véhicules et des domiciles ;

L'utilisation d'un appareillage informatique ne suffit pas, à elle seule, à caractériser un traitement automatisé au sens de l'article 5 de la loi "informatique et libertés", et que rien ne permet de retenir que les informations collectées aient fait l'objet d'un traitement automatisé, ni même qu'elles aient été conservées au-delà de leur édition sur support papier.

Arrêt rendu

Cass. Fr., n°03-86.604 (28 septembre 2004)

Justifie sa décision l'arrêt qui, pour condamner le président de l'Association spirituelle de l'église de scientologie d'Ile-de-France, pour entrave aux fonctions de la CNIL retient qu'il a envoyé volontairement à cet organisme des informations qu'il savait inexactes, dès lors que cette attitude démontre la volonté d'éluder le contrôle de cette commission.

Arrêt rendu

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

Cass. Fr., n°10-81.748 (30 novembre 2011)

Le premier président retient, à bon droit, que les dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont inapplicables, dès lors que l'exécution d'une opération de visite et saisie, autorisée par le juge des libertés et de la détention, est réalisée sous son contrôle et son déroulement est susceptible d'un recours devant le premier président.

Arrêt rendu

Cass. Fr., n°12-81.533 (19 mars 2013)

1. Justifie sa décision la cour d'appel qui, saisie de la poursuite exercée pour refus de se soumettre à un prélèvement biologique contre une personne antérieurement condamnée du chef de destruction aggravée de biens destinés à l'utilité publique, rejette l'exception d'illégalité par elle présentée et visant l'article R. 53-10, II, du code de procédure pénale, dès lors, d'une part, qu'il résulte des dispositions de l'article 706-54, alinéa 1er, du code de procédure pénale que le fichier national automatisé des empreintes génétiques centralise les traces et empreintes génétiques de l'ensemble des personnes déclarées coupables des infractions mentionnées à l'article 706-55 dudit code, parmi lesquelles figurent les délits de destruction de biens destinés à l'utilité publique, et que, d'autre part, la décision que doit prendre le ministère public en application de l'article R. 53-10, II, du code de procédure pénale, de faire procéder à l'enregistrement, au même fichier, des résultats des analyses d'identification par empreintes génétiques des échantillons biologiques prélevés sur des personnes définitivement condamnées à raison des infractions susvisées, n'excède pas les limites de la délégation confiée au pouvoir réglementaire par le dernier alinéa dudit article 706-54.

2. Le prévenu ne saurait faire grief aux juges du fond l'ayant condamné pour refus de se soumettre à un prélèvement biologique d'avoir écarté son argumentation prise de la méconnaissance des prescriptions de l'article 6, 3°, de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui exigent que les données recueillies pour les fichiers soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs, dès lors que le fichier national automatisé des empreintes génétiques, qui a été institué par la loi et dont le fonctionnement a été fixé par le décret n° 2000-413 du 18 mai 2000 pris après avis de la CNIL, est régi par les dispositions de l'article 26 de la même loi.

3. Ne méconnaît pas les dispositions des articles 8 et 14 de la Convention européenne des droits de l'homme la cour d'appel qui déclare un prévenu coupable de refus de se soumettre à un prélèvement biologique, dès lors que s'il s'analyse en une ingérence dans l'exercice du droit au respect de la vie privée, l'enregistrement des empreintes génétiques constitue une mesure, non manifestement disproportionnée, qui, dans une société démocratique, est nécessaire notamment, à la sûreté publique et à la prévention des infractions pénales et qui s'applique, sans discrimination, à toutes les personnes condamnées pour les infractions mentionnées à l'article 706-55 du code de procédure pénale.

Arrêt rendu

CE Fr., n°358876 (15 octobre 2014)

1. En application des dispositions de l'article 28 de la loi n° 78-17 du 6 janvier 1978, un avis implicite favorable naît du silence gardé par la CNIL pendant les deux mois qui suivent la réception d'une saisine effectuée sur le fondement des articles 26 ou 27 de cette même loi. La loi a ainsi prévu que soient rendus des avis favorables implicites qui, par leur nature même, ne sauraient être motivés.

2. Un décret autorise la mise en œuvre, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel qui a pour finalités, d'une part, la gestion administrative des demandes de pensions d'invalidité présentées en application du code des pensions militaires d'invalidité et des victimes de la guerre et, d'autre part, la préparation et le suivi de la liquidation des dossiers des pensions attribuées au titre du même code. Ce décret, eu égard à son objet et à ses finalités, est justifié par un intérêt public et échappe ainsi, en application du IV de l'article 8 de la loi n° 78-17 du 6 janvier 1978, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article. Compte tenu des dispositions de l'article 5 de la loi n°55-356 du 3 avril 1955, qui autorisent la communication de renseignements médicaux ou de pièces médicales susceptibles de faciliter l'instruction d'une demande de pension aux services administratifs chargés de l'instruction des demandes, dont les agents sont eux-mêmes tenus au secret professionnel, le décret n'a par lui-même et ne pourrait d'ailleurs avoir légalement ni pour objet ni pour effet d'autoriser les services du ministère de la défense à accéder à des données personnelles relatives à la santé dans des conditions dérogeant aux exigences de protection du secret médical garanti par les dispositions de l'article L 1110-4 du code de la santé publique.

Arrêt rendu

CE Fr., n°381254 (18 décembre 2015)

Pour déterminer si des traitements doivent être soustraits du régime de la décision unique prévu par le II de l'article 25 de la loi n° 78-17 du 6 janvier 1978, il appartient à la CNIL d'apprécier la proportionnalité des données collectées à la finalité poursuivie par ces traitements et de rechercher si la mise en œuvre des traitements doit faire l'objet d'une autorisation spécifique, eu égard à la nature des données collectées, lui permettant d'exercer, au cas par cas, le contrôle prévu par l'article 6 de la loi.

Arrêt rendu

CE Fr., n°396669 (5 mai 2017)

Formation spécialisée ayant procédé à l'examen de l'acte réglementaire autorisant la création du fichier litigieux et des éléments fournis par le ministre et la Commission nationale de l'informatique et des libertés (CNIL). Cet examen a révélé que des données concernant le requérant figuraient illégalement dans le fichier litigieux. Par suite, il y a lieu d'ordonner l'effacement de ces données.

Arrêt rendu

CE Fr., n°406664 (6 avril 2018)

1. Les données susceptibles de figurer dans les traitements créés par le décret du 28 décembre 2016, qui sont, ainsi que le prévoit le 2° de l'article R. 332-15 du code du sport créé par ce dernier, relatives à des manquements aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives, sont collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle.

2. Il s'ensuit qu'alors même que certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés, les données ayant vocation à figurer dans les traitements en cause ne sont pas relatives à des infractions au sens de l'article 25 la loi n° 78-17 du 6 janvier 1978 dès lors qu'elles ne sont pas collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions, et ne sauraient d'ailleurs être mobilisées au soutien d'une plainte déposée devant le juge pénal. Ces traitements ne relèvent par suite pas du régime d'autorisation prévu par cet article mais du régime de déclaration prévu par l'article 22 de la même loi.

Arrêt rendu

CE Fr., n°447513 (24 décembre 2021)

Il résulte de l'article 90 de la loi n° 78-17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, que, lorsqu'est exigée une analyse d'impact préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'Etat, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la CNIL dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978.

Arrêt rendu

Règlement
1e 2e

Art. 36

1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

2. Lorsque l'autorité de contrôle est d'avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L'autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.

3. Lorsque le responsable du traitement consulte l'autorité de contrôle en application du paragraphe 1, il lui communique:

a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d'entreprises;

b) les finalités et les moyens du traitement envisagé;

c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;

d) le cas échéant, les coordonnées du délégué à la protection des données;

e) l'analyse d'impact relative à la protection des données prévue à l'article 35; et

f) toute autre information que l'autorité de contrôle demande.

4. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

Proposition 1 close

1. Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous-traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.

2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées:

a) lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers;

ou b) lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4.

3. Lorsque l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité.

4. L'autorité de contrôle établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2, point b). L'autorité de contrôle communique cette liste au comité européen de la protection des données.

5. Si la liste prévue au paragraphe 4 comprend des traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou liés à l'observation de leur comportement, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57 avant d’adopter la liste.

6. Le responsable du traitement ou le sous-traitant fournissent à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévue à l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a).

9. La Commission peut élaborer des formulaires et procédures types pour les autorisations et consultations préalables visées aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. (…)

2. Le responsable du traitement (…) consulte l'autorité de contrôle avant le traitement de données à caractère personnel lorsqu'une analyse d'impact relative à la protection des données telle qu'elle est prévue à l'article 33 indique que le traitement présenterait un (...) risque élevé si le responsable du traitement ne devait pas prendre de mesures pour atténuer le risque.

3. Lorsque l'autorité de contrôle est d'avis que le traitement visé au paragraphe 2 ne serait pas conforme au présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle doit, dans un délai maximum de six semaines suivant la demande de consultation, conseiller le responsable du traitement de données, par écrit, et peut utiliser les pouvoirs visés à l'article 53 (...). Ce délai peut être prolongé de six semaines, compte tenu de la complexité du traitement prévu. En cas de prolongation du délai, le responsable du traitement ou le sous-traitant est informé des raisons du report, dans un délai d'un mois à compter de la réception de la demande.

4. (…)

5. (…)

6. Lorsqu'il consulte l'autorité de contrôle, conformément au paragraphe 2, le responsable du traitement (...) informe l'autorité de contrôle:

a) le cas échéant, des responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants qui interviennent dans le traitement, en particulier pour le traitement au sein d'un groupe d'entreprises;

b) des finalités et des modalités du traitement prévu;

c) des mesures et des garanties prévues afin de protéger les droits et les libertés des personnes concernées conformément au présent règlement;

d) le cas échéant, des coordonnées du délégué à la protection des données;

e) de l'analyse d'impact relative à la protection des données prévue à l'article 33,

et f) de toute (…) autre information demandée par l'autorité de contrôle (…).

7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national ou d'une mesure réglementaire fondée sur une telle mesure législative qui prévoit le traitement de données à caractère personnel (...).

7 bis. Nonobstant le paragraphe 2, la législation des États membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable pour le traitement de données à caractère personnel effectué par un responsable du traitement dans le cadre d'une mission mené par celui-ci dans l'intérêt public, y compris le traitement de telles données relatives à la protection sociale et à la santé publique.

8. (…)

9. (…)

Directive close

Art. 20

1. Les États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre.

2. De tels examens préalables sont effectués par l'autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l'autorité de contrôle.

3. Les États membres peuvent aussi procéder à un tel examen dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

Aucune disposition spécifique

 

Ancienne loi close

Art. 17bis

Le Roi détermine, après avis de la Commission de la protection de la vie privée, les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés des personnes concernées, et fixe, également sur proposition de la Commission de la protection de la vie privée, des conditions particulières pour garantir les droits et libertés des personnes concernées.

Il peut en particulier déterminer que le responsable du traitement désigne un préposé à la protection des données chargé d'assurer, d'une manière indépendante, l'application de la présente loi ainsi que de ses mesures d'exécution.

Le Roi détermine par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, le statut du préposé à la protection des données.

 

close