Article 5
Principes relatifs au traitement des données à caractère personnel

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 5 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 5 keyboard_arrow_up

(30) Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.

(50) Le traitement de données à caractère personnel pour d'autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s'il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n'est requise. Si le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, le droit de l'Union ou le droit d'un État membre peut déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait être considéré comme compatible et licite. Le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible. La base juridique prévue par le droit de l'Union ou le droit d'un État membre en ce qui concerne le traitement de données à caractère personnel peut également constituer la base juridique pour un traitement ultérieur. Afin d'établir si les finalités d'un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres: de tout lien entre ces finalités et les finalités du traitement ultérieur prévu; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l'utilisation ultérieure desdites données; la nature des données à caractère personnel; les conséquences pour les personnes concernées du traitement ultérieur prévu; et l'existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

(157) En combinant les informations issues des registres, les chercheurs peuvent acquérir de nouvelles connaissances d'un grand intérêt en ce qui concerne des problèmes médicaux très répandus tels que les maladies cardiovasculaires, le cancer et la dépression. Sur la base des registres, les résultats de la recherche peuvent être améliorés car ils s'appuient sur un échantillon plus large de population. Dans le cadre des sciences sociales, la recherche sur la base des registres permet aux chercheurs d'acquérir des connaissances essentielles sur les corrélations à long terme existant entre un certain nombre de conditions sociales telles que le chômage et l'éducation et d'autres conditions de vie. Les résultats de la recherche obtenus à l'aide des registres fournissent des connaissances fiables et de grande qualité qui peuvent servir de base à l'élaboration et à la mise en oeuvre d'une politique fondée sur la connaissance, améliorer la qualité de vie d'un certain nombre de personnes et renforcer l'efficacité des services sociaux. Pour faciliter la recherche scientifique, les données à caractère personnel peuvent être traitées à des fins de recherche scientifique sous réserve de conditions et de garanties appropriées prévues dans le droit de l'Union ou le droit des États membres.

Afficher les considérants de la Directive 95/46 liés à l'article 5 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 5 keyboard_arrow_up

a. (22) considérant que les États membres préciseront dans leur législation ou lors de la mise en oeuvre des dispositions prises en application de la présente directive les conditions générales dans lesquelles le traitement de données est licite; que, en particulier, l'article 5, en liaison avec les articles 7 et 8, permet aux États membres de prévoir, indépendamment des règles générales, des conditions particulières pour les traitements de données dans des secteurs spécifiques et pour les différentes catégories de données visées à l'article 8;

b. (28) considérant que tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l'égard des personnes concernées; qu'il doit, en particulier, porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies; que ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données; que les finalités des traitements ultérieurs à la collecte ne peuvent pas être incompatibles avec les finalités telles que spécifiées à l'origine;

c. (29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées; que ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne;

Le GDPR

On constate d’abord que le principe de loyauté et de licéité du traitement est complété par un principe de transparence.

La transparence implique que toute information adressée au public ou à la personne concernée doit être aisément accessible et facile à comprendre, et être formulée en termes simples et clairs, particulièrement en ce qui concerne les informations relatives à l’identité du responsable et aux finalités du traitement (cfr. le considérant 39.). Les obligations d’information à charge du responsable du traitement résultant du principe de transparence sont détaillées aux articles 12 et suivants du Règlement.

Une nouvelle exception est reconnue à l’interdiction de poursuite de finalités incompatibles avec la finalité initiale (art. 5, § 1er, b) : l’archivage dans l’intérêt public pour autant -comme pour les finalités de recherches historiques, statistiques et scientifiques- que ces traitements répondent aux conditions fixées par l’article 89 du Règlement. Le principe de l’interdiction est du reste maintenu malgré une tentative de l’assouplir un peu au vu des difficultés qu’il pose concernant les changements de finalités (cfr le commentaire de l’article 6).

L’article 5, § 1er, c) du Règlement précise que les données doivent être « limitées au minimum nécessaire au regard des finalités du traitement », alors que la Directive obligeait les responsables à ne traiter que des données « non excessives » au regard des finalités du traitement. Le Règlement consacre donc le principe de minimisation des données, selon seules les données à caractère personnel qui apparaissent nécessaires à la réalisation de la finalité peuvent être traitées. On retrouve en réalité une application classique d’une règle de proportionnalité.

S’agissant du principe de durée limitée de conservation des données, le point e) rappelle que les données permettant l’identification des personnes ne doivent pas être conservées au-delà du délai nécessaire à la réalisation des finalités du traitement. En d’autres termes, les données permettant l’identification des personnes concernées doivent être supprimées dès l’instant où elles ne sont plus nécessaires au traitement, sauf exception pour les finalités d’archivage dans l’intérêt public et de recherches scientifiques, statistiques ou historiques, pour autant que les droits des personnes concernées soient protégés par des mesures techniques et organisationnelles (cfr article 89 §1er).

Initialement, la première proposition de Règlement faisait obligation au responsable de vérifier périodiquement la nécessité de poursuivre la conservation. Cet élément n’a pas été retenu. 

Le Règlement érige aussi en principe le devoir de sécurité et de confidentialité du traitement (intégrité et confidentialité), déjà contenu dans les articles 16 et 17 de la Directive (art. 5, § 1er, f), qui oblige le responsable à garantir une sécurité et une confidentialité appropriées, et notamment à prévenir l'accès non autorisé à ces données et à l'équipement servant à leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement (cfr. considérant 39).

Le Règlement consacre enfin un principe de responsabilité, en vertu duquel le responsable du traitement est responsable du respect des principes de traitement définis à l’article 5. Il appartient donc au responsable de garantir et de démontrer que son traitement est conforme aux principes visés à l’article 5, paragraphe 1er pendant toute la durée du traitement. Son respect implique que le responsable mette en place des mécanismes et des systèmes de contrôle (mesures d’audit, politique interne…) au sein de son entité pour garantir la conformité du traitement pendant toute sa durée et pour en conserver la preuve. Cette obligation de rendre compte est davantage explicitée par l’article 24 du Règlement.

La Directive

L’article 6 de la Directive déterminait les conditions générales dans lesquelles le traitement de données est licite. À travers cette disposition, le législateur de l’Union avait mis en place plusieurs principes fondamentaux qui sous-tendent tout traitement de données à caractère personnel. Ils ont été repris à l’article 4 de la loi du 8 décembre 1992 et à l’article 6 de la loi Informatique et Libertés et Libertés.

Le principe de loyauté et de licéité de la collecte des données suppose que les personnes concernées puissent connaître l'existence des traitements et bénéficier, lorsque des données sont collectées auprès d'elles, d'une information effective et complète au regard des circonstances de cette collecte. En outre, les données ne peuvent être obtenues à l’aide de procédés illicites ou déloyaux (article 6, paragraphe 1er, a).

En vertu du principe de finalité, la finalité doit être déterminée, explicite et légitime. Toute finalité incompatible avec la finalité annoncée est dès lors interdite sauf exception pour les finalités historiques, statistiques ou scientifiques (article 6, paragraphe 1er, b).

En vertu du principe de proportionnalité, les traitements de données à caractère personnel à effectuer doivent être adéquats, pertinents et non excessifs au regard des finalités poursuivies, ce qui suppose que le moyen utilisé soit adéquat et nécessaire pour réaliser l’objectif poursuivi (article 6, paragraphe 1er, c)).

Selon le principe de qualité des données, les données doivent être exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

Enfin, les données ne peuvent être conservées indéfiniment. Les données doivent être supprimées dès lors que leur conservation excède la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (cfr. article 6, paragraphe 1er, e) de la Directive ; l’article 6, 5° de la loi Informatique et Libertés et Libertés), ainsi que l’article 4, paragraphe 1er, 5° de la loi du 8 décembre 1992).

Belgique

L’article 4 de la loi du 8 décembre 1992 énumérait un certain nombre de principes contenant les exigences fondamentales que doit respecter tout traitement de données à caractère personnel, dans des termes identiques que ceux de l’article 6 de la Directive (principe de loyauté et de licéité, de finalité, de proportionnalité, principe de qualité, et de durée limitée de conservation).

Difficultés probables ?

Les principes de base ne sont pas bouleversés, seulement affinés.

Le renforcement des principes de transparence et de responsabilité va impliquer une révision des processus de traitement actuel dans l’organisation du responsable du traitement ainsi que l’implémentation de mesures de contrôle et d’audit interne ou externe de la conformité de ces traitements au Règlement.

On regrette que le principe de compatibilité n’ait pas fait l’objet d’un assouplissement vu les difficultés qu’il pose en termes d’évolution des finalités (cfr commentaire de l’article 6).

Sommaire

Union Européenne

Belgique

France

Union Européenne

Comité européen de la protection des données

Lignes directrices sur le traitement des données à caractère personnel par des dispositifs vidéo - 3/2019 (29 janvier 2020)

L’utilisation intensive de dispositifs vidéo a une incidence sur le comportement des citoyens. La mise en œuvre généralisée de ces outils dans de nombreux domaines de la vie des particuliers exercera une pression supplémentaire sur ceux-ci aux fins de la détection des anomalies éventuelles. En effet, ces technologies peuvent restreindre les possibilités de mouvement anonyme et d’utilisation anonyme des services et limitent généralement la possibilité de passer inaperçu. Les incidences en matière de protection des données sont énormes.

Si les citoyens peuvent être disposés à accepter la vidéosurveillance lorsque celle-ci vise un objectif précis de sécurité, il convient de prendre des mesures afin d’éviter toute utilisation abusive pour des finalités totalement différentes et inattendues pour la personne concernée (par exemple, à des fins commerciales, de suivi des performances des employés, etc.). En outre, de nombreux outils sont désormais mis en place pour exploiter les images enregistrées et pour transformer les caméras traditionnelles en caméras intelligentes. Associée à ces nouveaux outils et techniques, la quantité de données générées par la vidéosurveillance augmente les risques d’utilisation secondaire (liée ou non à l’objectif premier du système), voire d’abus. Dans le domaine de la vidéosurveillance, il convient toujours d’observer soigneusement les principes généraux énoncés dans le RGPD (article 5).

À bien des égards, les systèmes de vidéosurveillance modifient la manière dont les professionnels des secteurs privé et public interagissent dans les lieux privés ou publics aux fins du renforcement de la sécurité, de l’obtention d’une analyse de l’audience, de la diffusion de publicités personnalisées, etc. La vidéosurveillance est devenue très performante grâce à la mise en œuvre croissante de l’analyse vidéo intelligente. Ces techniques peuvent être très intrusives (telles que les technologies biométriques complexes) ou peu intrusives (comme les algorithmes de comptage simples). En général, il est de plus en plus difficile de rester anonyme et de préserver sa vie privée. Diverses questions relatives à la protection des données peuvent être soulevées d’une situation à l’autre, tandis que les analyses juridiques différeront en fonction du type de technologie mis en place.

Outre les interrogations propres à la protection de la vie privée, il existe également des risques liés aux éventuels dysfonctionnements de ces dispositifs et aux biais qu’ils peuvent induire. Le milieu de la recherche rapporte que les logiciels utilisés pour l’identification, la reconnaissance ou l’analyse faciales donnent des résultats différents selon l’âge, le sexe et l’origine ethnique de la personne qu’ils identifient. Étant donné que l’efficacité des algorithmes pourrait varier en fonction du groupe démographique visé, les biais inhérents aux technologies de reconnaissance faciale risquent de renforcer les préjugés de la société. C’est pourquoi les responsables du traitement des données doivent également veiller à évaluer régulièrement la pertinence des données biométriques issues de la vidéosurveillance ainsi que le caractère suffisant des garanties fournies.

Il importe de ne pas recourir systématiquement à la vidéosurveillance lorsqu’il existe d’autres moyens d’atteindre la finalité poursuivie. Sinon, nous risquons de voir évoluer nos normes culturelles de telle sorte que nous serons amenés à accepter un niveau insuffisant de protection de la vie.

Les présentes lignes directrices visent à donner des indications sur la manière d’appliquer le RGPD dans le cadre du traitement des données à caractère personnel obtenues au moyen de dispositifs vidéo. Les exemples présentés ne sont pas exhaustifs, le raisonnement général pouvant être appliqué à tous les domaines d’utilisation potentiels.

Lien

Retour au sommaire

Groupe 29

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 - wp250rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation7. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel9, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 (11 avril 2018)

(Approuvées par le CEPD)

Les présentes lignes directrices du groupe de travail «Article 29» (G29) fournissent une orientation pratique ainsi qu’une aide à l’interprétation concernant la nouvelle obligation de transparence applicable au traitement des données à caractère personnel au titre du règlement général sur la protection des données (ci-après le «RGPD»). La transparence est une obligation globale au sens du RGPD qui s’applique à trois domaines centraux: 1) la communication aux personnes concernées d’informations relatives au traitement équitable de leurs données; 2) la façon dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits au titre du RGPD; et 3) la façon dont les responsables du traitement facilitent l’exercice par les personnes concernées de leurs droits. Dans la mesure où le respect de la transparence à l’égard du traitement des données est requis par la directive (UE) 2016/6803, ces lignes directrices s’appliquent également à l’interprétation de ce principe4. À l’instar de toutes les lignes directrices du G29, les présentes lignes directrices ont vocation à être généralement applicables et pertinentes pour les responsables du traitement, quelles que soient les caractéristiques sectorielles, d’entreprise ou réglementaires spécifiques à un responsable du traitement en particulier. À ce titre, ces lignes directrices ne peuvent pas prendre en compte les nuances et nombreuses variables pouvant apparaître dans le contexte des obligations de transparence d’un secteur, d’une entreprise ou d’un domaine réglementé spécifique. Néanmoins, elles visent, d’une part, à permettre aux responsables du traitement de comprendre, à un degré élevé, l’interprétation par le G29 de ce que les obligations de transparence impliquent dans la pratique et, d’autre part, à indiquer l'approche que les responsables du traitement devraient, selon le G29, adopter en matière de transparence tout en intégrant les notions d’équité et de responsabilité dans leurs mesures de transparence.

La transparence est une caractéristique bien ancrée dans le droit de l’Union européenne. Son objectif premier est de susciter la confiance dans les processus applicables aux citoyens en leur permettant de comprendre et, au besoin, de contester lesdits processus. C’est également une expression du principe d’équité à l’égard du traitement des données à caractère personnel énoncé à l’article 8 de la charte des droits fondamentaux de l’Union européenne. Conformément au RGPD [article 5, paragraphe 1, point a)], outre l’obligation de traiter les données de manière licite et loyale, la transparence constitue désormais un aspect fondamental des principes relatifs au traitement. La transparence est intrinsèquement liée à l’équité et au nouveau principe de responsabilité au titre du RGPD. Il ressort également de l’article 5, paragraphe 2, que le responsable du traitement doit toujours être en mesure de démontrer que les données à caractère personnel sont traitées de manière transparente au regard de la personne concernée. Parallèlement, le principe de responsabilité exige la transparence des opérations de traitement afin que les responsables du traitement puissent démontrer qu’ils satisfont aux obligations leur incombant en vertu du RGPD.

Lien

Retour au sommaire

Belgique

Autorité de protection des données 

Recommandation sur l'article 20 de la loi du 30 juillet 2018 - 02/2019 (18 octobre 2019)

L’Autorité, attire l'attention sur le fait que, conformément au principe de responsabilité (« accountability » - article 5.2 du RGPD), un responsable du traitement ne peut pas se déresponsabiliser, quel que soit le protocole conclu.

Lien

Recommandation relative aux techniques de nettoyage de données et de destruction de supports de données - 03/2020 (7 janvier 2021)

L’Autorité de protection des données (APD) remplit de nombreuses missions, dont celle d’éclairer les citoyens, entreprises et acteurs publics quant à certaines questions en lien avec la protection des données. Parmi ces questions, celles liées à une élimination ‘sécurisée’ de données ou de supports de données sont assurément récurrentes. Quelles que soient leurs motivations, les responsables du traitement souhaitent mener à bien cette opération mais manquent parfois d’une vision claire sur ce qui constitue un résultat satisfaisant (notamment sur le plan de la protection des données à caractère personnel) et sur la manière d’atteindre un tel résultat. La rareté, au niveau international, des documents de référence sur le sujet, voir leur absence au niveau européen et national, conjuguée avec la volonté de l’APD de fournir aux parties intéressées un guide utile sous forme de lignes directrices claires, à jour et complètes, sont à l’origine de la présente recommandation. Ce document présente les différentes techniques de « nettoyage » existantes (réécriture, effacement cryptographique, démagnétisation,…) pour différents types de supports (HD, SSD, papier,…) qui, soit rendent l’accès aux données impossible sur un support préservé (effacement sans possibilité de reconstitution et chiffrement), soit aboutissent à la destruction du support (sans possibilité de reconstruction). La recommandation aborde aussi ce traitement (nettoyage et destruction) d’une manière plus large en détaillant ses différents aspects, tant légaux (notamment liés au RGPD) que techniques ou organisationnels et examine le traitement dès avant l’achat des supports jusqu’aux étapes de vérification et d’enregistrement des résultats. Enfin, un tableau récapitulatif présente au lecteur, en fonction du type de support, les techniques de nettoyage et destruction recommandées permettant d’atteindre le niveau de confidentialité désiré. Si les principes et concepts évoqués dans ce document sont par nature relativement pérennes, il est certains outils, méthodes ou exemples présentés qui, au vu de l’évolution des connaissances et des techniques dans le domaine, pourraient devoir être actualisés plus rapidement. Les paragraphes ou parties de texte potentiellement concernés sont précédés des caractères ‘\\’ (double barres obliques inversées).

Lien

Retour au sommaire

France

La Cnil

Guide pratique sur les durées de conservation (Juillet 2020)

La collecte et l’utilisation de ces données personnelles (traitement de données à caractère personnel) doivent s’opérer dans le respect des principes énoncés par le règlement général sur la protection des données (RGPD). Parmi ces principes, figure celui de la limitation de la durée de conservation. Ce principe impose à l’organisme de mettre en place différentes mesures pour organiser la gestion du cycle de vie des données personnelles traitées, et les durées de conservation associées.

Lien

Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des activités commerciales (février 2022)

Les traitements réalisés dans le cadre de la gestion des activités commerciales, qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service, conduisent à collecter des données relatives à des personnes physiques (clients, prospects). À ce titre, ils sont soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), de la loi du 6 janvier 1978 modifiée, ainsi qu’aux dispositions spécifiques relatives à la protection de la vie privée dans le secteur des communications électroniques (« ePrivacy »).

Les organismes concernés, en tant que responsables de traitement, doivent mettre en place toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données à caractère personnel dès la conception des traitements et tout au long de la vie de ceuxci. Ils doivent, en outre, être en mesure de démontrer cette conformité à tout instant. Ces traitements doivent faire l’objet d’une inscription au registre de traitements, conformément aux dispositions de l’article 30 du RGPD (voir les modèles de registre sur le site cnil.fr).

L’application de ce référentiel, qui n’a pas de caractère contraignant, permet d’assurer la conformité des traitements de gestion des activités commerciales aux règles de protection des données à caractère personnel. Les organismes peuvent choisir de s’écarter du référentiel au regard des conditions particulières tenant à leur situation, en s’assurant de prendre toutes les mesures appropriées à même de garantir leur conformité au RGPD.

Ce référentiel sera régulièrement mis à jour par la CNIL afin de garantir sa compatibilité avec les dernières évolutions législatives et technologiques.

Lien

Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des impayés dans une transaction commerciale (février 2022)

Les traitements mis en œuvre aux fins de gestion des impayés, qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service, conduisent à collecter des données relatives à des personnes physiques clientes de l’organisme. À ce titre, ils sont soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») et de la loi du 6 janvier 1978 modifiée.

Les organismes concernés, en tant que responsables de traitement, doivent mettre en place toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données à caractère personnel dès la conception des traitements et tout au long de la vie de ceux-ci. Ils doivent, en outre, être en mesure de démontrer cette conformité à tout instant. Ces traitements doivent faire l’objet d’une inscription au registre des traitements, conformément aux dispositions de l’article 30 du RGPD (voir les modèles de registre sur le site cnil.fr). Le référentiel n’aborde pas les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent par ailleurs trouver à s’appliquer.

L’application de ce référentiel, qui n’a pas de caractère contraignant, permet d’assurer la conformité des traitements de gestion des impayés au regard des principes relatifs à la protection des données. Les organismes peuvent choisir de s’écarter du référentiel au regard des conditions particulières tenant à leur situation, en s’assurant de prendre toutes les mesures appropriées à même de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.

Les organismes doivent, conformément au RGPD, évaluer si leur traitement est susceptible d'entraîner un risque élevé tel qu'interprété par le Comité européen de la protection des données dans ses « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé », afin de déterminer s’ils doivent effectuer une analyse d’impact ou non.

Ce référentiel sera régulièrement mis à jour par la CNIL afin de garantir sa compatibilité avec les dernières évolutions législatives et technologiques.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-465/00 ; C-138/01 ; C-139/01 (20 mai 2003) - Österreichischer Rundfunk e.a.

1. Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ne s'opposent pas à une réglementation nationale, telle que celle en cause dans les affaires au principal, à la condition qu'il soit établi que la large divulgation non seulement du montant des revenus annuels, lorsque ceux-ci excèdent un certain plafond, des personnes employées par les entités soumises au contrôle du Rechnungshof, mais également des noms des bénéficiaires de ces revenus, est nécessaire et appropriée à l'objectif de bonne gestion des ressources publiques poursuivi par le constituant, ce qu'il incombe aux juridictions de renvoi de vérifier.

2. Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46 sont directement applicables, en ce sens qu'ils peuvent être invoqués par un particulier devant les juridictions nationales pour écarter l'application des règles de droit interne contraires à ces dispositions. 

Conclusions de l'Avocat général

Arrêt rendu

C-342/12 (30 mai 2013) - Worten

1.      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.

2.      Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.

Arrêt rendu

C-683/13 (19 juin 2014) - Pharmacontinente - Saúde e Higiene e.a.

1.      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.

2.      Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail.

3.      Il incombe à la juridiction de renvoi d’examiner si l’obligation, pour l’employeur, de fournir à l’autorité nationale compétente en matière de surveillance des conditions de travail un accès au registre du temps de travail de façon à en permettre la consultation immédiate peut être considérée comme nécessaire aux fins de l’exercice par cette autorité de sa mission de surveillance, en contribuant à une application plus efficace de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail, et, dans l’affirmative, si les sanctions infligées en vue d’assurer l’application effective des exigences posées par la directive 2003/88/CE du Parlement européen et du Conseil, du 4 novembre 2003, concernant certains aspects de l’aménagement du temps de travail, respectent le principe de proportionnalité.

Arrêt rendu

C-398/15 (9 mars 2017) - Manni

L’article 6, paragraphe 1, sous e), l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus en combinaison avec l’article 3 de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers, telle que modifiée par la directive 2003/58/CE du Parlement européen et du Conseil, du 15 juillet 2003, doivent être interprétés en ce sens que, en l’état actuel du droit de l’Union, il appartient aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, peuvent demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données.

Conclusions de l'Avocat général 

Arrêt rendu

C-496/17 (16 janvier 2019) - Deutsche Post

L’article 24, paragraphe 1, second alinéa, du règlement d’exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d’application de certaines dispositions du règlement (UE) no 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union, lu à la lumière de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’opérateur économique agréé qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.

Conclusions de l'Avocat général

Arrêt rendu

C-708/18 (11 décembre 2019) - Asociaţia de Proprietari bloc M5A-ScaraA

L’article 6, paragraphe 1, sous c), et l’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’ils ne s’opposent pas à des dispositions nationales qui autorisent la mise en place d’un système de vidéosurveillance, tel que le système en cause au principal installé dans les parties communes d’un immeuble à usage d’habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées audit article 7, sous f), ce qu’il incombe à la juridiction de renvoi de vérifier.

Arrêt rendu

C-175/20 (24 février 2022) - « SS » SIA c. Valsts ieņēmumu dienests

 

 

1. Les dispositions du RGPD, doivent être interprétées en ce sens qu’est soumise aux exigences de ce règlement, en particulier à celles énoncées à l’article 5, paragraphe 1, de celui-ci, la collecte, par l’administration fiscale d’un État membre auprès d’un opérateur économique, d’informations impliquant une quantité importante de données à caractère personnel.

 

 

2. Les dispositions du RGPD doivent être interprétées en ce sens que l’administration fiscale d’un État membre ne peut déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement lorsqu’un tel droit ne lui a pas été octroyé par une mesure législative, au sens de l’article 23, paragraphe 1, de celui-ci.

 

 

3. Les dispositions du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État membre impose à un prestataire de services d’annonces publiées sur Internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n’excède pas la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.

Conclusions de l'Avocat général

Arrêt rendu

C-129/21, (27 octobre 2022) Proximus (Annuaires électroniques publics)

2)      L’article 17 du règlement 2016/679

doit être interprété en ce sens que :

la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires ainsi que des services de renseignements téléphoniques accessibles au public constitue un recours au « droit à l’effacement », au sens de cet article.

3)      L’article 5, paragraphe 2, et l’article 24 du règlement 2016/679

doivent être interprétés en ce sens que :

une autorité de contrôle nationale peut exiger que le fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d’annuaires et de services de renseignements téléphoniques accessibles au public auxquels il a fourni de telles données, du retrait du consentement de cet abonné.

4)      L’article 17, paragraphe 2, du règlement 2016/679

doit être interprété en ce sens que :

il ne s’oppose pas à ce qu’une autorité de contrôle nationale ordonne à un fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, auquel l’abonné d’un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d’informer les fournisseurs de moteurs de recherche de cette demande d’effacement des données.

Arret de la cour

Conclusions de l'avocat général

C-77/21, (20 octobre 2022), Digi

1)

L’article 5, paragraphe 1, sous b), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le principe de la « limitation des finalités », prévu à cette disposition, ne s’oppose pas à l’enregistrement et à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées dans une autre base de données, lorsqu’un tel traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données à caractère personnel ont été initialement collectées, ce qu’il convient de déterminer au regard des critères visés à l’article 6, paragraphe 4, de ce règlement.

 

2)

L’article 5, paragraphe 1, sous e), du règlement 2016/679

doit être interprété en ce sens que :

le principe de la « limitation de la conservation », prévu à cette disposition, s’oppose à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs.

Arrêt de la cour

Conclusions de l'avocat général

C-268/21 (2 mars 2023) - Norra Stockholm Bygg

1)      L’article 6, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

cette disposition s’applique, dans le cadre d’une procédure juridictionnelle civile, à la production en tant qu’élément de preuve d’un registre du personnel contenant des données à caractère personnel de tiers collectées principalement aux fins de contrôle fiscal.

2)      Les articles 5 et 6 du règlement 2016/679

doivent être interprétés en ce sens que :

lors de l’appréciation du point de savoir si la production d’un document contenant des données à caractère personnel doit être ordonnée, la juridiction nationale est tenue de prendre en compte les intérêts des personnes concernées et de les pondérer en fonction des circonstances de chaque espèce, du type de procédure en cause et en tenant dûment compte des exigences résultant du principe de proportionnalité ainsi que, en particulier, de celles résultant du principe de la minimisation des données visé à l’article 5, paragraphe 1, sous c), de ce règlement.

Arrêt de la cour

Conclusions de l'avocat général

C‑26/22 et C‑64/22, UF (C‑26/22), AB (C‑64/22) contre Land Hessen (7 décembre 2023)

1)      L’article 78, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier.

2)      L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement,

doit être interprété en ce sens que :

il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public.

3)      L’article 17, paragraphe 1, sous c), du règlement 2016/679

doit être interprété en ce sens que :

la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsqu’elle s’oppose au traitement conformément à l’article 21, paragraphe 1, de ce règlement et qu’il n’existe pas de motifs légitimes impérieux de nature à justifier, à titre exceptionnel, le traitement en cause.

4)      L’article 17, paragraphe 1, sous d), du règlement 2016/679

doit être interprété en ce sens que :

le responsable du traitement est tenu d’effacer, dans les meilleurs délais, les données à caractère personnel ayant fait l’objet d’un traitement illicite.

Arrêt rendu

Conclusions de l'avocat général

C‑231/22, État belge contre Autorité de protection des données (11 janvier 2024​)

1)      L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le service ou l’organisme chargé du Journal officiel d’un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d’une autorité judiciaire qui les lui adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel.

2)      L’article 5, paragraphe 2, du règlement 2016/679, lu en combinaison avec l’article 4, point 7, et l’article 26, paragraphe 1, de celui-ci,

doit être interprété en ce sens que :

le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », au sens de l’article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l’article 5, paragraphe 1, de celui‑ci en ce qui concerne les opérations de traitement des données à caractère personnel qu’il est tenu d’effectuer en vertu du droit national, à moins qu’une responsabilité conjointe avec d’autres entités au regard de ces opérations ne découle de ce droit.

Conclusions de l'avocat général

Arrêt Rendu

Retour au sommaire

Belgique

Jurisprudence belge

Cass. Be., D060003N (8 décembre 2006)

Les dispositions de l'article 5 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui autorisent le traitement de données personnelles dans certaines limites, ne constituent pas une exception aux conditions générales de leur légalité contenues à l'article 4 de la même loi, spécialement le respect des finalités du traitement et de la proportionnalité dans ce traitement; cela vaut aussi pour le traitement de données à caractère personnel dans le cadre d'affaires disciplinaires par une autorité disciplinaire, tel que le conseil de l'Ordre des architectes

Arrêt rendu (en néerlandais)

C. const. Be., n°1/2011 (13 janvier 2011)

Compte tenu de l’importance de l’objectif de protection de la sécurité et de l’intégrité physique et psychique des mineurs qu’il poursuivait, le législateur a pu considérer qu’il s’imposait d’assurer l’information complète des responsables d’institutions ou d’activités dans le secteur de la jeunesse quant aux personnes à qui ils confient des responsabilités à l’égard de mineurs ou qu’ils mettent en contact régulier avec des mineurs. A cet égard, la possibilité qu’a le juge de prononcer une interdiction professionnelle lorsque l’inculpé est reconnu coupable d’une des infractions énumérées à l’article 382bis du Code pénal lui permet d’interdire l’accès à certaines professions, de manière générale. Par contre, l’objectif d’écarter le risque de récidive peut justifier que les responsables des institutions ou organisations à qui sont confiés des mineurs puissent juger, de façon spécifique, en tenant compte des caractéristiques de l’institution et de l’emploi ou de la fonction envisagés, s’il est opportun de confier une responsabilité dans leur institution à la personne intéressée, compte tenu des faits répréhensibles dont cette personne se serait, par le passé, rendue coupable.

Arrêt rendu

CE Be., n°242.251 (5 septembre 2018)

Les finalités poursuivies par le régime juridique critiqué sont définies dans l'article 8 précité de l'ordonnance du 14 mai 1998 comme "l'exercice de la tutelle administrative" et "l'établissement de statistiques au niveau régional".
La première de ces finalités demeure d'actualité même si certaines décisions des autorités communales, antérieurement soumises à l'approbation du gouvernement, relèvent désormais de la tutelle générale d'annulation sans transmission systématique.

Les dispositions attaquées de l'arrêté du Gouvernement du 23 décembre 2016 fixent l'objet exact des informations à transmettre en ce qui concerne les membres du personnel communal et les modalités de cette transmission.

Arrêt rendu

C. const. Be., n°118/2020 (24 septembre 2020)

1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.

Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.

2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.

Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.

Arrêt rendu

C. const. Be., n°162/2020 (17 décembre 2020)

1. L’article 24ter, § 4, alinéa 3, de l’ordonnance du 19 juillet 2001, et l’article 18ter, § 4, alinéa 3, de l’ordonnance du 1er avril 2004, en ce qu’ils permettent au gestionnaire du réseau de distribution de traiter les informations issues des compteurs intelligents uniquement pour réaliser ses « missions légales ou réglementaires », n’autorisent pas le gestionnaire du réseau de distribution de traiter des données personnelles en dehors des hypothèses limitatives de l’article 6 du RGPD. En effet, en vertu de l’article 6, paragraphe 1, c), du RGPD, le traitement des données personnelles est licite s’il est nécessaire au respect d’une « obligation légale ». Ce renvoi « au respect d’une obligation légale » ne signifie pas que cette obligation doit nécessairement s’inscrire dans une « loi » au sens formel du terme, étant donné que le renvoi se situe dans une norme européenne. Ainsi, le renvoi à une « obligation légale » se borne à faire référence à toute obligation découlant d’une norme de l’ordre juridique de l’Union ou de l’État membre, comme le confirme l’article 6, paragraphe 3, du RGPD qui dispose que « le fondement du traitement visé au paragraphe 1, points c) et e), est défini par : a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis ».

Le fait que le gestionnaire de réseau peut, conformément à l’article 24ter, § 4, alinéa 3, et à l’article 18ter, § 4, alinéa 3, précités, traiter des données personnelles pour réaliser ses missions légales ou réglementaires n’entraîne aucune violation de l’article 6, paragraphe 1, c), du RGPD.

2. En permettant au gestionnaire du réseau de distribution de conserver des données personnelles issues des compteurs d’électricité intelligents au-delà d’une durée de cinq ans pour autant que cela soit nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, mais avec un délai maximal de dix ans, l’article 24ter, § 4, alinéa 5, de l’ordonnance du 19 juillet 2001 s’inscrit dans le droit fil tant de l’article 5, paragraphe 1, e), que de l’article 17, paragraphe 1, a), du RGPD.

En effet, la durée de conservation des données personnelles est strictement limitée au temps nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ce qui correspond à l’exigence de l’article 5, paragraphe 1, e), du RGPD. Au-delà de ce délai, le gestionnaire de réseau ne peut plus conserver ces données, et la personne concernée peut obtenir l’effacement des données à caractère personnel la concernant, conformément à l’article 17, paragraphe 1, a), du même règlement. En outre, la disposition attaquée prévoit un délai maximal absolu de dix ans.

Ainsi, dès lors que la durée de conservation des données personnelles est strictement limitée au temps nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, le droit à l’effacement ne peut pas s’exercer pendant ce délai strictement limité à la réalisation de ces finalités, sans que cela ne constitue une violation de l’article 5, paragraphe 1, e), ni de l’article 17, paragraphe 1, du RGPD.

3. la notion de « société exploitante » employée dans l’article 24ter, § 4, alinéa 1er, de l’ordonnance du 19 juillet 2001 et dans l’article 18ter, § 4, alinéa 1er, de l’ordonnance du 1er avril 2004 n’est ni vague, ni incompatible avec le RGPD.

Il est clair que la notion de « société exploitante » employée par les dispositions attaquées vise celle qui, le cas échéant, se voit confier une ou plusieurs activités relatives au traitement des données à caractère personnel fournies par les compteurs intelligents, conformément à l’article 9 de l’ordonnance du 19 juillet 2001 ou à l’article 7 de l’ordonnance du 1er avril 2004. Tant le gestionnaire du réseau de distribution que ces éventuelles sociétés exploitantes, qu’elles agissent en qualité de « sous-traitant » ou de « responsable conjoint », ne pourront traiter les données personnelles issues des compteurs intelligents que pour réaliser les missions légales ou réglementaires du gestionnaire du réseau de distribution, dans le respect des garanties établies par les articles 24ter, § 4, et 18ter, § 4, précités.

Arrêt rendu

C. const. Be., n°23/2021 (25 février 2021)

1. Les articles 30bis et 51/3 de la loi du 15 décembre 1980 déterminent les personnes concernées par le traitement litigieux et les circonstances dans lesquelles celui-ci peut avoir lieu. Ils habilitent par ailleurs le Roi à fixer le délai de conservation des données biométriques et prévoient le contrôle de l’Autorité de protection des données.

Il s’ensuit que les dispositions attaquées ne méconnaissent pas l’essence du droit à la protection des données et qu’elles sont assorties de mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts des étrangers concernés, au sens de l’article 9, paragraphe 2, point g), du RGPD. Pour le surplus, c’est aux autorités compétentes, en leur qualité de responsable de traitement, qu’il appartient de veiller au respect des principes énoncés à l’article 5, paragraphe 1, du RGPD, dont les parties requérantes n’établissent pas qu’il serait violé par les dispositions attaquées.

2. La faculté, pour les instances chargées de l’examen de la demande de protection internationale, d’inviter le demandeur à produire certains éléments, prévue à l’article 48/6, § 1er, alinéa 4, de la loi du 15 décembre 1980, vise à permettre à ces instances de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée.

La licéité du traitement des données visées par l’article 48/6, § 1er, alinéa 4, précité, ne repose pas sur le seul consentement des personnes concernées, mais également sur la nécessité du traitement en vue de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens de l’article 6, paragraphe 1, point e), du RGPD, mission qui correspond à des motifs d’intérêt public important en ce qui concerne les données à caractère personnel sensibles, au sens de l’article 9, paragraphe 2, point g), du RGPD.

La disposition attaquée vise à permettre aux instances chargées de l’examen de la demande de protection internationale de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée. Cet objectif est légitime.

3. L’exigence selon laquelle les instances chargées de l’examen de la demande de protection internationale doivent avoir de bonnes raisons de penser que le demandeur retient des informations, pièces, documents ou autres éléments essentiels à une évaluation correcte de la demande pour l’inviter à produire ces éléments est de nature à baliser le pouvoir d’appréciation de ces instances.

L’ingérence dans le droit du demandeur au respect de la vie privée et à la protection des données à caractère personnel n’entraîne donc pas des effets disproportionnés eu égard à l’objectif poursuivi.

Arrêt rendu

Cass. Be., RG C.20.0323.N, (7 octobre 2021)

La Cour de cassation a reconnu qu’une personne concernée a le droit au traitement minimal de ses données en vue d’obtenir un service, et que celle-ci peut porter plainte si un service lui a été refusé car elle n’a pas consenti à un traitement qu’elle estime litigieux, et ce même si ses données n’ont pas été effectivement traitées.

Arrêt rendu (néerl)

C. const. Be., n°36/2021 (4 mars 2021)

En cause : le recours en annulation partielle de la loi du 7 mai 2019 « modifiant la loi du 7 mai 1999 sur les jeux de hasard, les paris, les établissements de jeux de hasard et la protection des joueurs, et insérant l’article 37/1 dans la loi du 19 avril 2002 relative à la rationalisation du fonctionnement  et  de  la  gestion  de  la  Loterie  Nationale »,  introduit  par l’ASBL « UBA-BNGO » et autres.

1. La Commission des jeux de hasard qui, dans le cadre du contrôle visé par la loi attaquée, sélectionne et traite les antécédents, est tenue de respecter les dispositions du RGPD et de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » (ci-après : « la loi du 30 juillet 2018 »).

2. Par ailleurs, la loi du 30 juillet 2018 s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnelcontenues ou appelées à figurer dans un fichier (article 2,alinéa1er) et au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge (article 4, alinéa 1er).

3. Du fait de l’applicabilité directe du RGPD dans la législation interne et de l’existence de la loi du 30 juillet 2018, le texte même des dispositions attaquées ne doit plus mentionner explicitement les conditions et obligations requises.

4. L’enquête d’antécédents qui sert à contrôler qu’il est satisfait à la condition que le demandeur de licence soit d’une conduite qui répond aux exigences de la fonction poursuit un but légitime et n’entraîne pas une ingérence disproportionnée dans le droit au respect de la vie privée, tel qu’il est garanti par les dispositions nationales et internationales précitées.

Arrêt rendu

C. const. Be., n°158/2021 (18 novembre 2021)

1 - La Cour de justice […] exige seulement que « la base légale qui permet l'ingérence dans [le droit au respect de la vie privée] doit définir elle-même la portée de la limitation de l'exercice du droit concerné » (CJUE, 6 octobre 2020, C-623/17, Privacy international, point 65). Elle n'exige pas que tous les aspects de cette limitation soient réglés par une loi formelle.

Un contrôle de la disposition attaquée au regard de l'article 8 de la Convention européenne des droits de l'homme, des articles 7 et 8 de la Charte ou de l'article 5 du RGPD ne conduit dès lors pas à une autre conclusion, étant donné que ces dispositions ne permettent pas de déduire des exigences plus strictes en ce qui concerne le principe de la légalité formelle que celles qui découlent de l'article 22 de la Constitution.

La Cour constitutionnelle belge annule l'article 2 de la loi du 1er septembre 2016 « portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité », uniquement en ce qu'il ne détermine pas les données d'identification qui sont collectées et traitées et les documents d'identification qui entrent en considération;

2 - la Cour constitutionnelle belge maintient les effets de la disposition annulée jusqu'à l'entrée en vigueur d'une norme législative qui énumère ces données d'identification et ces documents d'identification et au plus tard jusqu'au 31 décembre 2022 inclus;

3 - En vertu de l’article 2, paragraphe 2, point a), du RGPD, ce règlement « ne s’applique pas au traitement de données à caractère personnel effectué dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ». En vertu de l’article 2, paragraphe 2, point d), du RGPD, il ne s’applique pas non plus au traitement des données à caractère personnel effectué par les autorités compétentes à des fins de protection et de prévention des menaces pour la sécurité publique.

Étant donné que la disposition attaquée n’est applicable que dans le cadre des missions des services de renseignement et de sécurité, elle ne relève pas du champ d’application du droit de l’Union européenne. Le moyen est dès lors irrecevable en ce qu’il est pris de la violation des dispositions invoquées de la Charte, du RGPD ou de la directive 2002/58/CE.

Arrêt rendu

C. const. Be., n°22/2022 (10 février 2022)

1. En cause : le recours en annulation de l’article 5 de la loi du 29 mars 2018 « modifiant les articles 2 et 9ter de la loi du 2 avril 1965 relative à la prise en charge des secours accordés par les centres publics d’action sociale », en tant qu’il remplace le paragraphe 5 de l’article 9ter de la loi du 2 avril 1965 précitée, introduit par l’ASBL « Medimmigrant » et autres. La disposition attaquée confie au médecin-contrôle de la Caisse auxiliaire d’assurance maladie-invalidité (ci-après : la CAAMI) la mission de contrôler a posteriori le caractère urgent des soins médicaux dispensés par les prestataires de soins dans le cadre de l’aide médicale urgente aux personnes en séjour illégal, et, le cas échéant, d’infliger une sanction financière aux prestataires qui auraient dispensé des soins non conformes aux critères fixés par la loi.

2. Le droit au respect de la vie privée des personnes physiques dans le cadre du traitement automatique des données à caractère personnel n’est pas absolu. L’article 23 du RGPD précise que les droits consacrés par ce règlement peuvent être limités moyennant le respect de l’essence de ceux-ci et que la limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment, des objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale (article 23, paragraphe 1, e)), de la prévention et de la détection de manquements à la déontologie des professions réglementées, ainsi que des enquêtes et des poursuites en la matière (article 23, paragraphe 1, g)) et d’une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique (article 23, paragraphe 1, h)). […]

3. Les contrôles prévus par la disposition attaquée peuvent déboucher sur des sanctions de nature civile, dans l’intérêt du financement de la sécurité sociale, destinées à mettre fin à une situation contraire à la loi. Il s’agit d’un objectif d’intérêt général. Ces contrôles sont effectués par le seul médecin-contrôle de la CAAMI, à l’exclusion de tout autre membre de l’administration. En tant que médecin, il est soumis au secret professionnel ainsi qu’aux règles déontologiques propres à sa profession. Pour le surplus, la disposition attaquée confie au Roi le soin de préciser les modalités des contrôles prévus par la disposition attaquée, ce qui ne Le dispense pas de respecter, à cette occasion, la réglementation relative à la protection des données à caractère personnel, sous le contrôle du juge compétent.

4. La Cour constitutionnelle belge conclut que le moyen pris en violation des articles 5 et 9 du RGPD est non fondé.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2019/AR/1600 (19 février 2020)

La Cour a annulé la décision de la DPA car elle était insuffisamment motivée et fondée sur une législation qui n'était pas applicable au moment de la plainte. La Cour n'avait pas le pouvoir d'ordonner à la DPA de rembourser l'amende, car cela ne relève pas de sa compétence, mais elle a annulé la décision infligeant l'amende.

La Cour a estimé que, premièrement, l'APD ne disposait d'aucune preuve pour étayer la conclusion selon laquelle le responsable du traitement traitait effectivement le numéro d'identification national de la personne concernée. 

Deuxièmement, le responsable du traitement n'était pas tenu de proposer à la personne concernée un autre moyen de créer une carte de réduction, car la disposition pertinente de la loi sur l'identité électronique n'était pas applicable à l'époque. 

Troisièmement, la Cour a constaté qu'aucun traitement de données à caractère personnel n'avait eu lieu car la plaignante avait refusé de faire scanner son e-ID. 

Quatrièmement, la Cour a estimé que la conclusion de l'APD selon laquelle la date de naissance de la personne concernée n'était pas utilisée pour vérifier son âge n'était qu'une simple supposition. 

Cinquièmement, l'APD n'aurait pas dû présumer que la personne concernée aurait subi un désavantage indéniable en ne bénéficiant pas des remises disponibles via la carte client.

Par conséquent, la Cour a accueilli l'appel contre et annulé la décision de la DPA.

Arrêt rendu (néerlandais)

Bruxelles – Section Cour des marchés n° 2020/AR/1333 (27 janvier 2021)

La Cour d'appel a annulé la décision de la DPA pour défaut de justification comme l'exige l'article 83 du RGPD et défaut de proportionnalité. La décision a été renvoyée à l'autorité qui est en outre tenue de rembourser les frais de justice de 1 400 €, la Cour ne pouvant elle-même réformer ou amender la décision.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2021/AR/320 (07 juillet 2021)

La Cour d'appel de Bruxelles déclare le recours recevable mais non fondé.

Les principales conclusions de la décision de la Cour d'appel de Bruxelles sont les suivantes :

  • L'appel contre une décision de la chambre contentieuse n'est pas une seconde chance pour la partie contre laquelle la plainte est dirigée. Il est important de noter qu'il ne s'agit pas d'un appel ordinaire et donc pas d'une seconde chance telle que nous la connaissons devant les tribunaux ordinaires. Le recours devant la cour d'appel contre les décisions de la chambre contentieuse est un recours administratif, assimilable aux compétences du Conseil d'Etat. La Cour ne devrait pas intervenir dans l'appréciation de l'administration. Cela violerait la séparation des pouvoirs entre l'administration et les tribunaux.
  • L'ordre juridique belge n'attribue aucune valeur de précédent contraignant, que ce soit aux décisions administratives ou judiciaires. Toute décision d'une administration est spécifique et ne s'étend pas à un cas autre que celui en cause. Le tribunal s'appuie toujours sur des faits concrets de l'affaire soumise.
  • Le Tribunal, exerçant ses attributions de plein droit, procède à un contrôle de légalité et de proportionnalité de l'amende administrative et ne réduira ou n'annulera l'amende qu'en cas de circonstances atténuantes graves et avérées (cf. article 82, alinéa 2 RGPD) qui n'ont pas ou non suffisamment été pris en compte par la chambre contentieuse.

DPA belge et publication sur les réseaux sociaux :

Bien qu'en substance la chambre contentieuse décide dans chacune de ses affaires de pseudonymiser ou non la décision, le citoyen ou la personne morale concernée ne doit pas être exposé à l'arbitraire à cet égard.

Il semble souhaitable que la SA ait une politique cohérente de pseudonymisation des décisions en vue de leur publication. Le risque d'atteinte à la réputation, d'atteinte à la concurrence et leur éventuelle ampleur sont des éléments que la chambre contentieuse doit prendre en compte lorsqu'elle envisage d'omettre ou non certains identifiants. Cependant, la Cour d'appel elle-même n'a pas compétence pour ordonner à la GBA ou à ses employés de retirer des communiqués de presse ou des publications sur les réseaux sociaux.

.Arrêt rendu (néerlandais)

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°02-40.498 (2 avril 2004)

Il résulte de la combinaison des articles L. 412-17, L. 424-3, L. 481-2 et L. 482-1 du Code du travail, 6 de la délibération n° 94-113 du 20 décembre 1994 de la CNIL, 6, 17 et 21 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, que, pour l'accomplissement de leur mission légale et la préservation de la confidentialité qui s'y attache, les salariés investis d'un mandat électif ou syndical dans l'entreprise doivent pouvoir y disposer d'un matériel ou procédé excluant l'interception de leurs communications téléphoniques et l'identification de leurs correspondants.

Encourt dès lors la cassation l'arrêt qui décide que l'employeur n'est pas tenu de mettre à la disposition de l'un de ses salariés, délégué syndical et délégué du personnel dont le poste était desservi par l'autocommutateur de l'entreprise, un tel matériel ou procédé.

Arrêt rendu

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

CE Fr., n°309547 (7 avril 2010)

1. Demande d'annulation d'une décision de la CNIL refusant d'autoriser un traitement de données à caractère personnel intitulé fichier des impayés locatifs ayant pour objet de recenser les locataires d'immeubles à usage d'habitation n'étant pas à jour de leurs paiements, afin d'aider les professionnels de l'immobilier et les propriétaires institutionnels dans le choix de leurs locataires.

2. Il ressort des pièces du dossier que ce fichier ne comporte aucune précision sur les causes des impayés ni de garanties suffisantes que les données traitées ne seront pas accessibles aux propriétaires privés.

3. Ainsi la CNIL, en estimant que ces circonstances étaient de nature, compte tenu des effets d'une inscription dans ce fichier pour les candidats à un contrat de bail, à faire obstacle à la mise en œuvre de ce traitement, n'a pas fait une application inexacte des dispositions des articles 1er et 6 de la loi n° 78-17 du 6 janvier 1978.

Arrêt rendu

Cass. Fr., n°10-20.845 (4 avril 2012)

1. Pour l'accomplissement de leur mission légale et la préservation de la confidentialité qui s'y attache, les salariés protégés, au nombre desquels se trouvent les membres du conseil et les administrateurs des caisses de sécurité sociale, doivent pouvoir disposer sur leur lieu de travail d'un matériel ou procédé excluant l'interception de leurs communications téléphoniques et l'identification de leurs correspondants.

2. Viole dès lors l'article L. 2411-1 13° du code du travail, ensemble les articles 6, 17 et 21 de la loi n° 78-17 du 6 janvier 1978 et 7 de la délibération n° 2005-019 du 3 février 2005 de la CNIL, la cour d'appel qui, pour débouter un salarié, administrateur de l'URSSAF, de sa demande de résiliation judiciaire de son contrat de travail, retient que l'employeur s'était contenté d'examiner les relevés des communications téléphoniques du téléphone mobile mis à disposition du salarié par l'entreprise, alors qu'il résultait de ses constatations que l'examen par l'employeur des relevés litigieux permettait l'identification des correspondants du salarié.

Arrêt rendu

Cass. Fr., n°12-81.533 (19 mars 2013)

1. Justifie sa décision la cour d'appel qui, saisie de la poursuite exercée pour refus de se soumettre à un prélèvement biologique contre une personne antérieurement condamnée du chef de destruction aggravée de biens destinés à l'utilité publique, rejette l'exception d'illégalité par elle présentée et visant l'article R. 53-10, II, du code de procédure pénale, dès lors, d'une part, qu'il résulte des dispositions de l'article 706-54, alinéa 1er, du code de procédure pénale que le fichier national automatisé des empreintes génétiques centralise les traces et empreintes génétiques de l'ensemble des personnes déclarées coupables des infractions mentionnées à l'article 706-55 dudit code, parmi lesquelles figurent les délits de destruction de biens destinés à l'utilité publique, et que, d'autre part, la décision que doit prendre le ministère public en application de l'article R. 53-10, II, du code de procédure pénale, de faire procéder à l'enregistrement, au même fichier, des résultats des analyses d'identification par empreintes génétiques des échantillons biologiques prélevés sur des personnes définitivement condamnées à raison des infractions susvisées, n'excède pas les limites de la délégation confiée au pouvoir réglementaire par le dernier alinéa dudit article 706-54.

2. Le prévenu ne saurait faire grief aux juges du fond l'ayant condamné pour refus de se soumettre à un prélèvement biologique d'avoir écarté son argumentation prise de la méconnaissance des prescriptions de l'article 6, 3°, de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui exigent que les données recueillies pour les fichiers soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs, dès lors que le fichier national automatisé des empreintes génétiques, qui a été institué par la loi et dont le fonctionnement a été fixé par le décret n° 2000-413 du 18 mai 2000 pris après avis de la CNIL, est régi par les dispositions de l'article 26 de la même loi.

3. Ne méconnaît pas les dispositions des articles 8 et 14 de la Convention européenne des droits de l'homme la cour d'appel qui déclare un prévenu coupable de refus de se soumettre à un prélèvement biologique, dès lors que s'il s'analyse en une ingérence dans l'exercice du droit au respect de la vie privée, l'enregistrement des empreintes génétiques constitue une mesure, non manifestement disproportionnée, qui, dans une société démocratique, est nécessaire notamment, à la sûreté publique et à la prévention des infractions pénales et qui s'applique, sans discrimination, à toutes les personnes condamnées pour les infractions mentionnées à l'article 706-55 du code de procédure pénale.

Arrêt rendu

CE Fr., n°354629 (12 mars 2014)

1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.

2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.

3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.

Arrêt rendu

CE Fr., n°361042 (28 mars 2014)

L'administration ne fait état d'aucune nécessité ou utilité quant au recueil des informations relatives au sexe et à la nationalité des conjoints ou partenaires des agents publics. En l'absence de toute justification sur ce point, la collecte de ces informations ne peut, en l'espèce, qu'être regardée comme excessive au regard des dispositions du 3° de l'article 6 de la loi n° 78-17 du 6 janvier 1978.

Arrêt rendu

CE Fr., n°369808 (21 septembre 2015)

1. Les conclusions d'un document administratif sont opposées à une personne, au sens de l'article 3 de la loi n° 78-753 du 17 juillet 1978, lorsqu'une décision la visant est prise ou envisagée sur la base des informations qu'elles contiennent.

2. L'article 3 de la loi du n° 78-753 du 17 juillet 1978 (accès d'une personne aux documents dont les conclusions lui sont opposées) n'a ni pour objet, ni pour effet de déroger à l'article 6 de cette loi. Par suite, les restrictions et exceptions à la communication de documents administratifs prévues par l'article 6 peuvent être opposées à une demande formulée sur le fondement de l'article 3.

3. Des témoignages ou procès-verbaux d'audition peuvent, compte tenu du contexte juridique ou factuel dans lequel ils sont établis, faire apparaître le comportement des personnes qui portent ces témoignages ou sont entendues. Ces personnes ont la qualité d'intéressés au sens du II de l'article 6 de la loi n° 78-753 du 17 juillet 1978, et les documents ne sont communicables qu'à elles, lorsque la communication de ces documents à des tiers serait de nature à leur porter préjudice.

Arrêt rendu

CE Fr., n°384673 (9 novembre 2015)

Une société qui a constitué un traitement à partir de données recueillies sur un site internet concurrent et malgré l'opposition des personnes concernées à l'utilisation de leurs données à des fins de prospection commerciale ne saurait être regardée comme ayant respecté les principes énoncés au 1° de l'article 6 de la loi n° 78-17 du 6 janvier 1978, qui imposent à l'auteur d'un traitement de collecter de manière loyale les données à caractère personnel sur lesquelles porte le traitement.

Arrêt rendu

CE Fr., n°372111 (18 novembre 2015)

1. Il résulte des dispositions de l'article 2 de la loi n°78-17 du 6 janvier 1978, dans sa rédaction issue de la loi n° 2004-801 du 6 août 2004, que cette loi s'applique y compris aux traitements non automatisés de données à caractère personnel, entendus comme toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

2. Par suite, la collecte, la conservation et la consultation des empreintes digitales effectuées sur le fondement de l'article 5 du décret n°55-1397 du 22 octobre 1955 instituant la carte nationale d'identité, sous la responsabilité du ministre de l'intérieur, entrent dans le champ d'application de la loi du 6 janvier 1978, nonobstant la circonstance que ces fichiers ne sont pas numérisés et qu'ils ne sont constitués et conservés qu'au seul niveau des préfectures, pour l'arrondissement du chef-lieu d'un département, ou des sous-préfectures, et des consulats.

3. Faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.

Arrêt rendu

CE Fr., n°381254 (18 décembre 2015)

Pour déterminer si des traitements doivent être soustraits du régime de la décision unique prévu par le II de l'article 25 de la loi n° 78-17 du 6 janvier 1978, il appartient à la CNIL d'apprécier la proportionnalité des données collectées à la finalité poursuivie par ces traitements et de rechercher si la mise en œuvre des traitements doit faire l'objet d'une autorisation spécifique, eu égard à la nature des données collectées, lui permettant d'exercer, au cas par cas, le contrôle prévu par l'article 6 de la loi.

Arrêt rendu

CE Fr., n°372230 (30 décembre 2015)

1. Il résulte de l'article 37 de la loi n°78-17 du 6 janvier 1978 que les dispositions de cette loi ne font, en principe, pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n°78-753 du 17 juillet 1978. Lorsque des données à caractère personnel ont également le caractère de documents administratifs, elles ne sont communicables aux tiers, en vertu du III de l'article 6 de la loi du 17 juillet 1978, que s'il est possible d'occulter ou de disjoindre les mentions portant atteinte, notamment, à la protection de la vie privée ou au secret médical. Il ne peut être accédé à une demande de communication sur le fondement de la loi du 17 juillet 1978 que si le traitement nécessaire pour rendre impossible, s'agissant de données de santé, toute identification, directe ou indirecte, de l'une quelconque des personnes concernées, y compris par recoupement avec d'autres données, n'excède pas l'occultation ou la disjonction des mentions non communicables, seule envisagée par cette loi. Dans le cas contraire, sont seules applicables les dispositions de la loi du 6 janvier 1978 et des lois spéciales applicables au traitement de certaines catégories de données, notamment, en ce qui concerne les données de santé à caractère personnel, les chapitres IX et X de la loi du 6 janvier 1978.

2. Les documents sollicités étaient des études qui avaient été produites dans le cadre de l'information judiciaire ouverte contre la société requérante, mise en examen, et qui faisaient l'objet d'une expertise judiciaire en cours dans le cadre de cette information judiciaire. En outre, le contenu de ces documents constituait un élément essentiel de la caractérisation des éléments matériels de l'infraction pour laquelle elle était ainsi poursuivie. Leur communication était donc de nature à porter atteinte au déroulement d'une procédure juridictionnelle au sens du f) du 2° du I de l'article 6 de la loi n° 78-753 du 17 juillet 1978.

3. Lorsque le juge de cassation constate qu'un des motifs retenus par le tribunal administratif justifie nécessairement, à lui seul, le dispositif de rejet de son jugement, il regarde alors les autres motifs de ce jugement comme surabondants. Par suite, les moyens tirés de ce que ces motifs seraient entachés d'insuffisances de motivation et d'erreur de droit sont inopérants.

Arrêt rendu

CE Fr., n°389448 (28 septembre 2016)

1. Lorsque la CNIL prononce une sanction complémentaire de publication de sa décision de sanction, celle-là se trouve nécessairement soumise, et alors même que la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité. La légalité de cette sanction s'apprécie, notamment, au regard du support de diffusion retenu et, le cas échéant, de la durée pendant laquelle cette publication est accessible de façon libre et continue.

2. En l'espèce, la délibération infligeant une sanction complémentaire de publication, qui est justifiée dans son principe, prévoit que cette publication est effectuée sur le site internet de la CNIL et sur le site Légifrance sans préciser la durée de son maintien en ligne sur ces deux sites. La CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle. Dans ces conditions, la sanction complémentaire est, dans cette mesure, excessive. Annulation de cette sanction complémentaire en tant qu'elle n'a pas fixé la durée de son maintien en ligne de manière non anonyme.

Arrêt rendu

CE Fr., n°403776 (15 décembre 2017)

Il résulte des articles 6 de la loi n° 78-17 du 6 janvier 1978 et L. 1121-1 du code du travail que l'utilisation par un employeur d'un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l'article 6 de la loi du 6 janvier 1978.

Arrêt rendu

CE Fr., n°412589 (6 juin 2018)

1. L'utilisation de «cookies» répondant aux caractéristiques définies au II de l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l'article 6 de cette même loi.

2. Lorsque des «cookies» sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de cette dernière. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de «cookies» mis en place pour son compte.

3. a) Les autres tiers qui déposent des «cookies» à l'occasion de la visite du site d'un éditeur doivent être considérés comme responsables de traitement.

b)Toutefois, les éditeurs de site qui autorisent le dépôt et l'utilisation de tels « cookies » par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le «cookie», notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des «cookies» qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements.

4. Il résulte de l'article 45 de la loi n° 78-17 du 6 janvier 1978 que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée.

Il incombe en principe à la personne mise en demeure de porter à la connaissance de la CNIL tous les éléments lui permettant d'apprécier si et dans quelle mesure il a été donné suite à ses injonctions dans le délai prévu pour ce faire. S'il est toujours loisible à la CNIL de faire usage de ses pouvoirs d'instruction, elle n'est jamais tenue de procéder à un nouveau contrôle afin d'apprécier l'existence de manquements à la date d'expiration du délai fixé par la mise en demeure. Il s'ensuit qu'une procédure disciplinaire peut être légalement engagée au seul motif qu'à cette date, la personne mise en cause n'a transmis aucun élément suffisant permettant d'apprécier si et dans quelle mesure il a été remédié aux manquements constatés. Dans une telle hypothèse, si l'instruction contradictoire de la procédure disciplinaire fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer avec la CNIL qui est posée à l'article 21 de la loi du 6 janvier 1978.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 5

1. Les données à caractère personnel doivent être:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en oeuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Proposition 1 close

Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités

c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel;

d) exactes et tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu’à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées à l'article 83 et s’il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation

f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité de chaque opération de traitement avec les dispositions du présent règlement et en apporte la preuve.

 

Proposition 2 close

1. Les données à caractère personnel doivent être:

 a) traitées de manière licite, équitable et transparente au regard de la personne concernée;

 b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités; le traitement ultérieur des données à caractère personnel à des fins d'archivage dans l'intérêt public ou à des fins scientifiques, statistiques ou historiques n'est pas considéré, conformément à l'article 83, comme incompatible avec les finalités initiales;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées (…);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées (...); les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées à des fins d'archivage dans l'intérêt public ou à des fins scientifiques, statistiques ou historiques, conformément à l'article 83, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de protéger les droits et libertés de la personne concernée;

e bis) traitées de manière à garantir une sécurité appropriée des données à caractère personnel.

f) (...)

2. Le responsable du traitement est responsable du respect du paragraphe 1.

Directive close

Art. 6

1. Les États membres prévoient que les données à caractère personnel doivent être:

a) traitées loyalement et licitement;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;

d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1.

Aucune disposition spécifique

Ancienne loi close

Art. 4.

Les données à caractère personnel doivent être :

  1° traitées loyalement et licitement;

  2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée;

  3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;

  4° exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

  5° conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement. Le Roi prévoit, après avis de la Commission de la protection de la vie privée, des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

§ 2. Il incombe au responsable du traitement d'assurer le respect du § 1.

close