Article 6
Licéité du traitement

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 6 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 6 keyboard_arrow_up

(40) Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l'Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l'obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.

(41) Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l'ordre constitutionnel de l'État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l'Union européenne (ci-après dénommée "Cour de justice") et de la Cour européenne des droits de l'homme.

(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil1, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

(44) Le traitement devrait être considéré comme licite lorsqu'il est nécessaire dans le cadre d'un contrat ou de l'intention de conclure un contrat.

(45) Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir un fondement dans le droit de l'Union ou dans le droit d'un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique. Il devrait également appartenir au droit de l'Union ou au droit d'un État membre de déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la licéité du traitement des données à caractère personnel, établir les spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l'objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d'autres mesures visant à garantir un traitement licite et loyal. Il devrait, également, appartenir au droit de l'Union ou au droit d'un État membre de déterminer si le responsable du traitement exécutant une mission d'intérêt public ou relevant de l'exercice de l'autorité publique devrait être une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque l'intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la protection sociale et la gestion des services de soins de santé, de droit privé, telle qu'une association professionnelle.

(46) Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.

(47) Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection commerciale peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

(48) Les responsables du traitement qui font partie d'un groupe d'entreprises ou d’établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause.

(49) Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes d'intervention en cas d'incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par "déni de service" et des dommages touchant les systèmes de communications informatiques et électroniques.

Afficher les considérants de la Directive 95/46 liés à l'article 6 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 6 keyboard_arrow_up
  1. (30) considérant que, pour être licite, un traitement de données à caractère personnel doit en outre être fondé sur le consentement de la personne concernée ou être nécessaire à la conclusion ou à l'exécution d'un contrat liant la personne concernée, ou au respect d'une obligation légale, ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, ou encore à la réalisation d'un intérêt légitime d'une personne à condition que ne prévalent pas l'intérêt ou les droits et libertés de la personne concernée; que, en particulier, en vue d'assurer l'équilibre des intérêts en cause, tout en garantissant une concurrence effective, les États membres peuvent préciser les conditions dans lesquelles des données à caractère personnel peuvent être utilisées et communiquées à des tiers dans le cadre d'activités légitimes de gestion courante des entreprises et autres organismes; que, de même, ils peuvent préciser les conditions dans lesquelles la communication à des tiers de données à caractère personnel peut être effectuée à des fins de prospection commerciale, ou de prospection faite par une association à but caritatif ou par d'autres associations ou fondations, par exemple à caractère politique, dans le respect de dispositions visant à permettre aux personnes concernées de s'opposer sans devoir indiquer leurs motifs et sans frais au traitement des données les concernant;
  2. (31) considérant qu'un traitement de données à caractère personnel doit être également considéré comme licite lorsqu'il est effectué en vue de protéger un intérêt essentiel à la vie de la personne concernée;
  3. (32) considérant qu'il appartient aux législations nationales de déterminer si le responsable du traitement investi d'une mission d'intérêt public ou d'une mission relevant de l'exercice de l'autorité publique doit être une administration publique ou une autre personne soumise au droit public ou au droit privé, telle qu'une association professionnelle;
  4. (33) considérant que les données qui sont susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ne devraient pas faire l'objet d'un traitement, sauf consentement explicite de la personne concernée; que, cependant, des dérogations à cette interdiction doivent être expressément prévues pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est mis en oeuvre à certaines fins relatives à la santé par des personnes soumises à une obligation de secret professionnel ou pour la réalisation d'activités légitimes par certaines associations ou fondations dont l'objet est de permettre l'exercice de libertés fondamentales;
  5. (34) considérant que les États membres doivent également être autorisés à déroger à l'interdiction de traiter des catégories de données sensibles lorsqu'un motif d'intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance maladie - et tels que la recherche scientifique et les statistiques publiques; qu'il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes;
  6. 35) considérant, en outre, que le traitement de données à caractère personnel par des autorités publiques pour la réalisation de fins prévues par le droit constitutionnel ou le droit international public, au profit d'associations à caractère religieux officiellement reconnues, est mis en oeuvre pour un motif d'intérêt public important;
  7. (36) considérant que, si, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique suppose, dans certains États membres, que les partis politiques collectent des données relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé en raison de l'intérêt public important, à condition que des garanties appropriées soient prévues.

Le GDPR

Les différentes hypothèses de licéité des traitements prévues par la Directive sont reprises et parfois précisées par l’article 6 du Règlement ou certains de ses considérants.

Ainsi, le consentement doit porter sur une ou plusieurs finalités spécifiques, ce qui exclut toute finalité exprimée de manière générale. Il convient également de se rappeler que le consentement est défini à l’article 4.11. comme visant toute manifestation de volonté, libre, spécifique et informée.

Ces caractéristiques donnent lieu à des précisions et sont exemplifiées aux considérants 42 et suivants, ainsi qu’à l’article 7 du Règlement. Dans ces considérants, une attention particulière est portée sur le caractère libre du consentement qui devrait être exclu si la personne concernée ne dispose pas d'une véritable liberté de choix et n'est pas en mesure de refuser ou de se rétracter sans subir de préjudice. Il ne peut non plus constituer un fondement juridique valable lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement et que ce déséquilibre fait douter que le consentement ait été donné librement dans tous les cas de figure de cette situation particulière.

Le considérant 47 apporte des précisions concernant la prise en compte de l’intérêt légitime du responsable du traitement dans son opposition aux droits et libertés de la personne concernée. Un intérêt légitime pourrait notamment exister lorsqu'il y a un lien pertinent et approprié entre la personne concernée et le responsable du traitement, par exemple si la personne concernée est cliente de celui-ci ou si elle est à son service. En tout état de cause, la personne concernée doit pouvoir s'attendre, au moment et dans le cadre de la collecte des données, à ce que celles-ci fassent l'objet d'un traitement à cette fin.

À noter que la dernière version du Règlement exclut le critère des intérêts légitimes du responsable (art. 6, f)) pour les traitements effectués par les autorités publiques dans l'exécution de leurs missions, imposant un retour à une stricte légalité du traitement en cause.

Toujours d’après le considérant 47, la personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et ce, gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement.

Le Règlement apporte aussi une précision importante concernant les traitements qui trouvent leur justification dans une loi qui impose leur poursuite dans les cas visés à l’article 6, paragraphe 1er, point c) (traitement nécessaire au respect d’une obligation légale) et à l’article 6, paragraphe 1er, point e) (traitement nécessaire à l’exécution d’une mission de service public). Dans ces deux cas, la base légale du traitement doit être définie conformément au droit de l'Union ou à la législation nationale de l'État membre à laquelle le responsable du traitement des données est soumis (cfr. art. 6, paragraphe 3).

Contrevenant à l’idée même du Règlement unificateur des règles en la matière, le 3e paragraphe sous b) de l’article 6 prévoit explicitement que ladite base juridique peut contenir des dispositions spécifiques permettant d'adapter l'application des règles prévues dans le Règlement (par exemple, les conditions générales de licéité du traitement, les catégories de données qui font l'objet du traitement, les entités auxquelles les données peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être, la limitation des finalités, etc.). La version finale du Règlement précise que le droit de l’Union ou des États membres doit rencontrer l’objectif d’intérêt public et être proportionné aux intérêts légitimes poursuivis.

La disposition finale n’ouvre plus les conditions dans lesquelles un changement de finalité peut intervenir, au cas où cette dernière serait incompatible avec la finalité initiale. L’évolution du texte témoigne d’un véritable débat : le texte initial ne contenait aucune règle alors que la seconde version introduisait un paragraphe spécifique (§4). Si les données étaient collectées par le même responsable du traitement, le traitement ultérieur aurait été permis malgré l’incompatibilité des finalités, pour autant que l’on ait pu justifier celui-ci par une des hypothèses générales de licéité prévue au §1er de la disposition. En d’autres termes, le responsable aurait toujours pu remédier à une incompatibilité entre la finalité initiale et les finalités ultérieures du traitement en identifiant une nouvelle base de licéité du traitement.

La dernière version du Règlement a purement et simplement enlevé ce paragraphe. Le Groupe Article 29 avait fortement critiqué cette disposition qui mettrait à mal et viderait de sa substance le principe de finalité (cfr. G29, Opinion 03/2013 on purpose limitation, 2 avril 2013, p. 36 et 37).

Le principe de base est donc celui de l’exigence de la compatibilité des finalités nouvelles avec les finalités initiales, sauf consentement de la personne concernée ou lorsqu'un texte légal spécifique le permet sur les mêmes raisons que celles justifiant une limitation des droits et obligations prévues par le Règlement (cfr article 23 (1). En cas d’incompatibilité, la poursuite de la finalité incompatible est prescrite.

Le texte du Règlement (art. 6, § 4) prévoit cependant certains critères permettant d’apprécier cette compatibilité. Par exemple, l'existence éventuelle d'un lien entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur envisagé, la nature des données à caractère personnel qui seront traitées ou les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées, ou encore l’existence de mesures de sauvegardes appropriées, ce qui peut inclure encryptage et pseudonymisation.

Enfin, la version définitive du Règlement introduit un nouveau paragraphe 3 utorisant les États membres à adapter les dispositions du Règlement en vue de la conformité du traitement avec l’article 6, paragraphe 1er, sous c) (obligation légale) et e) (mission d’intérêt public), en déterminant plus précisément les obligations pour le traitement et d’autres mesures pour en garantir la légalité et la licéité, également en ce qui concerne les situations particulières de traitement visées au chapitre IV.

La Directive

L’article 7 de la Directive prévoyait qu’un traitement de données ne peut être effectué que s’il rencontrait une des hypothèses prévues par la disposition :

- le consentement indubitable de la personne concernée (consentement) ;

- sa nécessité en vue de l’exécution du contrat conclu avec la personne concernée (contrat) ou

- sa nécessité en vue du respect d’une obligation légale auquel est soumis le responsable du traitement (obligation légale) ou

- sa nécessité en vue de la sauvegarde de l'intérêt vital de la personne concernée (intérêt vital) ou

- sa nécessité en vue de l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique (mission d’intérêt public), dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées faisaient partie de ces hypothèses.

Une dernière hypothèse, la recherche d’un équilibre d’intérêts, impose une évaluation plus difficile en pratique. Le traitement doit être nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée (intérêt légitime).

Belgique

L’article 5 de la loi du 8 décembre 1992 a mis en place le régime de la licéité du traitement dans des termes identiques à ceux de l’article 7 de la Directive : consentement, nécessité contractuelle, obligation légale, intérêt vital, mission d’intérêt public et intérêts légitimes du responsable. Cette disposition habilite le Roi à déterminer par arrêté royal des cas où le recours au critère des intérêts légitimes pour traiter des données à caractère personnel est interdit. Cette disposition n’a fait l’objet d’aucune mesure d’exécution.

Difficultés probables ?

Les précisions apportées par le Règlement viennent souvent entériner des interprétations des anciens textes prônées par les Commissions nationales et le Groupe Article 29.

La possibilité laissée aux États d’adapter les règles applicables aux traitements imposés par une loi nationale est par contre plus problématique. Elle est significative de la volonté des États de conserver une part de leur souveraineté dès lors qu’il s’agit d’une relation entre l’État ou un de ses entités et le responsable du traitement/citoyen. Aussi compréhensible qu’elle soit, cette possibilité de continuer à réglementer un grand nombre de traitements sur une base spécifique et nationale ouvre une brèche importante dans l’acquis censé apporté par le Règlement : l’unification des règles au niveau européen.

La plus grande déception vient du refus d’assouplissement du principe de compatibilité des finalités. L’interdiction de traitement en cas d’incompatibilité des finalités s’oppose à l’évolution d’un traitement de données qui est en quelque sorte « figé » par sa finalité réelle de départ.  Si des données ont été traitées pour les besoins d’exécution d’un contrat, elles ne peuvent être traitées pour une communication à un tiers en vie d’alimenter un processus de profilage big data, sauf consentement de la personne ou autorisation légale.

Soyons clairs : il n’aurait pu s’agir de l’admettre sans garanties, mais la personne concernée aurait été parfaitement protégé si on était parti du principe –comme la seconde version du texte le précisait- que la seconde finalité générait un nouveau traitement qui devait être soumis au respect de l’intégralité des dispositions de la loi (nouvelle information des personnes, identification d’un nouveau critère de licéité, etc.).

La solution du Règlement est autre : on ne peut pas modifier une finalité sans consentement préalable de la personne. En pratique –on pense par exemple aux projets Big Data- cette règle stricte risque de rendre illicites de très nombreux projets. Sans compter les services de fournitures de données, notamment dans le marketing, qui ne disposent souvent pas du consentement antérieur des personnes concernées.

Sommaire

Union Européenne

Belgique

France

Union Européenne

Comité européen de la protection des données (EDPB)

Recommandations sur la base juridique pour le stockage des données relatives aux cartes de crédit dans le seul but de faciliter la poursuite des transactions en ligne - 02/2021 (19 mai 2021)

lien

Lignes directrices sur le traitement des données à caractère personnel au titre de l’article 6.1.b  du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées - 2/2019 (8 octobre 2019)

Conformément à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, les données à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base d’un fondement légitime prévu par la loi. À cet égard, l’article 6, paragraphe 1, du règlement général sur la protection des données1 (le «RGPD») précise que le traitement n’est licite que si l’une des six conditions énoncées à l’article 6, paragraphe 1, points a) à f), est remplie. Il est essentiel de déterminer la base juridique appropriée qui correspond à l’objectif et à l’essence du traitement. Lorsqu’ils déterminent la base juridique appropriée, les responsables du traitement doivent tenir compte, entre autres, de l’incidence sur les droits des personnes concernées, afin de respecter le principe de loyauté.

L’article 6, paragraphe 1, point b), du RGPD pose un fondement légal pour le traitement des données en stipulant que le traitement n’est licite que dans la mesure où «il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci».2 Cette disposition renforce la liberté d’entreprise, qui est garantie par l’article 16 de la charte, et reflète le fait que, parfois, les obligations contractuelles envers la personne concernée ne peuvent être exécutées sans que cette dernière fournisse certaines données à caractère personnel. Si le traitement spécifique fait partie intégrante de la prestation de service demandée, il est dans l’intérêt des deux parties de traiter ces données, faute de quoi le service ne pourrait pas être fourni et le contrat ne pourrait pas être exécuté. Toutefois, la possibilité de s’appuyer sur cette base juridique ou sur l’une des autres bases juridiques mentionnées à l’article 6, paragraphe 1, ne dispense pas le responsable du traitement de l’obligation de respecter les autres exigences du RGPD.

Les articles 56 et 57 du Traité sur le fonctionnement de l’Union européenne définissent et réglementent la libre prestation de services dans l’Union européenne. Des mesures législatives spécifiques ont été adoptées par l’UE en ce qui concerne les «services de la société de l’information».3 On entend par «services de la société de l’information» «tout service normalement fourni contre rémunération, à distance par voie électronique et à la demande individuelle d’un bénéficiaire de services». Cette définition s’étend aux services qui ne sont pas payés directement par les personnes qui en bénéficient, comme les services en ligne financés par la publicité. Les «services en ligne», tels qu’ils sont utilisés dans les présentes lignes directrices, font référence aux «services de la société de l’information».

L’évolution du droit de l’Union reflète l’importance centrale des services en ligne dans la société moderne. La prolifération de l’internet mobile permanent et la disponibilité généralisée des appareils connectés ont permis le développement de services en ligne dans des domaines tels que les réseaux sociaux, le commerce électronique, la recherche sur l’internet, la communication et les voyages. Alors que certains de ces services sont financés par les paiements des utilisateurs, d’autres sont fournis sans aucun paiement monétaire de la part du consommateur. Au lieu de cela, ils sont financés par la vente de services publicitaires en ligne permettant de cibler les personnes concernées. Le pistage du comportement de l’utilisateur à des fins publicitaires est souvent effectué par des moyens dont l’utilisateur n’est généralement pas conscient,5 et il n’est pas toujours immédiatement évident au regard de la nature du service fourni, de telle sorte que, dans la pratique, il est quasiment impossible pour la personne concernée d’exercer un choix éclairé en ce qui concerne l’utilisation de ses données.

Dans ce contexte, le comité européen de la protection des données6 (CEPD) estime qu’il convient de fournir des orientations sur l’applicabilité de l’article 6, paragraphe 1, point b), au traitement des données à caractère personnel dans le cadre des services en ligne, afin de s’assurer que cette base juridique ne soit invoquée que lorsqu’elle est appropriée.

Dans son avis sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données, le groupe de travail «article 29» (WP29) s’est déjà exprimé sur la base de la nécessité contractuelle au sens de la directive 95/46/CE.7 D’une manière générale, ces orientations restent pertinentes au regard de l’article 6, paragraphe 1, point b), du RGPD.

Lien

Guidelines on the targeting of social media users - 8/2020 (13 avril 2021)

A significant development in the online environment over the past decade has been the rise of social media. More and more individuals use social media to stay in touch with family and friends, to engage in professional networking or to connect around shared interests and ideas. For the purposes of these guidelines, social media are understood as online platforms that enable the development of networks and communities of users, among which information and content is shared.

Key characteristics of social media include the ability for individuals to register in order to create “accounts” or “profiles” for themselves, to interact with one another by sharing user-generated or other content and to develop connections and networks with other users.

As part of their business model, many social media providers offer targeting services. Targeting services make it possible for natural or legal persons (“targeters”) to communicate specific messages to the users of social media in order to advance commercial, political, or other interests.

A distinguishing characteristic of targeting is the perceived fit between the person or group being targeted and the message that is being delivered. The underlying assumption is that the better the fit, the higher the reception rate (conversion) and thus the more effective the targeting campaign (return on investment). Mechanisms to target social media users have increased in sophistication over time. Organisations now have the ability to target individuals on the basis of a wide range of criteria. Such criteria may have been developed on the basis of personal data which users have actively provided or shared, such as their relationship status. Increasingly, however, targeting criteria are also developed on the basis of personal data which has been observed or inferred, either by the social media provider or by third parties, and collected (aggregated) by the platform or by other actors (e.g. data brokers) to supportad-targeting options. In other words, the targeting of social media users involves not just the act of “selecting” the individuals or groups of individuals that are the intended recipients of a particular message (the ‘target audience’), but rather it involves an entire process carried out by a set of stakeholders which results in the delivery of specific messages to individuals with social media accounts.

The combination and analysis of data originating from different sources, together with the potentially sensitive nature of personal data processed in the context of social media, creates risks to the fundamental rights and freedoms of individuals. From a data protection perspective, many risks relate to the possible lack of transparency and user control. For the individuals concerned, the underlying processing of personal data which results in the delivery of a targeted message is often opaque. Moreover, it may involve unanticipated or undesired uses of personal data, which raise questions not only concerning data protection law, but also in relation to other fundamental rights and freedoms. Recently, social media targeting has gained increased public interest and regulatory scrutiny in the context of democratic decision making and electoral processes.

Link

Retour au sommaire

Groupe 29

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Lignes directrices sur le consentement au sens du règlement 2016/679 - wp259rev.01 (10 avril 2018)

(Approuvées par le CEPD)

Les présentes lignes directrices fournissent une analyse approfondie de la notion de consentement dans le règlement 2016/679, également connu sous le nom de règlement général sur la protection des données (ci-après le «RGPD»). Le concept de consentement tel qu’utilisé jusqu’à présent dans la directive sur la protection des données (ci-après la «directive 95/46/CE») et dans la directive «vie privée et communications électroniques» a évolué. Le RGPD apporte des clarifications et des précisions complémentaires sur les conditions d’obtention et de démonstration d’un consentement valable. Les présentes lignes directrices se concentrent sur ces modifications afin de fournir des orientations pratiques visant à assurer le respect du RGPD, en s’inspirant de l’avis 15/2011 sur le consentement. Il incombe aux responsables du traitement d’innover afin de trouver de nouvelles solutions qui fonctionnent selon les paramètres de la loi et favorisent davantage la protection des données à caractère personnel ainsi que les intérêts des personnes concernées.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu'énumérées à l’article 6 du RGPD. Lorsqu’il entreprend des activités qui impliquent le traitement de données à caractère personnel, le responsable du traitement doit toujours prendre le temps d’examiner quelle serait la base juridique appropriée pour le traitement envisagé.

En général, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Lorsqu’il sollicite un consentement, le responsable du traitement a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Les avis existants du groupe de travail «Article 29» (ci-après le «G29») sur le consentement restent pertinents lorsqu’ils sont en phase avec le nouveau cadre juridique, dès lors que le RGPD codifie certaines des orientations et des bonnes pratiques générales du G29 et que la plupart des principaux éléments du consentement restent identiques en vertu du RGPD. Aussi le G29 développe-t-il et complète-t-il dans le présent document ses avis précédents relatifs à des thématiques spécifiques comprenant des références au consentement au sens de la directive 95/46/CE plutôt que de les remplacer.

Comme indiqué dans l’avis 15/2011 sur la définition du consentement, l’invitation à accepter le traitement de données devrait être régie par des conditions strictes, dès lors qu’elle concerne les droits fondamentaux des personnes concernées et que le responsable du traitement souhaite procéder à un traitement qui serait illicite sans le consentement de la personne concernée. Le rôle essentiel du consentement est souligné par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. En outre, l’obtention d’un consentement n’annule pas ou ne diminue pas de quelque façon que ce soit l’obligation imposée au responsable du traitement de respecter les principes relatifs au traitement énoncés dans le RGPD, notamment dans son article 5 concernant la loyauté, la nécessité, la proportionnalité ainsi que la qualité des données. Ainsi, même si le traitement de données à caractère personnel a reçu le consentement de la personne concernée, cela ne justifie pas la collecte de données excessives au regard d’une finalité spécifique de traitement, ce qui serait foncièrement abusif.

Dans le même temps, le G29 est conscient de la révision de la directive «vie privée et communications électroniques» (2002/58/CE). La notion de consentement telle que présentée dans le projet de règlement «vie privée et communications électroniques» reste liée à la notion de consentement au sens du RGPD. En vertu de ce nouvel instrument, les entreprises nécessiteront probablement le consentement des personnes concernées pour la plupart de leurs messages commerciaux en ligne et de leurs appels commerciaux, ainsi que pour leurs méthodes de suivi en ligne, y compris moyennant l’utilisation de cookies, d’applications ou d’autres logiciels. Le G29 a déjà fourni des recommandations et des orientations au législateur européen concernant la proposition de règlement «vie privée et communications électroniques».

Concernant la directive «vie privée et communications électroniques» existante, le G29 note que les références faites à la directive 95/46/CE abrogée s’entendent comme faites au RGPD. Ceci s’applique également aux références faites au consentement dans l’actuelle directive 2002/58/CE, dès lors que le règlement «vie privée et communications électroniques» ne sera pas (encore) entré en vigueur le 25 mai 2018. Selon l’article 95 du RGPD, aucune obligation supplémentaire concernant le traitement de données dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications ne sera imposée dans la mesure où la directive «vie privée et communications électroniques» impose des obligations spécifiques ayant le même objectif. Le G29 note que les exigences relatives au consentement imposées par le RGPD ne sont pas considérées comme des «obligations supplémentaires», mais plutôt comme des conditions préalables essentielles au traitement licite. Aussi les conditions d’obtention d’un consentement valable établies par le RGPD sont-elles applicables dans les situations tombant dans le champ d’application de la directive «vie privée et communications électroniques».

Lien

Commission européenne

Lettre du 6 mars 2020 à l'autorité de Protection des données des Pays-Bas.

Selon la Commission, il n'est « pas possible de conclure de manière générale qu'un intérêt purement commercial n'est pas susceptible de prévaloir sur les droits et libertés fondamentaux de la personne concernée, car cela doit être évalué sur la base d'un test de mise en balance concret ».

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative aux traitements de données à caractère personnel à des fins de marketing direct - 01/2020 (17 janvier 2020)

La présente recommandation a pour objet d’aider les responsables de traitement recourant à des techniques de marketing direct (ou y participant) à acquérir les bons réflexes afin d’agir en conformité avec les règles du RGPD applicables. Elle examine dès lors les questions fréquemment posées relatives à la protection des données à caractère personnel dans le cadre du marketing direct.

La Recommandation tient également compte, le cas échéant, de la multitude d’acteurs pouvant interagir avec les responsables de traitement mais s’adresse principalement à ces derniers. La Recommandation ne se limite pas aux seules communications réalisées dans le cadre du marketing direct mais examine également l’ensemble des traitements de données à caractère personnel réalisés à cette fin et les règles qui s’y appliquent.

Les règles, concepts et principes développés dans cette Recommandation le sont sur la base du RGPD et ne tiennent pas compte d’autres législations applicables. La Recommandation n’a cependant pas non plus vocation à être une étude exhaustive du RGPD. Cela ne signifie pas que les responsables du traitement effectuant des traitements de donnés pour des finalités de marketing direct sont dispensés du respect de l’ensemble des règles qui leurs sont applicables, en ce compris celles édictées par le RGPD et qui ne font pas l’objet de l’examen fourni par cette recommandation, tel que le respect de l’ensemble des droits accordés aux personnes concernées prévus aux articles 12 à 22 du RGPD ou encore en matière de transferts internationaux tels qu’encadrés par le Chapitre V du RGPD.

Les points examinés sont illustrés par des situations propres au marketing direct. Chaque exemple n’implique pas pour autant un examen approfondi et exhaustif des différentes questions ou problèmes de conformité au RGPD.

La Recommandation fait également état de certaines sanctions adoptées par les Autorités de protection des données en la matière. Certaines de ces décisions sont toutefois susceptibles d’appel ou autres voies de recours au moment de l’adoption de la Recommandation. Ces décisions sont donc susceptibles d’être révisées, le cas échéant.

Lien

Retour au sommaire

France

La Cnil

Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des activités commerciales (février 2022)

Les traitements réalisés dans le cadre de la gestion des activités commerciales, qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service, conduisent à collecter des données relatives à des personnes physiques (clients, prospects). À ce titre, ils sont soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), de la loi du 6 janvier 1978 modifiée, ainsi qu’aux dispositions spécifiques relatives à la protection de la vie privée dans le secteur des communications électroniques (« ePrivacy »).

Les organismes concernés, en tant que responsables de traitement, doivent mettre en place toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données à caractère personnel dès la conception des traitements et tout au long de la vie de ceuxci. Ils doivent, en outre, être en mesure de démontrer cette conformité à tout instant. Ces traitements doivent faire l’objet d’une inscription au registre de traitements, conformément aux dispositions de l’article 30 du RGPD (voir les modèles de registre sur le site cnil.fr).

L’application de ce référentiel, qui n’a pas de caractère contraignant, permet d’assurer la conformité des traitements de gestion des activités commerciales aux règles de protection des données à caractère personnel. Les organismes peuvent choisir de s’écarter du référentiel au regard des conditions particulières tenant à leur situation, en s’assurant de prendre toutes les mesures appropriées à même de garantir leur conformité au RGPD.

Ce référentiel sera régulièrement mis à jour par la CNIL afin de garantir sa compatibilité avec les dernières évolutions législatives et technologiques.

Lien

Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des impayés dans une transaction commerciale (février 2022)

Les traitements mis en œuvre aux fins de gestion des impayés, qu’ils soient mis en œuvre à partir d’outils internes ou externalisés auprès d’un prestataire de service, conduisent à collecter des données relatives à des personnes physiques clientes de l’organisme. À ce titre, ils sont soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») et de la loi du 6 janvier 1978 modifiée.

Les organismes concernés, en tant que responsables de traitement, doivent mettre en place toutes les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de protection des données à caractère personnel dès la conception des traitements et tout au long de la vie de ceux-ci. Ils doivent, en outre, être en mesure de démontrer cette conformité à tout instant. Ces traitements doivent faire l’objet d’une inscription au registre des traitements, conformément aux dispositions de l’article 30 du RGPD (voir les modèles de registre sur le site cnil.fr). Le référentiel n’aborde pas les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent par ailleurs trouver à s’appliquer.

L’application de ce référentiel, qui n’a pas de caractère contraignant, permet d’assurer la conformité des traitements de gestion des impayés au regard des principes relatifs à la protection des données. Les organismes peuvent choisir de s’écarter du référentiel au regard des conditions particulières tenant à leur situation, en s’assurant de prendre toutes les mesures appropriées à même de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.

Les organismes doivent, conformément au RGPD, évaluer si leur traitement est susceptible d'entraîner un risque élevé tel qu'interprété par le Comité européen de la protection des données dans ses « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé », afin de déterminer s’ils doivent effectuer une analyse d’impact ou non.

Ce référentiel sera régulièrement mis à jour par la CNIL afin de garantir sa compatibilité avec les dernières évolutions législatives et technologiques.

Lien

 

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-465/00 ; C-138/01 ; C-139/01 (20 mai 2003) - Österreichischer Rundfunk e.a.

1. Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ne s'opposent pas à une réglementation nationale, telle que celle en cause dans les affaires au principal, à la condition qu'il soit établi que la large divulgation non seulement du montant des revenus annuels, lorsque ceux-ci excèdent un certain plafond, des personnes employées par les entités soumises au contrôle du Rechnungshof, mais également des noms des bénéficiaires de ces revenus, est nécessaire et appropriée à l'objectif de bonne gestion des ressources publiques poursuivi par le constituant, ce qu'il incombe aux juridictions de renvoi de vérifier.

2. Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46 sont directement applicables, en ce sens qu'ils peuvent être invoqués par un particulier devant les juridictions nationales pour écarter l'application des règles de droit interne contraires à ces dispositions. 

Conclusions de l'Avocat général

Arrêt rendu

C-524/06 (16 décembre 2008) - Huber

1. Un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre concerné tel que celui mis en place par la loi sur le registre central des étrangers (Gesetz über das Ausländerzentralregister) du 2 septembre 1994, telle que modifiée par la loi du 21 juin 2005, et ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que:

–        s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et

–        si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre.

Il appartient à la juridiction de renvoi de vérifier ces éléments en l’espèce au principal.

En tout état de cause, ne sauraient être considérés comme nécessaires au sens de l’article 7, sous e), de la directive 95/46 la conservation et le traitement de données à caractère personnel nominatives dans le cadre d’un registre tel que le registre central des étrangers à des fins statistiques.

2. Il convient d’interpréter l’article 12, paragraphe 1, CE en ce sens qu’il s’oppose à l’instauration par un État membre d’un système de traitement de données à caractère personnel spécifique aux citoyens de l’Union non-ressortissants de cet État membre dans l’objectif de lutter contre la criminalité.

Conclusions de l'Avocat général

Arrêt rendu

C468/10 ; C-469/10 (24 novembre 2011) - ASNEF

1.      L’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui, en l’absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par le ou les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.

2.      L’article 7, sous f), de la directive 95/46 a un effet direct.

Arrêt rendu

C-342/12 (30 mai 2013) - Worten

1.      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.

2.      Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.

Arrêt rendu

C-683/13 (19 juin 2014) - Pharmacontinente - Saúde e Higiene e.a.

1.      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.

2.      Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail.

3.      Il incombe à la juridiction de renvoi d’examiner si l’obligation, pour l’employeur, de fournir à l’autorité nationale compétente en matière de surveillance des conditions de travail un accès au registre du temps de travail de façon à en permettre la consultation immédiate peut être considérée comme nécessaire aux fins de l’exercice par cette autorité de sa mission de surveillance, en contribuant à une application plus efficace de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail, et, dans l’affirmative, si les sanctions infligées en vue d’assurer l’application effective des exigences posées par la directive 2003/88/CE du Parlement européen et du Conseil, du 4 novembre 2003, concernant certains aspects de l’aménagement du temps de travail, respectent le principe de proportionnalité.

Arrêt rendu

C-582/14 (19 octobre 2016) - Breyer

1.      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.

2.      L’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux‑ci.

Conclusions de l'Avocat général 

Arrêt rendu

C-13/16 (4 mai 2017) - Rīgas satiksme

L’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.

Conclusions de l'Avocat général

Arrêt rendu

C-73/16 (27 septembre 2017) - Puškár

1.      L’article 47 de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens qu’il ne s’oppose pas à une législation nationale qui subordonne l’exercice d’un recours juridictionnel par une personne affirmant qu’il a été porté atteinte à son droit à la protection des données à caractère personnel garanti par la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, à l’épuisement préalable des voies de recours disponibles devant les autorités administratives nationales, à condition que les modalités concrètes d’exercice desdites voies de recours n’affectent pas de manière disproportionnée le droit à un recours effectif devant un tribunal visé à cette disposition. Il importe, notamment, que l’épuisement préalable des voies de recours disponibles devant les autorités administratives nationales n’entraîne pas de retard substantiel pour l’introduction d’un recours juridictionnel, qu’il entraîne la suspension de la prescription des droits concernés et qu’il n’occasionne pas de frais excessifs.

2.      L’article 47 de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale rejette, en tant que moyen de preuve d’une violation de la protection des données à caractère personnel conférée par la directive 95/46, une liste, telle que la liste litigieuse, présentée par la personne concernée et contenant des données à caractère personnel de celle-ci, dans l’hypothèse où cette personne aurait obtenu cette liste sans le consentement, légalement requis, du responsable du traitement de ces données, à moins qu’un tel rejet soit prévu par la législation nationale et qu’il respecte à la fois le contenu essentiel du droit à un recours effectif et le principe de proportionnalité.

3.      L’article 7, sous e), de la directive 95/46 doit être interprété en ce sens qu’il ne s’oppose pas à un traitement de données à caractère personnel par les autorités d’un État membre aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale tel que celui auquel il est procédé par l’établissement d’une liste de personnes telle que celle en cause dans l’affaire au principal, sans le consentement des personnes concernées, à condition, d’une part, que ces autorités aient été investies par la législation nationale de missions d’intérêt public au sens de cette disposition, que l’établissement de cette liste et l’inscription sur celle-ci du nom des personnes concernées soient effectivement aptes et nécessaires aux fins de la réalisation des objectifs poursuivis et qu’il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste et, d’autre part, que toutes les conditions de licéité de ce traitement de données à caractère personnel imposées par la directive 95/46 soient satisfaites.

Conclusions de l'Avocat général

Arrêt rendu

C-496/17 (16 janvier 2019) - Deutsche Post

L’article 24, paragraphe 1, second alinéa, du règlement d’exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d’application de certaines dispositions du règlement (UE) no 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union, lu à la lumière de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’opérateur économique agréé qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.

Conclusions de l'Avocat général

Arrêt rendu

C-40/17 (29 July 2019) - Fashion ID

1.  Articles 22 to 24 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as not precluding national legislation which allows consumer-protection associations to bring or defend legal proceedings against a person allegedly responsible for an infringement of the protection of personal data.

2. The operator of a website, such as Fashion ID GmbH & Co. KG, that embeds on that website a social plugin causing the browser of a visitor to that website to request content from the provider of that plugin and, to that end, to transmit to that provider personal data of the visitor can be considered to be a controller, within the meaning of Article 2(d) of Directive 95/46. That liability is, however, limited to the operation or set of operations involving the processing of personal data in respect of which it actually determines the purposes and means, that is to say, the collection and disclosure by transmission of the data at issue.

3. In a situation such as that at issue in the main proceedings, in which the operator of a website embeds on that website a social plugin causing the browser of a visitor to that website to request content from the provider of that plugin and, to that end, to transmit to that provider personal data of the visitor, it is necessary that that operator and that provider each pursue a legitimate interest, within the meaning of Article 7(f) of Directive 95/46, through those processing operations in order for those operations to be justified in respect of each of them.

4. Article 2(h) and Article 7(a) of Directive 95/46 must be interpreted as meaning that, in a situation such as that at issue in the main proceedings, in which the operator of a website embeds on that website a social plugin causing the browser of a visitor to that website to request content from the provider of that plugin and, to that end, to transmit to that provider personal data of the visitor, the consent referred to in those provisions must be obtained by that operator only with regard to the operation or set of operations involving the processing of personal data in respect of which that operator determines the purposes and means. In addition, Article 10 of that directive must be interpreted as meaning that, in such a situation, the duty to inform laid down in that provision is incumbent also on that operator, but the information that the latter must provide to the data subject need relate only to the operation or set of operations involving the processing of personal data in respect of which that operator actually determines the purposes and means.

Conclusions de l'Avocat général

Arrêt rendu

C-673/17 (1 October 2019) - Planet49

1.      L’article 2, sous f), et l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l’article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi qu’avec l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que le consentement visé à ces dispositions n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

2.      L’article 2, sous f), et l’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l’article 2, sous h), de la directive 95/46 ainsi qu’avec l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement 2016/679, ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679.

3.      L’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

Conclusions de l'Avocat général

Arrêt rendu

C-708/18 (11 décembre 2019) - Asociaţia de Proprietari bloc M5A-ScaraA

L’article 6, paragraphe 1, sous c), et l’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’ils ne s’opposent pas à des dispositions nationales qui autorisent la mise en place d’un système de vidéosurveillance, tel que le système en cause au principal installé dans les parties communes d’un immeuble à usage d’habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées audit article 7, sous f), ce qu’il incombe à la juridiction de renvoi de vérifier.

Arrêt rendu

C-61/19 (11 novembre 2020) - Orange Romania SA

L’article 2, sous h), et l’article 7, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétés en ce sens qu’il appartient au responsable du traitement des données de démontrer que la personne concernée a, par un comportement actif, manifesté son consentement au traitement de ses données à caractère personnel et qu’elle a obtenu, préalablement, une information au regard de toutes les circonstances entourant ce traitement, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples, lui permettant de déterminer facilement les conséquences de ce consentement, de sorte qu’il soit garanti que celui-ci soit donné en pleine connaissance de cause. Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque

 
 
  • la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque
 
  • les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque
 
  • le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.

Conclusions de l'Avocat général

Arrêt rendu

C-505/19 - (12 mai 2021) - Bundesrepublik Deutschland (Notice rouge d’Interpol)

1)      L’article 54 de la convention d’application de l’accord de Schengen, du 14 juin 1985, entre les gouvernements des États de l’Union économique Benelux, de la République fédérale d’Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes, signée à Schengen le 19 juin 1990 et entrée en vigueur le 26 mars 1995 ainsi que l’article 21, paragraphe 1, TFUE, lus à la lumière de l’article 50 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’ils ne s’opposent pas à l’arrestation provisoire, par les autorités d’un État partie à l’accord conclu entre les gouvernements des États de l’Union économique Benelux, de la République fédérale d’Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes, signé à Schengen le 14 juin 1985, ou par celles d’un État membre, d’une personne visée par une notice rouge publiée par l’Organisation internationale de police criminelle (Interpol), à la demande d’un État tiers, sauf s’il est établi, dans une décision judiciaire définitive prise dans un État partie à cet accord ou dans un État membre, que cette personne a déjà été définitivement jugée respectivement par un État partie audit accord ou par un État membre pour les mêmes faits que ceux sur lesquels cette notice rouge est fondée.

2)      Les dispositions de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lues à la lumière de l’article 54 de la convention d’application de l’accord de Schengen, signée le 19 juin 1990, et de l’article 50 de la charte des droits fondamentaux, doivent être interprétées en ce sens qu’elles ne s’opposent pas au traitement des données à caractère personnel figurant dans une notice rouge émise par l’Organisation internationale de police criminelle (Interpol), tant qu’il n’a pas été établi, par la voie d’une décision judiciaire définitive prise dans un État partie à l’accord conclu entre les gouvernements des États de l’Union économique Benelux, de la République fédérale d’Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes, signé à Schengen le 14 juin 1985, ou dans un État membre, que le principe ne bis in idem s’applique s’agissant des faits sur lesquels cette notice est fondée, pour autant qu’un tel traitement satisfait aux conditions prévues par cette directive, notamment en ce qu’il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, au sens de l’article 8, paragraphe 1, de ladite directive.

3)      La cinquième question préjudicielle est irrecevable.

Conclusions de l'avocat général

Arrêt rendu

C-597/19 (17 juin 2021) - MICM Ltd. c. Telenet BVBA

 

L’article 6, paragraphe 1, premier alinéa, sous f), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu en combinaison avec l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, doit être interprété en ce sens qu’il ne s’oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d’adresses IP d’utilisateurs de réseaux de pair à pair (peer-to-peer) dont les connexions Internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdits utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d’un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, qui limite la portée des règles énoncées aux articles 5 et 6 de cette directive, telle que modifiée.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

Cass. Be., D060003N (8 décembre 2006)

Les dispositions de l'article 5 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui autorisent le traitement de données personnelles dans certaines limites, ne constituent pas une exception aux conditions générales de leur légalité contenues à l'article 4 de la même loi, spécialement le respect des finalités du traitement et de la proportionnalité dans ce traitement; cela vaut aussi pour le traitement de données à caractère personnel dans le cadre d'affaires disciplinaires par une autorité disciplinaire, tel que le conseil de l'Ordre des architectes

Arrêt rendu (en néerlandais)

C. const. Be., n°104/2018 (19 juillet 2018)

1. En permettant l’échange d’informations en vue de sanctionner plus facilement la fraude au domicile, l’article 6, 4°, attaqué permet une ingérence dans la vie privée des personnes concernées par cette collecte et par cet échange d’informations.

Conformément à l’article 6, paragraphe 1, b) et e), du Règlement (UE) 2016/679 précité, cet échange d’informations est autorisé, étant donné que le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, et il est également nécessaire à l’exécution d’une mission d’intérêt public dont est investi le responsable du traitement.

2. L’échange de données est proportionné, étant donné que le texte même du décret dispose explicitement que l’instance qui reçoit les informations ne peut utiliser ces données que pour exercer la mission légale dont elle est chargée et que l’instance qui fournit les informations, de son côté, doit vérifier si les informations susceptibles d’être fournies sont réellement pertinentes et utiles pour permettre à l’instance qui reçoit ces données d’exercer sa mission légale.

Arrêt rendu

CE Be., n°242.251 (5 septembre 2018)

Les finalités poursuivies par le régime juridique critiqué sont définies dans l'article 8 précité de l'ordonnance du 14 mai 1998 comme "l'exercice de la tutelle administrative" et "l'établissement de statistiques au niveau régional".
La première de ces finalités demeure d'actualité même si certaines décisions des autorités communales, antérieurement soumises à l'approbation du gouvernement, relèvent désormais de la tutelle générale d'annulation sans transmission systématique.

Les dispositions attaquées de l'arrêté du Gouvernement du 23 décembre 2016 fixent l'objet exact des informations à transmettre en ce qui concerne les membres du personnel communal et les modalités de cette transmission.

Arrêt rendu

C. const. Be., n°118/2020 (24 septembre 2020)

1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.

Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.

2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.

Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.

Arrêt rendu

C. const. Be., n°144/2020 (12 novembre 2020)

1. En ce qu’il permet au gestionnaire de réseau de distribution de traiter les informations issues des compteurs d’électricité intelligents uniquement pour réaliser ses « missions légales ou réglementaires », l’article 35septies, § 2, alinéa 2, du décret du 12 avril 2001 n’autorise pas le gestionnaire de réseau de distribution à traiter des données personnelles en dehors des hypothèses limitatives de l’article 6 du RGPD. En effet, en vertu de l’article 6, paragraphe 1, c), du RGPD, le traitement des données personnelles est licite s’il est nécessaire au respect d’une « obligation légale ». Ce renvoi « au respect d’une obligation légale » ne signifie pas que cette obligation doit nécessairement s’inscrire dans une « loi » au sens formel du terme, étant donné que le renvoi se situe dans une norme européenne. Ainsi, le renvoi à une « obligation légale » se borne à faire référence à toute obligation découlant d’une norme de l’ordre juridique de l’Union ou de l’État membre, comme le confirme l’article 6, paragraphe 3, du RGPD qui dispose que « le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis ».

En conséquence, le fait que le gestionnaire de réseau peut, conformément à l’article 35septies, § 2, alinéa 2, précité, traiter des données personnelles pour réaliser ses missions légales ou réglementaires n’entraîne aucune violation de l’article 6, paragraphe 1, c), du RGPD.

2. En permettant au gestionnaire de réseau de distribution de conserver des données personnelles issues des compteurs d’électricité intelligents au-delà d’une durée de cinq ans lorsqu’il y est obligé pour réaliser ses « missions », l’article 35septies, § 2, alinéa 3, du décret du 12 avril 2001 s’inscrit dans le droit fil de l’article 17, paragraphe 3, b), du RGPD. En effet, les « missions » auxquelles il est fait référence dans cette disposition décrétale visent les missions d’intérêt général qui sont attribuées par voie légale ou réglementaire au gestionnaire de réseau de distribution, sans qu’il soit nécessaire de les énumérer exhaustivement. Ainsi, si un traitement des données personnelles, qui peut entraîner la conservation de ces données, est nécessaire pour réaliser une mission légale ou réglementaire du gestionnaire de réseau de distribution, le droit à l’effacement ne peut pas s’exercer pendant le temps limité à l’exercice de cette mission, sans que cela ne viole l’article 5, paragraphe 1, e), ni l’article 17, paragraphe 1, du RGPD.

3. La notion de « sous-traitant » dans l’article 35septies, § 3, du décret du 12 avril 2001, n’est ni floue, ni plus étendue que celle qui est contenue dans le RGPD. Il est clair que le « sous-traitant » visé par l’article 35septies, § 3, précité, est celui qui opère, au nom et pour le compte du gestionnaire de réseau de distribution, un traitement des données personnelles dans le cadre de l’exécution d’une ou de plusieurs missions légales et réglementaires confiées à ce dernier. En effet, en vertu du paragraphe 2, alinéa 2, de l’article 35septies, le gestionnaire de réseau de distribution peut uniquement traiter les données personnelles issues des compteurs d’électricité intelligents pour réaliser ses missions légales ou réglementaires ou pour réaliser toute autre mission légitime pour laquelle le consentement des personnes concernées a été donné de manière libre et explicite pour des finalités spécifiques. Le traitement de données par un sous-traitant qui agit au nom et pour le compte du gestionnaire de réseau de distribution doit se situer dans ce même cadre, c’est-à-dire dans le cadre précis de l’exécution des missions dont le gestionnaire de réseau de distribution est investi par la loi ou le règlement.

Arrêt rendu

C. const. Be., n°162/2020 (17 décembre 2020)

1. L’article 24ter, § 4, alinéa 3, de l’ordonnance du 19 juillet 2001, et l’article 18ter, § 4, alinéa 3, de l’ordonnance du 1er avril 2004, en ce qu’ils permettent au gestionnaire du réseau de distribution de traiter les informations issues des compteurs intelligents uniquement pour réaliser ses « missions légales ou réglementaires », n’autorisent pas le gestionnaire du réseau de distribution de traiter des données personnelles en dehors des hypothèses limitatives de l’article 6 du RGPD. En effet, en vertu de l’article 6, paragraphe 1, c), du RGPD, le traitement des données personnelles est licite s’il est nécessaire au respect d’une « obligation légale ». Ce renvoi « au respect d’une obligation légale » ne signifie pas que cette obligation doit nécessairement s’inscrire dans une « loi » au sens formel du terme, étant donné que le renvoi se situe dans une norme européenne. Ainsi, le renvoi à une « obligation légale » se borne à faire référence à toute obligation découlant d’une norme de l’ordre juridique de l’Union ou de l’État membre, comme le confirme l’article 6, paragraphe 3, du RGPD qui dispose que « le fondement du traitement visé au paragraphe 1, points c) et e), est défini par : a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis ».

Le fait que le gestionnaire de réseau peut, conformément à l’article 24ter, § 4, alinéa 3, et à l’article 18ter, § 4, alinéa 3, précités, traiter des données personnelles pour réaliser ses missions légales ou réglementaires n’entraîne aucune violation de l’article 6, paragraphe 1, c), du RGPD.

2. En permettant au gestionnaire du réseau de distribution de conserver des données personnelles issues des compteurs d’électricité intelligents au-delà d’une durée de cinq ans pour autant que cela soit nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, mais avec un délai maximal de dix ans, l’article 24ter, § 4, alinéa 5, de l’ordonnance du 19 juillet 2001 s’inscrit dans le droit fil tant de l’article 5, paragraphe 1, e), que de l’article 17, paragraphe 1, a), du RGPD.

En effet, la durée de conservation des données personnelles est strictement limitée au temps nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ce qui correspond à l’exigence de l’article 5, paragraphe 1, e), du RGPD. Au-delà de ce délai, le gestionnaire de réseau ne peut plus conserver ces données, et la personne concernée peut obtenir l’effacement des données à caractère personnel la concernant, conformément à l’article 17, paragraphe 1, a), du même règlement. En outre, la disposition attaquée prévoit un délai maximal absolu de dix ans.

Ainsi, dès lors que la durée de conservation des données personnelles est strictement limitée au temps nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, le droit à l’effacement ne peut pas s’exercer pendant ce délai strictement limité à la réalisation de ces finalités, sans que cela ne constitue une violation de l’article 5, paragraphe 1, e), ni de l’article 17, paragraphe 1, du RGPD.

3. la notion de « société exploitante » employée dans l’article 24ter, § 4, alinéa 1er, de l’ordonnance du 19 juillet 2001 et dans l’article 18ter, § 4, alinéa 1er, de l’ordonnance du 1er avril 2004 n’est ni vague, ni incompatible avec le RGPD.

Il est clair que la notion de « société exploitante » employée par les dispositions attaquées vise celle qui, le cas échéant, se voit confier une ou plusieurs activités relatives au traitement des données à caractère personnel fournies par les compteurs intelligents, conformément à l’article 9 de l’ordonnance du 19 juillet 2001 ou à l’article 7 de l’ordonnance du 1er avril 2004. Tant le gestionnaire du réseau de distribution que ces éventuelles sociétés exploitantes, qu’elles agissent en qualité de « sous-traitant » ou de « responsable conjoint », ne pourront traiter les données personnelles issues des compteurs intelligents que pour réaliser les missions légales ou réglementaires du gestionnaire du réseau de distribution, dans le respect des garanties établies par les articles 24ter, § 4, et 18ter, § 4, précités.

Arrêt rendu

C. const. Be., n°23/2021 (25 février 2021)

1. Les articles 30bis et 51/3 de la loi du 15 décembre 1980 déterminent les personnes concernées par le traitement litigieux et les circonstances dans lesquelles celui-ci peut avoir lieu. Ils habilitent par ailleurs le Roi à fixer le délai de conservation des données biométriques et prévoient le contrôle de l’Autorité de protection des données.

Il s’ensuit que les dispositions attaquées ne méconnaissent pas l’essence du droit à la protection des données et qu’elles sont assorties de mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts des étrangers concernés, au sens de l’article 9, paragraphe 2, point g), du RGPD. Pour le surplus, c’est aux autorités compétentes, en leur qualité de responsable de traitement, qu’il appartient de veiller au respect des principes énoncés à l’article 5, paragraphe 1, du RGPD, dont les parties requérantes n’établissent pas qu’il serait violé par les dispositions attaquées.

2. La faculté, pour les instances chargées de l’examen de la demande de protection internationale, d’inviter le demandeur à produire certains éléments, prévue à l’article 48/6, § 1er, alinéa 4, de la loi du 15 décembre 1980, vise à permettre à ces instances de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée.

La licéité du traitement des données visées par l’article 48/6, § 1er, alinéa 4, précité, ne repose pas sur le seul consentement des personnes concernées, mais également sur la nécessité du traitement en vue de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens de l’article 6, paragraphe 1, point e), du RGPD, mission qui correspond à des motifs d’intérêt public important en ce qui concerne les données à caractère personnel sensibles, au sens de l’article 9, paragraphe 2, point g), du RGPD.

La disposition attaquée vise à permettre aux instances chargées de l’examen de la demande de protection internationale de procéder à la vérification et à l’établissement des faits nécessaires à l’appréciation de la demande de protection internationale qui leur a été adressée. Cet objectif est légitime.

3. L’exigence selon laquelle les instances chargées de l’examen de la demande de protection internationale doivent avoir de bonnes raisons de penser que le demandeur retient des informations, pièces, documents ou autres éléments essentiels à une évaluation correcte de la demande pour l’inviter à produire ces éléments est de nature à baliser le pouvoir d’appréciation de ces instances.

L’ingérence dans le droit du demandeur au respect de la vie privée et à la protection des données à caractère personnel n’entraîne donc pas des effets disproportionnés eu égard à l’objectif poursuivi.

Arrêt rendu

C. const. Be., n°36/2021 (4 mars 2021)

En cause : le recours en annulation partielle de la loi du 7 mai 2019 « modifiant la loi du 7 mai 1999 sur les jeux de hasard, les paris, les établissements de jeux de hasard et la protection des joueurs, et insérant l’article 37/1 dans la loi du 19 avril 2002 relative à la rationalisation du fonctionnement  et  de  la  gestion  de  la  Loterie  Nationale »,  introduit  par l’ASBL « UBA-BNGO » et autres.

1. La Commission des jeux de hasard qui, dans le cadre du contrôle visé par la loi attaquée, sélectionne et traite les antécédents, est tenue de respecter les dispositions du RGPD et de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » (ci-après : « la loi du 30 juillet 2018 »).

2. Par ailleurs, la loi du 30 juillet 2018 s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnelcontenues ou appelées à figurer dans un fichier (article 2,alinéa1er) et au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge (article 4, alinéa 1er).

3. Du fait de l’applicabilité directe du RGPD dans la législation interne et de l’existence de la loi du 30 juillet 2018, le texte même des dispositions attaquées ne doit plus mentionner explicitement les conditions et obligations requises.

4. L’enquête d’antécédents qui sert à contrôler qu’il est satisfait à la condition que le demandeur de licence soit d’une conduite qui répond aux exigences de la fonction poursuit un but légitime et n’entraîne pas une ingérence disproportionnée dans le droit au respect de la vie privée, tel qu’il est garanti par les dispositions nationales et internationales précitées.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2019/AR/1600 (19 février 2020)

La Cour a annulé la décision de la DPA car elle était insuffisamment motivée et fondée sur une législation qui n'était pas applicable au moment de la plainte. La Cour n'avait pas le pouvoir d'ordonner à la DPA de rembourser l'amende, car cela ne relève pas de sa compétence, mais elle a annulé la décision infligeant l'amende.

La Cour a estimé que, premièrement, l'APD ne disposait d'aucune preuve pour étayer la conclusion selon laquelle le responsable du traitement traitait effectivement le numéro d'identification national de la personne concernée. 

Deuxièmement, le responsable du traitement n'était pas tenu de proposer à la personne concernée un autre moyen de créer une carte de réduction, car la disposition pertinente de la loi sur l'identité électronique n'était pas applicable à l'époque. 

Troisièmement, la Cour a constaté qu'aucun traitement de données à caractère personnel n'avait eu lieu car la plaignante avait refusé de faire scanner son e-ID. 

Quatrièmement, la Cour a estimé que la conclusion de l'APD selon laquelle la date de naissance de la personne concernée n'était pas utilisée pour vérifier son âge n'était qu'une simple supposition. 

Cinquièmement, l'APD n'aurait pas dû présumer que la personne concernée aurait subi un désavantage indéniable en ne bénéficiant pas des remises disponibles via la carte client.

Par conséquent, la Cour a accueilli l'appel contre et annulé la décision de la DPA.

Arrêt rendu (néerlandais)

Bruxelles – Section Cour des marchés n° 2020/AR/1333 (27 janvier 2021)

La Cour d'appel a annulé la décision de la DPA pour défaut de justification comme l'exige l'article 83 du RGPD et défaut de proportionnalité. La décision a été renvoyée à l'autorité qui est en outre tenue de rembourser les frais de justice de 1 400 €, la Cour ne pouvant elle-même réformer ou amender la décision.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2021/14/74 (17 février 2021)

Les parties sont parvenues à un accord qui rendait obsolète toute ingérence de la Cour du marché.

Arrêt rendu (néerlandais)

Bruxelles – Section Cour des marchés n° 2020/AR/1160 (24 février 2021)

S'agissant de la question de savoir si un consentement est requis pour figurer ou non dans les annuaires téléphoniques et quelle est la portée de ce consentement, la Cour d'appel a également considéré que :

1° Dans les situations où la directive e-Privacy précise les règles édictées par le RGPD, ces dispositions particulières de la directive e-Privacy en tant que lex specialis prévalent sur les dispositions plus générales du RGPD. (principe de Lex specialis derogate legi generali)

2° L'article 12, paragraphe 1, et le considérant 38 de la directive ePrivacy font référence à l'exigence du consentement éclairé au sens de la directive 95/46/EG des abonnés pour être inclus dans les annuaires publics. Suite à l'article 94 GDPR qui stipule que toutes les références à 95/46/EG doivent être considérées comme des références au GDPR, les articles susmentionnés font donc référence au "consentement" à la lumière du GDPR et donc à la condition d'un consentement valide (article 7 GDPR) doit être respecté.

3° Ce consentement porte sur la finalité de publication des données personnelles dans les annuaires, mais pas sur l'identité du fournisseur de l'annuaire. Par conséquent, le tribunal déclare que le consentement donné sera également valable pour le traitement ultérieur des données personnelles par d'autres fournisseurs d'annuaires, à condition que ce traitement ait la même finalité.

Etant donné qu'il s'agit d'une matière complexe qui soulève des questions qui ne sont pas encore abordées par le législateur, la Cour d'appel de Bruxelles a sursis à statuer pour demander à la Cour de justice une décision préjudicielle sur les questions suivantes :

1° L'article 72.2 de la directive e-Privacy 2002/58/CE, lu en combinaison avec l'article 2, sous f), de cette directive et avec l'article 95 du règlement général sur la protection des données doit-il être interprété comme permettant d'interpréter un contrôle national comme permettant à une autorité de contrôle nationale d'exiger le "consentement" d'un abonné au sens du règlement général sur la protection des données comme base pour la publication des données à caractère personnel de l'abonné dans les annuaires publics et les services de renseignements téléphoniques, tant ceux publiés par l'opérateur lui-même et par des prestataires tiers, prestataires, en l'absence de législation nationale contraire ?

2° Le droit d'effacement prévu à l'article 17 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle considère une demande de radiation d'un particulier des annuaires publics et des services de renseignements comme une demande d'effacement au sens de l'article 17 du Règlement général sur la protection des données ?

3° L'article 24 et l'article 5, paragraphe 2, du règlement général sur la protection des données doivent-ils être interprétés en ce sens qu'ils s'opposent à ce qu'une autorité nationale de contrôle conclue de l'obligation de responsabilité qui y est contenue que le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour informer les tiers responsables du traitement, à savoir le fournisseur de services téléphoniques et, entre autres, les fournisseurs d'annuaires téléphoniques et de services de renseignements téléphoniques qui ont reçu des données de ce responsable du traitement, de tout retrait de consentement par la personne concernée conformément à l'article 6 en liaison avec l'article 7 du règlement ?

4° L'article 17.2 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle enjoigne à un fournisseur d'annuaires publics et de services de renseignements téléphoniques auquel il est demandé de cesser de divulguer des données relatives à une personne physique de prendre des mesures raisonnables pour informer les moteurs de recherche de cette demande de suppression de données ?

Arrêt rendu (Néerlandais)

Bruxelles – Section Cour des marchés n° 2021/AR/205 (26 mai 2021)

La Cour d'appel a annulé la décision de la DPA.

Elle a estimé que, malgré la résiliation du contrat de gestion, la société de musique avait toujours un intérêt légitime à gérer la fanpage. En effet, selon un contrat d'artiste du 26 juillet 2008, un contrat de licence du 20 novembre 2015, et conformément aux droits du producteur de musique conformément à l'article XI.209 du Code belge de droit économique ("Wetboek van Economisch recht', 'WEB'), la société de musique est exclusivement autorisée à utiliser le nom et l'image de l'artiste musical des œuvres musicales qui font l'objet de ces accords, pendant la durée des droits d'auteur (70 ans à compter du premier enregistrement). Le plaignant perçoit des redevances en retour. Dans ce contexte, la page Facebook a été créée et utilisée, entre autres, pour promouvoir le nom de l'artiste et favoriser la vente des œuvres musicales concernées. La Cour a déclaré que les données personnelles sur la fanpage sont en tout état de cause très limitées et que l'intérêt légitime du défendeur à traiter ces données, qui aide le plaignant à accroître sa portée, est plus important. Aucune violation de l'article 21(1) lu conjointement avec l'article 12(3) n'a donc pu être constatée par l'APD

Arrêt rendu (Néerlandais)

Bruxelles – Section Cour des marchés n° 2021/AR/320 (07 juillet 2021)

La Cour d'appel de Bruxelles déclare le recours recevable mais non fondé.

Les principales conclusions de la décision de la Cour d'appel de Bruxelles sont les suivantes :

  • L'appel contre une décision de la chambre contentieuse n'est pas une seconde chance pour la partie contre laquelle la plainte est dirigée. Il est important de noter qu'il ne s'agit pas d'un appel ordinaire et donc pas d'une seconde chance telle que nous la connaissons devant les tribunaux ordinaires. Le recours devant la cour d'appel contre les décisions de la chambre contentieuse est un recours administratif, assimilable aux compétences du Conseil d'Etat. La Cour ne devrait pas intervenir dans l'appréciation de l'administration. Cela violerait la séparation des pouvoirs entre l'administration et les tribunaux.
  • L'ordre juridique belge n'attribue aucune valeur de précédent contraignant, que ce soit aux décisions administratives ou judiciaires. Toute décision d'une administration est spécifique et ne s'étend pas à un cas autre que celui en cause. Le tribunal s'appuie toujours sur des faits concrets de l'affaire soumise.
  • Le Tribunal, exerçant ses attributions de plein droit, procède à un contrôle de légalité et de proportionnalité de l'amende administrative et ne réduira ou n'annulera l'amende qu'en cas de circonstances atténuantes graves et avérées (cf. article 82, alinéa 2 RGPD) qui n'ont pas ou non suffisamment été pris en compte par la chambre contentieuse.

DPA belge et publication sur les réseaux sociaux :

Bien qu'en substance la chambre contentieuse décide dans chacune de ses affaires de pseudonymiser ou non la décision, le citoyen ou la personne morale concernée ne doit pas être exposé à l'arbitraire à cet égard.

Il semble souhaitable que la SA ait une politique cohérente de pseudonymisation des décisions en vue de leur publication. Le risque d'atteinte à la réputation, d'atteinte à la concurrence et leur éventuelle ampleur sont des éléments que la chambre contentieuse doit prendre en compte lorsqu'elle envisage d'omettre ou non certains identifiants. Cependant, la Cour d'appel elle-même n'a pas compétence pour ordonner à la GBA ou à ses employés de retirer des communiqués de presse ou des publications sur les réseaux sociaux.

.Arrêt rendu (néerlandais)

Retour au sommaire

France

Jurisprudence française

CE Fr., n°429571 (10 décembre 2020)

1. Il résulte clairement de l'article 6 du RGPD qu'un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu'il n'est nécessaire ni au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ni à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu'il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux.

2. Pour apprécier si les intérêts légitimes du responsable du traitement prévalent sur ceux des personnes concernées, il y a lieu de mettre en balance, d'une part, l'intérêt légitime poursuivi par le responsable du traitement et, d'autre part, l'intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu'aux attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.

3. La Délibération de la CNIL indiquant que les données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d'une transaction dans le cadre de l'exécution d'un contrat et que la conservation de ces données afin de faciliter d'éventuels paiements ultérieurs n'est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu'elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.

Si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite en un clic - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.

Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 6

1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;

e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d'autres mesures visant à garantir un traitement licite et loyal, y compris dans d'autres situations particulières de traitement comme le prévoit le chapitre IX.

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:
a) le droit de l'Union; ou
b) le droit de l'État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l'application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l'objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d'autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l'Union ou le droit des États membres répond à un objectif d'intérêt public et est proportionné à l'objectif légitime poursuivi.

4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit de l'Union ou le droit d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l'article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:
a) de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l'article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l'article 10;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
e) de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

 

Proposition 1 close

Art. 6.

Le traitement de données à caractère personnel n'est licite que si et dans la mesure où l’une au moins des situations suivantes s'applique:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à lademande de celle-ci;

c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée;

e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

2. Le traitement de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties prévues à l'article 83.

3. Le fondement juridique du traitement visé au paragraphe 1, points c) et e), doit être prévu dans:

a) le droit de l'Union, ou

b) la législation de l'État membre à laquelle le responsable du traitement des données est soumis.

La législation de l'État membre doit répondre à un objectif d’intérêt général ou être

nécessaire à la protection des droits et libertés d'autrui, être respectueuse du contenu

essentiel du droit à la protection des données à caractère personnel et proportionnée à l'objectif légitime poursuivi.

4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant.

Proposition 2 close

1. Le traitement de données à caractère personnel n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti sans ambiguïté au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;

e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. (...).

2. Le traitement de données à caractère personnel qui est nécessaire à des fins d'archivage dans l'intérêt public ou à des fins historiques, statistiques ou scientifiques, est licite sous réserve également des conditions et des garanties prévues à l'article 83.

3. La base juridique du traitement visé au paragraphe 1, points c) et e), doit être définie conformément:

a) au droit de l'Union, ou

b) à la législation nationale de l'État membre à laquelle le responsable du traitement des données est soumis.

Les finalités du traitement sont établies dans cette base juridique ou, eu égard au traitement visé au paragraphe 1, point e), sont nécessaires pour l'exécution d'une mission d'intérêt public ou pour l'exercice de l'autorité publique dont est investi le responsable du traitement.

Cette base juridique peut contenir des dispositions spécifiques permettant d'adapter l'application des règles prévues dans le présent règlement, entre autres les conditions générales concernant la licéité du traitement des données par le responsable du traitement, le type de données qui font l'objet du traitement, les personnes concernées, les entités auxquelles les données peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être, la limitation des finalités, les périodes de conservation et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, notamment dans d'autres situations particulières de traitement des données prévues au chapitre IX.

3 bis. Afin de vérifier si les finalités d'un traitement ultérieur (...) sont compatibles avec celles pour lesquelles les données ont été initialement collectées, le responsable du traitement tient compte, à moins que la personne concernée n'ait donné son consentement, notamment:

a) de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur envisagé;

b) du contexte dans lequel les données ont été collectées;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, conformément à l'article 9;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e) de l'existence de garanties appropriées.

4. Lorsque la finalité du traitement ultérieur est incompatible avec celle pour laquelle les données à caractère personnel ont été collectées par le même responsable du traitement, le traitement ultérieur doit avoir pour base juridique au moins l'un des motifs mentionnés au paragraphe 1, points a) à e). Un traitement ultérieur par le même responsable du traitement à des fins incompatibles en raison d'intérêts légitimes dudit responsable du traitement ou d'un tiers est licite si ces intérêts prévalent sur les intérêts de la personne concernée.

5. (...)

Directive close

Art. 7

Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

a) la personne concernée a indubitablement donné son consentement

ou

b) il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci

ou

c) il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis

ou

d) il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée

ou

e) il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1.

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art. 20

§ 1 er . Sauf autre disposition dans des lois particulières, en exécution de l’article 6.2 du Règlement, l’autorité publique fédérale qui transfert des données à caractère personnel sur la base de l’article 6.1.c) et e), du Règlement à toute autre autorité publique ou organisation privée, formalise cette transmission pour chaque type de traitement par un protocole entre le responsable du traitement initial et le responsable du traitement destinataire des données. Ce protocole peut prévoir notamment:

1° l’identification de l’autorité publique fédérale qui transfère les données à caractère personnel et celle du destinataire;

2° l’identification du responsable du traitement au sein de l’autorité publique qui transfère les données et au sein du destinataire;

3° les coordonnées des délégués à la protection des données concernés au sein de l’autorité publique qui transfère les données ainsi que du destinataire;

4° les finalités pour lesquelles les données à caractère personnel sont transférées;

5° les catégories de données à caractère personnel transférées et leur format;

6° les catégories de destinataires;

7° la base légale du transfert;

8° les modalités de communication utilisée;

9° toute mesure spécifique encadrant le transfert conformément au principe de proportionnalité et aux exigences de protection des données dès la conception et par défaut;

10° les restrictions légales applicables aux droits de la personne concernée;

11° les modalités des droits de la personne concernées auprès du destinataire;

12° la périodicité du transfert;

13° la durée du protocole;

14° les sanctions applicables en cas de non- respect du protocole, sans préjudice du titre 6.

§ 2. Le protocole est adopté après les avis respectifs du délégué à la protection des données de l’autorité publique fédérale détenteur des données à caractère personnel et du destinataire. Ces avis sont annexés au protocole. Lorsqu’au moins un de ces avis n’est pas suivi par les responsables du traitement, le protocole mentionne, en ses dispositions introductives, la ou les raisons pour laquelle ou lesqu elles cet ou ces avis n’ont pas été suivis.

§ 3. Le protocole est publié sur le site internet des responsables du traitement concernés.

Ancienne loi close

Art. 5.

Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :

a) lorsque la personne concernée a indubitablement donné son consentement;

b) lorsqu'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c) lorsqu'il est nécessaire au respect d'une obligation à laquelle le responsable du traitement est soumis par ou en vertu d'une loi, d'un décret ou d'une ordonnance;

d) lorsqu'il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée;

e) lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées;

f) lorsqu'il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la présente loi.

Le Roi peut, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, préciser les cas où la condition mentionnée sous f) est considérée ne pas être remplie.

Romania close

Law No. 677/2001 on the protection of individuals with regard to the processing of personal data and the free movement of such data, as amended and completed

Article 5:

(1) Any personal data processing, except for the processing which refer to the categories mentioned in Article 7 paragraph (1) and Articles 8 and 10, may be carried out only if the data subject has given his/her express and unequivocal consent for that processing.

(2) The data subject’s consent is not required in the following situations:

a) when the processing is required in order to carry out a contract or pre-contract to which the data subject is party of, or in order to take some measures, at his request, before signing that contract or the pre-contract;

b) when the processing is required in order to protect the data subject’s life, physical integrity or health or that of a threatened third party;

c) when the processing is required in order to fulfill a legal obligation of the data controller;

d) when the processing is required in order to accomplish some measures of public interest or regarding the exercise of public official authority prerogatives of the data controller or of the third party to which the date are disclosed;

e) when the processing is necessary in order to accomplish a legitimate interest of the data controller or of the third party to which the date are disclosed, on the condition that this interest does not prejudice the interests, or the fundamental rights and freedoms of the data subject;

f) when the processing concerns data which is obtained from publicly accessible documents, according to the law;

g) when the processing is performed exclusively for statistical purposes, historical or scientific research and the data remain anonymous throughout the entire processing;

(3) The provisions of paragraph (2) do not infringe the legal texts that govern the obligations of public authorities to respect and protect intimate, family and private life.

close