RGPD (règlement général sur la protection des données)

Champ d’application matériel du RGPD

Traitements de données à caractère personnel visés

Le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (RGPD, art. 2, § 1). Cette définition reprend mot pour mot celle de l’ancienne directive 95/46/CE du 24 octobre 1995. Le RGPD s’applique aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel, mais ne s’applique pas aux traitements des données à caractère personnel qui concernent les personnes morales, y compris le nom, la forme juridique et les coordonnées de la personne morale ( Règl. n° (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 14). Notons que cette définition pose un principe de neutralité technologique ( Règl. n° (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 15).

Traitements de données à caractère personnel exclus

Sont en revanche exclus les traitements effectués (RGPD, art. 2, § 2) :

• dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
• par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre II du titre V du traité de l’UE (politiques relatives aux contrôles aux frontières, à l’asile et à l’immigration) ;
• par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
• par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Autrement dit, sont logiquement exclus les traitements effectués dans le cadre de politiques qui ne relèvent pas de la compétence de l’Union mais de celle des États membres, ainsi que ceux réalisés par des personnes physiques dans le cadre de leur vie privée. Ces deux catégories d’exclusion étaient déjà prévues par la directive 95/46/CE, bien qu’exprimées différemment. Les services numériques ont toutefois évolué et les activités personnelles ou domestiques pourraient inclure l’échange de correspondance et la tenue d’un carnet d’adresses, mais aussi l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités ( Règl. n° (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 18). Toutefois, le RGPD s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. En d’autres termes, les fournisseurs de services de réseaux sociaux, tel Facebook, sont soumis au RGPD.

Articulation de normes UE relatives aux traitements de données à caractère personnel

Le RGPD sert de texte général auquel les autres doivent se conformer. Son article 98 prévoit expressément le réexamen d’autres actes juridiques de l’Union relatifs à la protection des données. Il indique ainsi que la Commission européenne présente, au besoin, des propositions législatives en vue de modifier d’autres actes juridiques de l’Union relatifs à la protection des données à caractère personnel, afin d’assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement. Cela concerne en particulier les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par des institutions, organes et organismes de l’Union et à la libre circulation de ces données. A cette fin, une proposition de règlement a été présentée le 10 janvier 2017 [Doc. COM (2017) 8 final], afin de réviser le règlement (CE) n^o 45/2001. Ce projet a abouti à l’adoption du règlement (UE) 2018/1725 ( Règl. (UE) 2018/1725 du Parlement européen et du Conseil, 23 oct. 2018 ).

Le RGPD n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l’Union en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE, dite e-Privacy (RGPD, art. 95 ). Autrement dit, par application de l’adage selon lequel les règles spéciales dérogent aux règles générales, la directive e-Privacy prime le RGPD pour toutes les questions qu’elle régit. A contrario, le RGPD peut venir utilement la compléter pour les questions qu’elle ne prévoit pas.

Articulation de normes UE relatives à la société de l’information

L’article 2, § 4 du RGPD prévoit expressément une autre règle d’articulation des normes. La directive 2000/31/CE dite « commerce électronique », et notamment ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires, n’est en revanche pas remise en cause par le RGPD. Ces dispositions posent des règles d’irresponsabilité conditionnelle au profit des intermédiaires techniques, selon lesquelles dès lors qu’ils n’ont qu’un rôle neutre, technique et passif, sans aucune incidence sur le contenu, ils ne peuvent en être rendus responsables. Cette règle d’irresponsabilité vaut en matière de responsabilité délictuelle en cas de contenu ou agissement illicite mais aussi, désormais, en matière de responsabilité des traitements de données personnelles. Il semble toutefois que, si des fournisseurs de services numériques sont qualifiés à la fois d’hébergeurs et de responsables du traitement dans le cadre de cette activité, ils ne peuvent logiquement s’extraire de l’application du RGPD. L’exclusion ne vaut que pour les activités qu’ils hébergent ou auxquelles ils donnent accès, sans être eux-mêmes responsables du traitement. Naturellement, l’antériorité de la directive 95/46/CE exclut toute référence à cette directive « commerce électronique ».

Articulation de normes UE relatives à la réutilisation des données

Le règlement sur les données (Régl. n° (UE) 2023/2854 du Parlement européen et du Conseil, 13 déc. 2023 : JOUE n° L, 22 déc., dit Data Act) adopté le 27 novembre 2023, vise à faciliter la réutilisation de données générées par l’utilisation d’objets connectés, notamment en fixant l’obligation de les rendre accessibles. En vertu de ce texte, une personne utilisatrice d’objets ou services connectés, a un droit d’accès aux données non personnelles générées à cette occasion (art. 4) et un droit à la portabilité de ses données (art. 5). Le Data Act prévoit en son article 1, § 5 qu’en cas de conflit entre ses dispositions et les normes de protection des données personnelles européennes et celles de droit national qui les appliquent, ces dernières prévalent. Le règlement supprime les obstacles au changement de service de traitement des données et introduit des mesures pour lutter contre l’accès international illicite des autorités publiques des pays tiers aux données à caractère non personnel. Afin de faciliter le partage des données, des normes d’interopérabilité sont également prévues.

Articulation des normes UE avec les normes internationales sur la protection de données personnelles

Les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou organismes internationaux, conclus par les États membres avant le 24 mai 2016, restent en vigueur jusqu’à leur modification, leur remplacement ou leur révocation, s’ils respectent le droit de l’Union tel qu’il est applicable avant cette date (RGPD, art. 96 ).

Champ d’application territorial du RGPD

Le champ d’application territorial prévu à l’article 3 est une des dispositions majeures du RGPD. Le législateur européen a souhaité protéger le plus amplement possible les données personnelles des Européens. Aussi a-t-il consacré un champ d’application large, au point que l’on peut parler d’extraterritorialité. Si l’on se réjouit de cet objectif sur le principe, on peut toutefois douter de l’efficacité du dispositif. En particulier, le système consacré par le RGPD repose sur la capacité des autorités nationales de contrôle à vérifier le respect des règles a posteriori et à sanctionner lourdement les manquements, aussi est-il indispensable que ces dernières puissent exercer leur contrôle hors UE, ce dont il est permis de douter.

Critère de rattachement au lieu d’établissement du responsable du traitement ou d’un sous-traitant

Tout d’abord, le RGPD s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union (RGPD, art. 3, § 1). Si le critère du lieu d’établissement du traitement était déjà consacré par la directive 95/46/CE, une première nouveauté tient ici au fait que l’on prend désormais aussi en considération le lieu d’établissement du sous-traitant. En effet, la responsabilité de ce nouvel acteur étant désormais susceptible d’être engagée, il est logique par souci d’efficacité de prendre aussi en considération sa situation géographique pour décider de l’application du RGPD.

Critère de rattachement du lieu de situation des personnes concernées

Le RGPD prévoit désormais un deuxième critère de rattachement tenant à la situation géographique des personnes concernées par les traitements de données à caractère personnel (RGPD, art. 3, § 2). Quand ces dernières se situent sur le territoire de l’Union, le RGPD aura vocation à s’appliquer, alors même que le responsable du traitement ou un sous-traitant ne l’est pas, dans deux hypothèses :

• lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ;
• lorsque de telles activités sont liées au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

La simple accessibilité du site internet du responsable du traitement, d’un sous-traitant ou d’un intermédiaire dans l’Union, d’une adresse électronique ou d’autres coordonnées, ou l’utilisation d’une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention. En revanche, des facteurs tels que l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union, peuvent indiquer clairement que le responsable du traitement envisage d’offrir des biens ou des services à des personnes concernées dans l’Union ( Règl. n° (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 23). Ces critères ont déjà été retenus par la Cour de justice dans les arrêts Pammer et Hôtel Alpenhof ( CJUE, 7 déc. 2010, aff. C-585/08 ). L’objectif ici est de tenir compte des activités des services numériques pour lesquelles les opérateurs sont souvent situés aux États-Unis et opèrent dans l’Union tout en refusant d’en appliquer les règles. Est pris en compte le fait que le service proposé peut l’être à titre gratuit, ce qui est nécessaire dans la mesure où la gratuité des services est souvent compensée par la collecte des données personnelles ou la publicité, souvent ciblée. En revanche, on peut être circonspect face à la notion de « suivi du comportement » dont les contours sont difficiles à percevoir, même si elle comprend l’idée de traçabilité et de profilage sous-entendue ici. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit ( Règl. n° (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 24).

Définitions des principales notions

L’article 4 comporte 26 définitions de notions dont certaines font leur apparition dans le RGPD, alors que d’autres ne sont pas nouvelles mais reçoivent une acception différente. Sans prétendre à l’exhaustivité à ce stade, notons que la principale définition est sans conteste celle des données à caractère personnel.

Notion de donnée à caractère personnel

Le RGPD entend par donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable (personne concernée) ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (RGPD, art. 4, 1). La définition donnée n’est pas fondamentalement différente de celle issue de la directive 95/46/CE mais l’énumération est élargie.

Notion de traitement de données à caractère personnel

La notion de traitement de données à caractère personnel n’a pas non plus significativement changé. Elle constitue toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (RGPD, art. 4, 2).

Notion de fichier

Les données ainsi traitées doivent être mises dans un fichier dont la définition n’a pas changé. Il s’agit de tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique (RGPD, art. 4, 6).

Notion de responsable du traitement

La responsabilité pèse sur le responsable du traitement qui est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (RGPD, art. 4, 7). Il peut y avoir une coresponsabilité entre deux ou plusieurs responsables du traitement mais aussi désormais avec le sous-traitant.

Notion de sous-traitant

Le sous-traitant est défini comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (RGPD, art. 4, 8).

Notion de destinataire

Le destinataire est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers, à l’exception des autorités publiques qui en reçoivent communication dans le cadre d’une mission d’enquête (RGPD, art. 4, 9).

Principes généraux du RGPD

Principes relatifs au traitement des données à caractère personnel

Les données à caractère personnel doivent être (RGPD, art. 5, § 1) :

• traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
• collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (limitation des finalités) ;
• adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
• exactes et, si nécessaire, tenues à jour (exactitude) ;
• conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (limitation de la conservation) ;
• traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

Ces principes de licéité, loyauté, exactitude, intégrité, confidentialité, ainsi que finalité, minimisation et limitation de conservation sont des principes essentiels déjà reconnus ou sous-entendus par la directive 95/46/CE. Ils doivent guider le responsable du traitement puisqu’il est désigné comme étant responsable du respect de ces principes. Il doit logiquement être en mesure de prouver leur respect (RGPD, art. 5, § 2). Ces principes valent pour tous traitements sauf exceptions explicitement prévues.

Licéité du traitement

Conditions de licéité du traitement

Les conditions de licéité du traitement existaient déjà en leur principe dans la directive 95/46/CE, même si leur expression était différente. Le traitement n’est licite que si au moins une des conditions suivantes est remplie (RGPD, art. 6, § 1) :

• la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
• le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ;
• le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
• le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
• le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Cette dernière disposition ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. Le RGPD précise les dispositions plus spécifiques pour appliquer les règles des points c) et e) de l’article 6, § 2 tenant aux autorités publiques. Une marge de manœuvre est ici laissée aux États membres pour maintenir ou introduire des dispositions plus spécifiques. En outre, le paragraphe 3 se réfère au droit des États membres, ce qui engendrera une disparité normative.

Par ailleurs, les deux premières hypothèses font jouer un rôle essentiel à la personne concernée dès lors qu’elle a consenti ou qu’elle a conclu un contrat.

Changement de finalité du traitement

Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre, le responsable du traitement doit déterminer s’il est compatible avec la finalité initiale. Il tient compte, entre autres (RGPD, art. 6, § 4) :

• de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
• du contexte dans lequel les données à caractère personnel ont été collectées ;
• de la nature des données à caractère personnel ;
• des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
• de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Ces mesures permettent donc d’assouplir le principe de finalité posé à l’article 5.

Enfin, si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le RGPD (RGPD, art. 11, § 1).

Conditions applicables au consentement

Conditions générales applicables aux personnes majeures

Le consentement de la personne concernée consiste en toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (RGPD, art. 4 ). Son expression a été renforcée, en comparaison de la directive 95/46/CE qui visait toute manifestation de volonté, libre, spécifique et informée (RGPD, art. 2 ), sans nécessité d’un acte positif clair. Il pouvait donc être implicite.

L’article 7 précise le régime applicable aux traitements reposant sur le consentement de la personne concernée. D’abord, le responsable du traitement assume la charge de la preuve du fait que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant (§ 1). Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples (§ 2). Il est donc exclu que la collecte du consentement soit noyée dans des conditions générales de vente ou d’utilisation. Le consentement exprimant l’acceptation d’un contrat ne se confond pas avec le consentement au traitement des données personnelles et il faut donc en recueillir deux distincts. Sur les sites internet, le procédé de collecte doit faire l’objet d’une expression (case cochée par exemple) séparée des autres conditions d’utilisation du service ou d’expression de conclusion du contrat. En cas de violation de ces dispositions du RGPD, la déclaration ne sera pas contraignante.

En outre, le paragraphe 3 confère à la personne concernée le droit de retirer son consentement à tout moment, sous une forme aussi simple que son recueil. Afin de garantir une sécurité juridique du traitement qui a été à l’origine licite, ce retrait n’a pas pour effet de compromettre la licéité du traitement antérieurement fondé sur le consentement qui s’est alors exprimé valablement. La personne concernée en est informée avant de donner son consentement.

Le caractère libre du consentement est particulièrement difficile à apprécier, aussi le RGPD prévoit qu’il convient de regarder si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel et si ce traitement est nécessaire à l’exécution dudit contrat (§ 4). Il apparaît en effet que des contrats de services, souvent gratuits, peuvent être offerts, en échange de collecte de données dont certaines peuvent ne pas être nécessaires à l’exécution du service mais sont destinées à être valorisées pour compenser la gratuité du service. Le législateur européen, conscient de ces dérives du modèle économique de nombreux services en ligne, tente ici de les juguler.

Conditions spécifiques applicables aux enfants en ce qui concerne la société de l’information

Le législateur européen a également conscience que de nombreux jeunes enfants ou adolescents accèdent à des services en ligne en ayant manifesté un consentement peu libre et éclairé. Aussi, l’article 8 tend-il à les protéger. Lorsque la licéité du traitement repose sur le consentement de la personne concernée (RGPD, art. 6, § 1, a) en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant (RGPD, art. 8, § 1). Cependant, une marge de manœuvre est laissée aux États membres qui peuvent prévoir par la loi un âge inférieur sans aller au-dessous de 13 ans. En outre, le droit général des contrats des États membres, notamment les règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant, a aussi vocation à s’appliquer (RGPD, art. 8, § 3). Il appartient au responsable du traitement de s’efforcer raisonnablement de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles (RGPD, art. 8, § 2).

Dispositions spécifiques à certaines données ou certains traitements

Dispositions propres à certaines catégories de données (données sensibles)

Énumération des données sensibles

Les données dites sensibles font l’objet d’une protection renforcée (RGPD, art. 9 ). Si la directive 95/46/CE les protégeait déjà (RGPD, art. 8 ), cette catégorie de données a été élargie. Désormais, sont concernés les traitements des données à caractère personnel qui révèlent : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Le principe est que les traitements de telles données sont interdits (RGPD, art. 9, § 1).

Les données génétiques sont les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question (RGPD, art. 4, § 13). Les données biométriques sont celles résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques (RGPD, art. 4, § 14). Quant aux données concernant la santé, il s’agit des données relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne (RGPD, art. 4, § 15).

Exceptions au principe d’interdiction de traitement des données sensibles

Le principe d’interdiction de traitement de ces données ne s’applique pas si l’une des conditions suivantes est remplie (RGPD, art. 9, § 2) :

• la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;
• le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
• le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
• le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
• le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
• le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un 'État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;
• le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ;
• le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ;
• le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Certaines exceptions étaient déjà prévues par la directive 95/46/CE mais elles sont bien plus nombreuses désormais, ce qui réduit d’autant la protection des personnes concernées. En outre, les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé (RGPD, art. 9, § 4).

Dispositions propres à certaines catégories de données (données relatives aux condamnations pénales et aux infractions)

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes ne peut être effectué que sous le contrôle de l’autorité publique ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique (RGPD, art. 10 ).

Cette disposition exclut donc qu’un acteur privé puisse réaliser un tel traitement de sa seule initiative, sans lien avec une autorité publique, ce qui est justifié par la nature des données relevant des fonctions régaliennes de l’État.

Dispositions spécifiques relatives à des situations particulières de traitements

Les articles 85 à 91 du RGPD posent des règles spéciales liées à certaines situations.

Traitement et liberté d’expression et d’information

Les États membres doivent concilier par la loi, le droit à la protection des données à caractère personnel et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire (RGPD, art. 85, § 1). Dans le cadre du traitement réalisé à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, les États membres prévoient des exemptions ou des dérogations au chapitre II (principes), au chapitre III (droits de la personne concernée), au chapitre IV (responsable du traitement et sous-traitant), au chapitre V (transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales), au chapitre VI (autorités de contrôle indépendantes), au chapitre VII (coopération et cohérence) et au chapitre IX (situations particulières de traitement) du RGPD (§ 2). Chaque État membre notifie à la Commission européenne les dispositions légales qu’il a adoptées et toute modification ultérieure (§ 3). De telles dispositions créent également des disparités entre les législations nationales.

Traitement et accès du public aux documents officiels

Les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l’Union ou au droit de l’État membre, afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel (RGPD, art. 86 ).

Traitement du numéro d’identification national

Les États membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale. Ce dernier n’est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée (RGPD, art. 87 ).

Rappelons que l’usage du numéro d’identification national est particulièrement sensible et contrôlé, ayant été à l’origine en France de la loi du 6 janvier 1978 à la suite de l’affaire Safari (Système automatisé pour les fichiers administratifs et le répertoire des individus, qui prévoyait en 1974 d’interconnecter tous les fichiers de l’administration française et n’a pas vu le jour face au tollé provoqué par ce fichage des Français). Il faut noter là encore la marge de manœuvre laissée aux États membres.

Traitement de données dans le cadre de la relation de travail

Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail (RGPD, art. 88, § 1).

Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail (RGPD, art. 88, § 2).

La marge de manœuvre ainsi laissée aux États membres implique que ces derniers notifient à la Commission européenne les dispositions légales adoptées (RGPD, art. 88, § 3). Le responsable du traitement devra donc se soumettre également à la loi nationale, en plus du respect des exigences du RGPD.

Si la réglementation nationale ne respecte pas les conditions et limites prescrites par l’article 88 du RGPD pour la création de règles nationales plus spécifiques, celle-ci est inapplicable de plein droit en vertu du principe de primauté de l’Union et doit être écartée. Les traitements de données personnelles sont alors directement régis par le RGPD. Toutefois, la réglementation nationale qui ne respecterait pas l’article 88 du RGPD pourrait tout de même constituer une base légale aux traitements de données personnelles en vertu de l’article 6, § 1 du RGPD et pourrait dès lors ne pas être écartée si elle respecte les conditions particulières prévues par l’article 6, § 3 du RGPD ( CJUE, 1^re ch., 30 mars 2023, aff. C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer ).

Traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis à des garanties appropriées pour les droits et libertés de la personne concernée, telle la mise en place de mesures techniques et organisationnelles, comme la pseudonymisation, en particulier pour assurer le respect du principe de minimisation des données. Des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21 sont possibles, sous réserve de respecter ces garanties (RGPD, art. 89 ).

Contrôle des traitements et respect du secret

Les États membres peuvent adopter des règles spécifiques afin de définir les pouvoirs des autorités de contrôle à l’égard des responsables du traitement ou des sous-traitants soumis, en vertu du droit de l’Union ou du droit d’un État membre ou de règles arrêtées par les organismes nationaux compétents, à une obligation de secret professionnel ou à d’autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l’obligation de secret (RGPD, art. 90, § 1). Ces règles nationales doivent être notifiées à la Commission européenne (RGPD, art. 90, § 2).

Traitement des églises et associations religieuses

Lorsque, dans un État membre, des églises et associations ou communautés religieuses appliquent, à la date d’entrée en vigueur du RGPD, soit le 25 mai 2016, un ensemble complet de règles relatives à la protection des personnes physiques à l’égard du traitement, elles peuvent continuer d’appliquer lesdites règles, à condition de les mettre en conformité avec le RGPD (RGPD, art. 91 ).