Identification des catégories particulières de données
Données bénéficiant d’une protection particulière
Les données dites sensibles font l’objet d’une protection renforcée (RGPD, art. 9 ; L. n° 78-17, 6 janv. 1978, art. 6 . Si la directive 95/46/CE leur offrait déjà une protection plus élevée que les données « non sensibles » ( Dir. 95/46/CE du Parlement européen et du Conseil, 24 oct. 1995, art. 8), cette catégorie de données a été élargie. Désormais sont concernés les traitements des données révélant (RGPD, art. 9, § 1) :
- l’origine raciale ou ethnique ;
Remarque
La loi Informatique et libertés parle de « prétendue origine raciale ou origine ethnique » (L. n° 78-17, 10 janv. 1978, art. 6 ).
- les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ;
- les données génétiques ;
- les données biométriques aux fins d’identifier une personne physique de manière unique ;
- les données concernant la santé ;
- les données concernant la vie sexuelle ou l’orientation sexuelle.
Des données qui permettent indirectement de prendre connaissance de données sensibles doivent elles-mêmes être considérées comme des données sensibles et, par corrélation, se voir appliquer le régime très strict établi les concernant ( CJUE, 1er août 2022, aff. C-184/20 ).
Point de vue de l’AFCDP |
---|
On notera que si le RGPD mentionne dans son considérant 10 « le traitement de catégories particulières de données à caractère personnel (ci-après dénommées « données sensibles ») », cette dénomination de « données sensibles » ne figure nulle part ailleurs dans le texte. Ces données sont définies à l’article 9 et traitées dans tout le RGPD sous la dénomination « catégories particulières de données ». |
Identification des données sensibles
Données révélant l’origine raciale ou ethnique
Il s’agit ici de toutes les données permettant de donner une indication quant à l’origine raciale ou ethnique de la personne concernée.
Remarque
Exemple : les données relatives à la couleur de la peau ( Délib. CNIL no 2007-008, 18 janv. 2007 ) ont pu être considérées comme des données sensibles. A l’inverse, n’ont pas été considérées comme des données révélant l’origine les données relatives au pays de naissance de la personne concernée ( CE, 30 déc. 1998, no 188233 ) ou du pays de naissance de ses parents ( CE, 11 janv. 2006, no 267251 ).
Seules les données objectives sont autorisées, telles que l’origine géographique. Le Conseil constitutionnel a ainsi censuré une disposition de la loi relative à la maîtrise de l’immigration, à l’intégration et à l’asile : « Si les traitements nécessaires à la conduite d’études sur la mesure de la diversité des origines des personnes, de la discrimination et de l’intégration peuvent porter sur des données objectives, ils ne sauraient, sans méconnaître le principe énoncé par l’article 1er de la Constitution, reposer sur l’origine ethnique ou la race » ( Cons. const., déc., 15 nov. 2007, no 2007-557 DC ).
Données révélant les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale
C’est le cas par exemple des données d’inscription sur le registre des baptêmes ( Cass. 1re civ., 19 nov. 2014, no 13-25.156 ) ou encore les informations recueillies par Facebook relatives aux « opinions religieuses » dans la rubrique « ajoutez vos croyances religieuses » ( Délib. CNIL no 2016-007, 14 janv. 2016 ).
A l’inverse n’ont pas été considérées comme des données révélant les opinions politiques, celles relatives à la participation électorale et l’abstention collectées à partir de listes d’émargement des différents scrutins ( CE, 10 mars 2004, no 252691 ).
Données génétiques
Le RGPD ajoute expressément les données génétiques parmi les données sensibles. Pour autant, en France, ces données étaient déjà considérées comme des données sensibles par la CNIL.
L’article 4, § 13 du RGPD les définit comme « toutes les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donne des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ».
Remarque
Ces données sont à distinguer des données de santé (envisagées infra) puisqu’elles ne révèlent pas nécessairement un état de santé mais constituent des moyens d’identifier une personne de manière quasi infaillible.
Données biométriques
Là encore, il s’agit d’un apport du RGPD, même si la CNIL dans sa pratique appréhendait déjà les données biométriques comme des données sensibles.
Le RGPD définit ces données comme « les données à caractère personnel résultant d’un traitement spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (RGPD, art. 4, § 14).
Le considérant 51 précise que les photographies ne devraient pas systématiquement être considérées comme des données biométriques. A notre sens, cela dépendra en réalité des éventuelles technologies de reconnaissances faciales, notamment pour l’intelligence artificielle, qui pourraient être utilisées.
Le Conseil de l’Europe a publié des lignes directrices sur la reconnaissance faciale à destination des gouvernements, des développeurs, des fabricants, des prestataires de services et des « entités utilisatrices ». Elles ont été élaborées par le Comité consultatif de la « Convention 108 + » pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ( Lignes directrices 28 janv. 2021 ). Les lignes directrices insistent sur l’obligation de consulter systématiquement, en amont de tous projets, les autorités de contrôle et encouragent le recours aux mécanismes de certifications.
Données de santé
L’article 4, § 15 du RGPD précise qu’il faut entendre par données de santé toutes « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Remarque
Exemple : il peut s’agir d’un symbole, élément spécifique, attribué à une personne physique pour l’identifier de manière unique (ex. : le NIR ou numéro de sécurité sociale) ou encore des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle. Peut encore être considérée comme une donnée de santé toute information concernant une maladie, un handicap un risque de maladie, les antécédents médicaux, etc. ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 35).
Point de vue de l’AFCDP |
---|
La notion de donnée de santé est large. Elle s’apprécie au cas par cas. La CNIL distingue trois catégories. Il peut s’agir des données de santé par nature, des données qui deviennent des données de santé par leur croisement dans la mesure où elles permettent de tirer des informations sur l’état de santé de la personne, des données qui deviennent des données de santé en raison de leur destination. Cette définition extensive peut amener à envisager un traitement comme traitant des données de santé, alors même que les données ne seraient pas relatives à la santé « par nature » lorsqu’elles sont prises isolément. |
C’est la CJCE la première qui a défini la notion de donnée de santé au regard de la directive 95/46 de 1995, dans l’arrêt Bodil Lindqvist ( CJCE, 6 nov. 2003, aff. C-101/01, Lindqvist ) et considéré que « l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé ».
Sous le régime de l’ancienne loi Informatique et libertés, la CNIL et la jurisprudence avaient pu considérer que constituaient des données de santé les données relatives aux addictions, à la dépendance, aux motivations à l’arrêt du tabagisme par exemple ( Délib. CNIL no 2013-282, 10 oct. 2013 ). A l’inverse, n’avait pas été considérée comme une donnée de santé la mention du taux d’incapacité ou d’invalidité de son conjoint ou partenaire dans la mesure où cela ne permet pas de déterminer la nature du handicap ( CE, 28 mars 2014, no 361042 ).
Remarque
Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet, dans le respect des conditions de l’article L. 1111-7 du code de la santé publique (L. n° 78-17, 10 janv. 1978, art. 64 ).
Données concernant la vie sexuelle ou l’orientation sexuelle de la personne concernée
Le RGPD apporte une précision, même si la CNIL considérait déjà les données relatives à la vie ou l’orientation sexuelle comme des données sensibles.
Pour la CJUE, les informations « susceptibles de divulguer indirectement l’orientation sexuelle d’une personne physique constitu[ent] un traitement portant sur des catégories particulières de données à caractère personnel » ( CJUE, 1er août 2022, aff. C-184/20 ).
Point de vue de l’AFCDP |
---|
Les données relatives à la vie sexuelle étaient déjà considérées comme sensibles par la directive et par la loi Informatique et libertés. La précision concerne l’orientation sexuelle. |
Le cas du NIR
L’urgence sanitaire
Le NIR est le numéro d’inscription au Répertoire national d’identification des personnes physiques (RNIPP) de l’Insee. L’article L. 1111-8-1 du code de la santé publique précise qu’il est utilisé comme identifiant de santé des personnes pour leur prise en charge à des fins sanitaires et médico-sociales.
La loi d’accélération et de simplification de l’action publique du 7 décembre 2020, dite « ASAP » ( L. no 2020-1525, 7 déc. 2020 : JO, 8 déc.), a modifié l’article L. 1111-8-1 du code de santé publique pour permettre aux services de santé au travail d’utiliser l’identifiant de santé des personnes pour leur prise en charge. Les données de santé sont collectées, transmises et conservées dans le respect du secret professionnel et des référentiels de sécurité et d’interopérabilité mentionnés à l’article L. 1110-4-1 du code de santé publique. Un décret en Conseil d’État, pris après avis de la CNIL, doit fixer les modalités autorisant l’utilisation de cet identifiant et empêchant son utilisation à des fins autres que sanitaires et médico-sociales.
Les traitements de données à caractère personnel dans le domaine de la santé ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites peuvent utiliser le NIR lorsqu’une telle utilisation constitue le seul moyen de collecter des données de santé à caractère personnel nécessaires pour faire face à l’urgence sanitaire. Le NIR est collecté soit directement auprès des personnes concernées, soit indirectement auprès de leurs proches ou de toutes personnes morales habilitées à traiter ce numéro dans le cadre de leurs missions ou activités. Sa transmission et sa conservation sur support électronique ou numérique font l’objet d’un chiffrement conforme aux recommandations, aux référentiels ou aux règlements types adoptés par la CNIL. Il est conservé pour la durée nécessaire à l’appariement de données ( D. no 2019-536, 29 mai 2019, art. 86 : JO, 30 mai).
Les autres cas
Un décret du 19 avril 2019 liste les catégories de responsables de traitement et les finalités au vu desquelles ces traitements peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le NIR ( D. no 2019-341, 19 avr. 2019 : JO, 21 avr. ; L. n° 78-17, 6 janv. 1978, art. 30 . Huit secteurs sont concernés :
- la protection sociale ;
- la santé ;
- les champs du travail et de l’emploi du secteur privé et du secteur public ;
- les champs financier, fiscal, douanier ;
- la justice ;
- les champs de la statistique publique et du recensement ;
- l’éducation ;
- le logement.
Ne sont pas concernés les traitements ayant comme finalité exclusive de réaliser une opération cryptographique sur le NIR.
Des exceptions sont apportées pour :
- les traitements ayant exclusivement des finalités de statistiques publiques mis en œuvre par le service statistique public et ne comportant ni données sensibles ni données relatives à des condamnations pénales, infractions ou mesures de sûreté ;
- les traitements ayant exclusivement des finalités de recherche scientifique ou historique ;
Remarque
Pour ces deux types de traitements, la loi Informatique et libertés impose des garanties : le NIR doit avoir fait l’objet d’une opération cryptographique lui substituant un code statistique non signifiant, à renouveler à une fréquence définie par le Conseil d’État, après avis de la CNIL.
- les traitements qui ont pour objet de mettre à la disposition des usagers de l’administration un téléservice de l’administration électronique.
Conditions relatives au traitement de données sensibles
Principe d’interdiction de traitement des données sensibles
Le RGPD prévoit sans équivoque que les traitements de données dites sensibles sont interdits (RGPD, art. 9 ). Cette interdiction se justifie notamment en raison de la nature de ces données.
En effet, les données dites sensibles sont des données éminemment personnelles qui sont susceptibles de conduire à des discriminations si elles sont révélées ou traitées pour des finalités ou selon des modalités ne garantissant pas à la personne concernée une protection de ses droits et libertés. C’est la raison pour laquelle le traitement de cette catégorie de données est par principe interdit.
Remarque
La CNIL a d’ailleurs adressé un avertissement à un club sportif qui souhait recourir à la reconnaissance faciale pour contrôler les interdits de stade, en lui rappelant qu’en l’absence de disposition législative ou réglementaire spéciale, la mise en œuvre d’un tel dispositif à des fins de lutte antiterroriste est illicite (CNIL, 18 févr. 2021).
Enquête de concurrence de la Commission européenne
Le juge des référés du Tribunal de l’Union européenne a sursis à l’exécution d’une partie de la décision de la Commission européenne qui demandait à Facebook la production de documents, dans le cadre d’une enquête de concurrence. Facebook faisait valoir que certains de ces documents contenaient des données à caractère personnel sensibles, sans lien avec ses activités commerciales, et donc selon elle, dénués de pertinence pour l’enquête. Le juge des référés a partiellement accueilli sa demande en considérant qu’il n’existe, pour le moment, aucune mesure pour protéger les personnes concernées. Il demande à Facebook d’identifier les documents contenant des données sensibles, lesquels seront placés « dans une salle de données virtuelle qui sera accessible à un nombre aussi restreint que possible de membres de l’équipe chargée de l’enquête », puis ils seront ensuite versés au dossier s’ils sont considérés comme pertinents. Le juge a, en outre, ajouté qu’« il ne saurait être exclu que le juge du fond considère que la décision attaquée n’est pas conforme à l’article 18, § 3, du règlement 1/2003 (relatif à la mise en œuvre des règles de concurrence prévues aux articles 81 et 82 du traité) en l’absence d’une méthode de vérification de pertinence assortie de garanties appropriées et spécifiques pour la sauvegarde des droits des personnes concernées » ( TUE, 29 oct. 2020, aff. T-451/20 R, Facebook Ireland Ltd c/ Commission européenne ).
Exceptions au principe d’interdiction de traitement des données sensibles
Les exceptions prévues par le RGPD
Le RGPD autorise le traitement des données sensibles dans les cas suivants (RGPD, art. 9, § 2) :
- la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel ;
- le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
- e traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
- le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
- le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
- le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
- le traitement est nécessaire pour des motifs d’intérêt public important ;
- le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ;
- le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux ;
- le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Les exceptions prévues par la loi Informatique et libertés
La loi Informatique et libertés va au-delà de la liste des exceptions qui permettent de traiter des données sensibles, dans le cadre des marges de manœuvre laissées par le RGPD (L. n° 78-17, 10 janv. 1978, art. 44 ). Elle reprend bien sûr la liste des exceptions de l’article 9 du RGPD, mais y ajoute les cas suivants :
- le traitement est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose, en raison de ses fonctions, l’obligation de secret professionnel ;
- le traitement statistique est réalisé par l’Insee ou l’un des services statistiques ministériels ;
- le traitement comporte des données concernant la santé justifié par l’intérêt public ;
- les données biométriques sont strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;
- le traitement porte sur la réutilisation d’informations publiques dans les décisions de justice (données anonymisées de l’Open Data) ;
- le traitement est nécessaire à la recherche publique, sous réserve que des motifs d’intérêt public le rendent nécessaire.
Focus sur le consentement explicite de la personne concernée
Un responsable du traitement peut traiter des catégories particulières de données lorsqu’il obtient de la personne concernée son consentement pour mettre en œuvre un tel traitement. Toutefois, il faut noter que pour les données sensibles, est requis le consentement « explicite » de la personne concernée via un acte positif et permettant à la personne d’être clairement informée notamment sur les finalités du traitement. Le consentement dit explicite diffère néanmoins du consentement « normal » de l’article 6 du règlement.
Remarque
Dans ses lignes directrices sur le consentement ( Lignes directrices du G29 WP259, 28 nov. 2017 ), le CEPD précise qu’un consentement peut être considéré comme explicite lorsque la personne concernée a rempli et signé une déclaration écrite ou lorsqu’elle a rempli un formulaire électronique ou rempli un email en intégrant un document avec sa signature. Il est également possible d’obtenir un consentement explicite en ayant recours à un procédé de signature électronique. Le CEPD avait adopté une position différente dans son avis sur le consentement ( Avis du G29 no 15/2011 (WP187), 13 juill. 2011 ) et renforce les conditions d’obtention d’un consentement explicite. Le CEPD précise également qu’il est possible d’obtenir un consentement explicite en ayant recours à des mécanismes de double vérification du consentement.
Le consentement de la personne est considéré comme avoir été valablement donné dans le cadre d’un traitement « Alicem » (authentification en ligne certifiée sur mobile) dans la mesure où, selon le Conseil d’État, pour la création d’identifiants électroniques, il n’existait pas d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Le recours au traitement de données biométriques autorisé par décret doit être regardé comme exigé par la finalité du traitement. Par ailleurs, le Conseil d’État a relevé que les téléservices accessibles via l’application « Alicem » l’étaient aussi par le biais de France Connect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Il n’y a donc pas de préjudice pour les usagers, leur consentement étant librement recueilli ( CE, 4 nov. 2020, no 432656 ).
Focus sur les données manifestement rendues publiques
Il s’agit de données que la personne concernée a volontairement rendues publiques. Un responsable du traitement ne pourra donc pas traiter des données sensibles mises à la disposition du public à l’insu de la personne concernée. Cela signifie également que la personne concernée doit avoir eu connaissance d’une telle publicité de ces données puisqu’elle en est à l’origine.
Remarque
Il existe des cas où la volonté de la personne concernée de rendre publiques certaines de ces informations est claire (ex. : publication d’autobiographies, déclarations lors d’une interview à la presse, etc.). A l’inverse, il existe des cas où le caractère manifestement public des données est plus difficile à caractériser, ce qui suscitera des questions lorsqu’un responsable du traitement souhaitera traiter des données qu’il considérait comme manifestement rendues publiques par la personne concernée.
S’agissant des réseaux sociaux, selon le CEPD, les éléments suivants peuvent être pertinents pour aider à évaluer si les données ont été manifestement rendues publiques par la personne concernée ( Lignes directrices no 8/2020, 13 avr. 2021 ) :
- le paramétrage par défaut de la plateforme de médias sociaux (c’est-à-dire si la personne concernée a fait une action pour changer ses paramètres privés par défaut en paramètres publics) ; ou
- la nature de la plateforme de médias sociaux (c’est-à-dire si cette plateforme a vocation à connecter des connaissances proches avec la personne concernée ou à nouer des relations intimes, telles que les plateformes de rencontres en ligne), ou s’il est destiné à fournir un plus large éventail de relations interpersonnelles, telles que les relations professionnelles, ou le « microblogging », le partage de médias, les réseaux sociaux plateformes de partage d’avis en ligne, etc. ; ou
- l’accessibilité de la page où les données sensibles sont publiées (c’est-à-dire si les informations sont accessibles au public ou si, par exemple, la création d’un compte est nécessaire avant d’accéder aux informations) ; ou
- la visibilité de l’information sur le caractère public des contenus publiés par les personnes concernées (c’est-à-dire s’il y a par exemple une bannière continue sur la page, ou si le bouton de publication informe la personne concernée que les informations seront rendues publiques…) ; ou
- si la personne concernée a elle-même publié les données sensibles, ou si, à l’inverse, les données ont été publiées par un tiers (par exemple une photo publiée par un ami qui révèle des données sensibles) ou déduites.
Le CEPD note que la présence d’un seul élément peut ne pas toujours suffire à établir que les données ont été « manifestement » rendues publiques par la personne concernée. En pratique, une combinaison de ces éléments ou d’autres éléments peut devoir être prise en compte pour que les responsables du traitement démontrent que la personne concernée a manifesté clairement l’intention de rendre les données publiques.
Le fait que les données aient été manifestement rendues publiques par les personnes n’exonère pas de justifier en amont d’une base légale : le consentement des personnes ou l’intérêt légitime de l’organisme qui va traiter les données.
Focus sur l’hébergement des données de santé
Le code de la santé publique encadre l’hébergement des données de santé par toute personne physique ou morale, à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même. Il s’agit donc d’un des cas de la loi Informatique et libertés rendant possible le traitement des données sensibles que sont les données de santé. La personne dont les données sont hébergées doit cependant avoir été préalablement informée du traitement et doit pouvoir s’y opposer pour tout motif légitime. Les hébergeurs de données de santé doivent être titulaires d’un certificat de conformité lorsque le support est numérique (C. santé publ., art. L. 1111-8 ).
Remarque
Sont considérées comme des activités d’hébergement (C. santé publ., art. R. 1111-9 ) :
- la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
- la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
- la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
- la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
- l’administration et l’exploitation du système d’information contenant les données de santé ;
- la sauvegarde des données de santé.
Le cas des traitements aux fins de journalisme et d’expression littéraire et artistique
L’interdiction de traiter des données sensibles connaît une exception lorsque le traitement est mis en œuvre aux fins :
- d’expression universitaire, artistique ou littéraire ;
- d’exercice à titre professionnel de l’activité de journaliste dans le respect des règles déontologiques de cette profession (L. n° 78-17, 10 janv. 1978, art. 80 ).
Cette dérogation à l’interdiction de principe posée par l’article 9 du RGPD et l’article 6 de la loi Informatique et libertés doit être nécessaire pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information.
Le cas des traitements mis en œuvre pour le compte de l’État
Sont autorisés, par décret en Conseil d’État, pris après avis de la CNIL, les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes (L. n° 78-17, 10 janv. 1978, art. 32 ).