Guidelines

Ici viendront les guidelines

Retour au sommaire

Union Européenne

Jurisprudence de la CJUE

C-101/01 (6 novembre 2003) - Bodil Lindqvist

1. L'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données .

2. Un tel traitement de données à caractère personnel ne relève d'aucune des exceptions figurant à l'article 3, paragraphe 2, de la directive 95/46.

3. L'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46.

4. Il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d'une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.

5. Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d'expression ou à d'autres droits et libertés applicables dans l'Union européenne et correspondant notamment à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales chargées d'appliquer la réglementation nationale transposant la directive 95/46 d'assurer un juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par l'ordre juridique communautaire.

6. Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.

Conclusions de l'Avocat général

Arrêt rendu

C-73/07 (16 décembre 2008) -Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy and Satamedia Oy

1.  L’article 3, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une activité qui consiste à:

• collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication;
• les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune;
• les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales;
• les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne;

doit être considérée comme un ‘traitement de données à caractère personnel’ au sens de cette disposition.

2. L’article 9 de la directive 95/46 doit être interprété en ce sens que les activités mentionnées à la première question, sous a) à d), concernant des données provenant de documents publics selon la législation nationale, doivent être considérées comme des activités de traitement de données à caractère personnel exercées «aux seules fins de journalisme» au sens de cette disposition, si lesdites activités ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées, ce qu’il appartient à la juridiction nationale d’apprécier.

3. Les activités de traitement de données à caractère personnel telles que celles visées par la première question, sous c) et d), concernant des fichiers des autorités publiques contenant des données à caractère personnel qui ne comprennent que des informations déjà publiées telles quelles dans les médias, relèvent du champ d’application de la directive 95/46.

Conclusions de l'Avocat général

Arrêt rendu 

C-212/13 (11 décembre 2014) - Ryneš

L’article 3, paragraphe 2, second tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, ne constitue pas un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition.

Conclusions de l'Avocat général

Arrêt rendu

C-25/17 (10 juillet 2018) - Jehovan todistajat

L’article 3, paragraphe 2, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que la collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.

Conclusions de l'avocat général

Arrêt rendu

C-345/17 (14 février 2019) - Buivids

1)     L’article 3 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que relèvent du champ d’application de cette directive l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci.

2)      L’article 9 de la directive 95/46 doit être interprété en ce sens que des circonstances de fait telles que celles de l’affaire au principal, à savoir l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci, peuvent constituer un traitement de données à caractère personnel aux seules fins de journalisme, au sens de cette disposition, pour autant qu’il ressorte de ladite vidéo que ledit enregistrement et ladite publication ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées, ce qu’il incombe à la juridiction de renvoi de vérifier.

Conclusions de l'avocat général

Arrêt rendu

C-311/18 (16 juillet 2020) - Facebook Ireland and Schrems

1.   L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

2. L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

3.   L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.

4.   L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.

5.   La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.

Conclusions de l'avocat général

Arrêt rendu

C-817/19 (21 juin 2022), Ligue des droits humains contre Conseil des ministres

)

L’article 2, paragraphe 2, sous d), et l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétés en ce sens que ce règlement est applicable aux traitements de données à caractère personnel prévus par une législation nationale visant à transposer, en droit interne, à la fois les dispositions de la directive 2004/82/CE du Conseil, du 29 avril 2004, concernant l’obligation pour les transporteurs de communiquer les données relatives aux passagers, de la directive 2010/65/UE du Parlement européen et du Conseil, du 20 octobre 2010, concernant les formalités déclaratives applicables aux navires à l’entrée et/ou à la sortie des ports des États membres et abrogeant la directive 2002/6/CE, et de la directive (UE) 2016/681 du Parlement européen et du Conseil, du 27 avril 2016, relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, pour ce qui est, d’une part, des traitements de données effectués par des opérateurs privés et, d’autre part, des traitements de données effectués par des autorités publiques relevant, uniquement ou également, de la directive 2004/82 ou de la directive 2010/65. En revanche, ledit règlement n’est pas applicable aux traitements de données prévus par une telle législation ne relevant que de la directive 2016/681, qui sont effectués par l’unité d’information passagers (UIP) ou par les autorités compétentes aux fins visées à l’article 1er, paragraphe 2, de cette directive. Arret de la cour Conclusions de l'avocat général C-306/21 (20 octobre 2022) - Koalitsia "Demokratichna Bulgaria - Obedinenie"  1)      L’article 2, paragraphe 2, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que : n’est pas exclu du champ d’application de ce règlement le traitement des données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre. 2)      L’article 6, paragraphe 1, sous e), et l’article 58 du règlement 2016/679, doivent être interprétés en ce sens que : ces dispositions ne s’opposent pas à ce que les autorités compétentes d’un État membre adoptent un acte administratif d’application générale qui prévoit la limitation ou, le cas échéant, l’interdiction de l’enregistrement vidéo du dépouillement du scrutin dans les bureaux de vote lors d’élections dans cet État membre. Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°31/2000 (21 mars 2000)

En cause : le recours en annulation totale ou partielle de la loi du 2 juin 1998 portant création d'un Centre d'information et d'avis sur les organisations sectaires nuisibles et d'une Cellule administrative de coordination de la lutte contre les organisations sectaires nuisibles (ci-après « loi attaquée »), introduit par l'a.s.b.l. Société anthroposophique belge et autres.

1. Il résulte tant de la loi du 8 décembre 1992, qui ne prévoit en effet aucune exception en la matière (voy. l’article 3, §§ 2, 3, 4 et 5), que des travaux préparatoires de la loi attaquée que la loi du 8 décembre 1992 est applicable au traitement des données personnelles par le Centre.

2. Le traitement de données à caractère personnel relatives aux opinions philosophiques ou religieuses est, selon cette loi, en principe interdit (article 6, § 1er), sauf les exceptions expressément mentionnées (article 6, § 2), parmi lesquelles figure le cas dans lequel, comme en l’espèce, « le traitement des données à caractère personnel […] est permis par une loi, un décret ou une ordonnance pour un autre motif important d’intérêt public » (littera l) et moyennant le respect des conditions particulières déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée (article 6, § 4).

3. La loi attaquée habilite le Centre à traiter des données à caractère personnel relatives aux opinions et aux activités philosophiques et religieuses pour l’accomplissement de ses missions visées à l’article 6, § 1er, 1°, de la loi attaquée - étudier le phénomène des organisations sectaires nuisibles en Belgique ainsi que leurs liens internationaux – et à l’article 6, § 1er, 3°, de la loi attaquée – assurer l’accueil et l’information du public et informer toute personne qui en fait la demande sur l’étendue de ses droits et obligations et sur les moyens de faire valoir ses droits.

4. Les garanties relatives à la confidentialité et à la sécurité des données à caractère personnel, le statut et les tâches d’un préposé à la protection des données au sein du Centre et la façon dont le Centre devra faire rapport à la Commission de la protection de la vie privée sur le traitement de données à caractère personnel sont fixés par le Roi, en application de l’article 6, § 3, alinéa 2, de la loi attaquée, dans un arrêté délibéré en Conseil des ministres. En adoptant cette disposition, le législateur a voulu prévoir des garanties particulières en la matière « vu le caractère particulièrement délicat des données sensibles que le Centre sera habilité à traiter ». Ces garanties, qui ne sauraient évidemment porter atteinte aux garanties contenues dans la loi du 8 décembre 1992, ne peuvent dès lors constituer que des garanties supplémentaires.

5. Le moyen n’est pas fondé en tant qu’il objecte que la loi attaquée entoure le traitement de données à caractère personnel par le Centre de moins de garanties que n’en prévoit le régime de droit commun.

Arrêt rendu

Cass. Be., P.16.1110.F (22 février 2017)

1. Le fichier est défini comme tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ; en application de la loi du 11 décembre 1998, la structure des données à caractère personnel doit permettre leur accessibilité selon des critères déterminés en telle sorte que ce ne sont pas les dossiers eux-mêmes, ni les contrats qui doivent faire l’objet d’une organisation ou d’une structuration mais les données qu’ils contiennent. (L. du 8 décembre 1992 ou « L. LVP », art. 1er)

2. Le niveau d’accessibilité à atteindre pour répondre à la qualification de fichier relève, en l’absence de prescription légale, de l’appréciation du juge du fond. (L. LVP, art. 1er)

3. En l’occurrence, le juge du fond considère que (i) ce sont les données à caractère personnel qui doivent faire l’objet d’un traitement au sein d’un fichier et (ii) qu’un contrat liant la banque à son client ne constitue pas un fichier au sens de la L. LVP. Par ces considérations, les juges d’appel n’ont pas confondu les notions de « données à caractère personnel », « traitement » et de « fichier » définies à l’article 1er de la L. LVP ni méconnu le champ d’application de ladite loi (art. 3). La Cour de cassation confirme la décision prise par la Cour d’appel en ce qu’elle conclut à la non-application de la L. LVP en l’absence de « fichier ». En outre, la Cour de cassation estime que les juges d’appel n’ont pas restreint le droit d’accès du demandeur lorsqu’ils ont considéré que les informations fournies par la banque étaient suffisantes à déduire qu’aucune opération n’avait été réalisée au moyen de la carte de crédit.

Arrêt rendu

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

C. const. Be., n°36/2021 (4 mars 2021)

En cause : le recours en annulation partielle de la loi du 7 mai 2019 « modifiant la loi du 7 mai 1999 sur les jeux de hasard, les paris, les établissements de jeux de hasard et la protection des joueurs, et insérant l’article 37/1 dans la loi du 19 avril 2002 relative à la rationalisation du fonctionnement  et  de  la  gestion  de  la  Loterie  Nationale »,  introduit  par l’ASBL « UBA-BNGO » et autres.

1. La Commission des jeux de hasard qui, dans le cadre du contrôle visé par la loi attaquée, sélectionne et traite les antécédents, est tenue de respecter les dispositions du RGPD et de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » (ci-après : « la loi du 30 juillet 2018 »).

2. Par ailleurs, la loi du 30 juillet 2018 s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnelcontenues ou appelées à figurer dans un fichier (article 2,alinéa1er) et au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge (article 4, alinéa 1er).

3. Du fait de l’applicabilité directe du RGPD dans la législation interne et de l’existence de la loi du 30 juillet 2018, le texte même des dispositions attaquées ne doit plus mentionner explicitement les conditions et obligations requises.

4. L’enquête d’antécédents qui sert à contrôler qu’il est satisfait à la condition que le demandeur de licence soit d’une conduite qui répond aux exigences de la fonction poursuit un but légitime et n’entraîne pas une ingérence disproportionnée dans le droit au respect de la vie privée, tel qu’il est garanti par les dispositions nationales et internationales précitées.

Arrêt rendu

C. const. Be., n°158/2021 (18 novemnbre 2021)

1. La Cour de justice […] exige seulement que « la base légale qui permet l'ingérence dans [le droit au respect de la vie privée] doit définir elle-même la portée de la limitation de l'exercice du droit concerné » (CJUE, 6 octobre 2020, C-623/17, Privacy international, point 65). Elle n'exige pas que tous les aspects de cette limitation soient réglés par une loi formelle.

Un contrôle de la disposition attaquée au regard de l'article 8 de la Convention européenne des droits de l'homme, des articles 7 et 8 de la Charte ou de l'article 5 du RGPD ne conduit dès lors pas à une autre conclusion, étant donné que ces dispositions ne permettent pas de déduire des exigences plus strictes en ce qui concerne le principe de la légalité formelle que celles qui découlent de l'article 22 de la Constitution.

La Cour constitutionnelle belge annule l'article 2 de la loi du 1er septembre 2016 « portant modification de l'article 127 de la loi du 13 juin 2005 relative aux communications électroniques et de l'article 16/2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité », uniquement en ce qu'il ne détermine pas les données d'identification qui sont collectées et traitées et les documents d'identification qui entrent en considération;

2. la Cour constitutionnelle belge maintient les effets de la disposition annulée jusqu'à l'entrée en vigueur d'une norme législative qui énumère ces données d'identification et ces documents d'identification et au plus tard jusqu'au 31 décembre 2022 inclus;

3 . En vertu de l’article 2, paragraphe 2, point a), du RGPD, ce règlement « ne s’applique pas au traitement de données à caractère personnel effectué dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ». En vertu de l’article 2, paragraphe 2, point d), du RGPD, il ne s’applique pas non plus au traitement des données à caractère personnel effectué par les autorités compétentes à des fins de protection et de prévention des menaces pour la sécurité publique.

Étant donné que la disposition attaquée n’est applicable que dans le cadre des missions des services de renseignement et de sécurité, elle ne relève pas du champ d’application du droit de l’Union européenne. Le moyen est dès lors irrecevable en ce qu’il est pris de la violation des dispositions invoquées de la Charte, du RGPD ou de la directive 2002/58/CE.

Arrêt rendu

C. const. Be., n°33/2022 (10 mars 2022)

1. Comme il ressort des articles 2, paragraphe 1, et 9, paragraphes 1 et 2, de la directive « police », des considérants 11, 12 et 34 de celle-ci, de l’article 2, paragraphe 2, point d), du RGPD et du considérant 19 de celui-ci, le traitement des données à caractère personnel par les autorités compétentes aux fins de justice pénale énoncées à l’article 1er, paragraphe 1, de la directive « police », précité, relève de cette directive, et non du RGPD. Le traitement des données à caractère personnel à des fins autres que les fins de justice pénale et qui relève du champ d’application du droit de l’Union, est par contre soumis au RGPD.

2. Les services de police sont donc soumis au titre 2 de la loi du 30 juillet 2018 lorsqu’ils traitent des données à caractère personnel en vue de l’une des fins de justice pénale énumérées à l’article 27 de la loi du 30 juillet 2018.

3. Les services de police sont en revanche soumis au RGPD et aux mesures d’exécution de celui-ci en droit interne pour les traitements de données à caractère personnel qu’ils effectuent à des fins autres que ces fins de justice pénale, par exemple pour les traitements à des fins de gestion des ressources humaines des services de police.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°97-81.748 (24 septembre 1998)

L'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'interdit pas de faire état d'informations diffusées par des systèmes informatiques rassemblant des données qui n'ont pas été traitées de manière à donner une définition du profil ou de la personnalité de l'intéressé. Ainsi, les juges peuvent comparer l'activité réelle d'un masseur-kinésithérapeute à l'activité moyenne de l'ensemble des masseurs-kinésithérapeutes définie par des statistiques établies aux niveaux national, régional et départemental, dès lors que ces informations ne sont pas nominatives.

Arrêt rendu

CE Fr., n°240023 (4 février 2004)

Si les dispositions de l'article 2 de la loi du 6 janvier 1978 font obstacle à ce qu'une juridiction saisie d'un litige dont la solution suppose l'appréciation d'un comportement humain fonde sa décision sur les seuls résultats d'un traitement automatisé d'informations, elles n'ont en revanche ni pour objet ni pour effet de lui interdire de prendre en compte, parmi d'autres éléments d'appréciation, les résultats d'un tel traitement.

Arrêt rendu

Cass. Fr., n°04-80.048 (16 mars 2004)

Il résulte de l'arrêt attaqué et des pièces de la procédure que, pour les besoins d'une enquête préliminaire portant sur des faits de vols aggravés auxquels se seraient livrés des individus d'origine roumaine, les services de gendarmerie ont regroupé sous forme de tableaux des informations obtenues tant d'un officier d'état civil que d'un témoin, à partir desquels ils ont, dans un procès-verbal de synthèse, dégagé les liens existant entre des personnes, des véhicules et des domiciles ;

L'utilisation d'un appareillage informatique ne suffit pas, à elle seule, à caractériser un traitement automatisé au sens de l'article 5 de la loi "informatique et libertés", et que rien ne permet de retenir que les informations collectées aient fait l'objet d'un traitement automatisé, ni même qu'elles aient été conservées au-delà de leur édition sur support papier.

Arrêt rendu

Cass. Fr., n°08-84-088 (13 janvier 2009)

Ne constituent pas un traitement de données à caractère personnel relatives à des infractions, au sens des articles 2, 9 et 25 de la loi n° 78-17 du 6 janvier 1978, les constatations visuelles effectuées sur Internet et les renseignements recueillis en exécution de l'article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons.

Arrêt rendu

CE Fr., n°323694 (26 novembre 2011)

Les dispositions de l'article R. 53-8-59 du code de procédure pénale (CPP), qui se bornent à prévoir, pour chaque personne retenue, la tenue d'un dossier individuel par le service administratif du greffe du centre socio-médico-judiciaire, accessible à des personnes limitatives énumérées, n'ont, par elles-mêmes, ni pour objet ni pour effet d'autoriser un traitement automatisé de données à caractère personnel. Les informations figurant dans ce dossier individuel ne constituent pas davantage un ensemble structuré et stable de données accessibles selon des critères déterminés, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978, susceptibles à ce titre d'être regardées comme donnant lieu à un traitement non automatisé de données personnelles contenues ou appelées à figurer dans un fichier, au sens du même article.

Arrêt rendu

Cass. Fr., n°10-81.748 (30 novembre 2011)

Le premier président retient, à bon droit, que les dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés sont inapplicables, dès lors que l'exécution d'une opération de visite et saisie, autorisée par le juge des libertés et de la détention, est réalisée sous son contrôle et son déroulement est susceptible d'un recours devant le premier président.

Arrêt rendu

Cass. Fr., n°11-26.099 (23 avril 2013)

1. Seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la CNIL.

2. Une simple mise à jour d'un logiciel de traitement de données à caractère personnel n'entraîne pas l'obligation pour le responsable du traitement de procéder à une nouvelle déclaration.

3. Doit être cassé l'arrêt qui retient que les données à caractère personnel enregistrées par les salariés étaient nominatives en sorte que la modification du traitement des données devait être préalablement déclarée à la CNIL sans rechercher si le passage d'un logiciel à un autre n'avait pas consisté en une simple mise à jour qui ne nécessitait pas une nouvelle déclaration.

Arrêt rendu

Cass. Fr., n°13-14.991 (8 octobre 2014)

Constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL.

Encourt la cassation l'arrêt qui, pour retenir la faute du salarié, se fonde uniquement sur des éléments de preuve obtenus à l'aide d'un tel système alors que l'illicéité d'un moyen de preuve doit entraîner son rejet des débats.

Arrêt rendu

CE Fr. n°353717 (23 mars 2015)

1. Il résulte des dispositions des articles 2 et 38 de la loi n°78-17 du 6 janvier 1978 que la mise en ligne sur le réseau internet d'une base de données de jurisprudence non totalement anonymisée doit être regardée comme un traitement automatisé de données à caractère personnel au sens de la loi du 6 janvier 1978, auquel s'applique le droit d'opposition qu'elle ouvre aux personnes concernées.

2. Il ne résulte ni des dispositions de l'article 46 de la loi n° 78-17 du 6 janvier 1978 ni de celles des articles 75 et 76 du décret n° 2005-1309 du 20 octobre 2005 que le délai ouvert au responsable du traitement pour formuler des observations écrites en réponse au rapport qui lui a été notifié par la CNIL doive être cumulé avec celui dans lequel il est informé de la date de la séance de la commission à l'ordre du jour de laquelle est inscrite l'affaire qui le concerne.

Arrêt rendu

CE Fr., n°372111 (18 novembre 2015)

1. Il résulte des dispositions de l'article 2 de la loi n°78-17 du 6 janvier 1978, dans sa rédaction issue de la loi n° 2004-801 du 6 août 2004, que cette loi s'applique y compris aux traitements non automatisés de données à caractère personnel, entendus comme toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

2. Par suite, la collecte, la conservation et la consultation des empreintes digitales effectuées sur le fondement de l'article 5 du décret n°55-1397 du 22 octobre 1955 instituant la carte nationale d'identité, sous la responsabilité du ministre de l'intérieur, entrent dans le champ d'application de la loi du 6 janvier 1978, nonobstant la circonstance que ces fichiers ne sont pas numérisés et qu'ils ne sont constitués et conservés qu'au seul niveau des préfectures, pour l'arrondissement du chef-lieu d'un département, ou des sous-préfectures, et des consulats.

3. Faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.

Arrêt rendu

CE Fr., n°386525 (8 juin 2016)

Il résulte des dispositions des articles 2 et 39 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qu'elles ne prévoient la communication des données à caractère personnel qu'à la personne concernée par ces données. Des personnes ne peuvent, en leur seule qualité d'ayants droit de la personne à laquelle se rapportent les données, être regardées comme des personnes concernées.

Arrêt rendu

Cass. Fr., n°15-22.595 (3 novembre 2016)

Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la CNIL.

Arrêt rendu

CE Fr., n°399446 (7 juin 2017)

1. Il résulte des dispositions des articles 2 et 39 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, que la communication de données à caractère personnel n'est possible qu'à la personne concernée par ces données. Par suite, la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de personne concernée par leur traitement au sens de ces dispositions.

2. Toutefois, lorsque la victime d'un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l'article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des personnes concernées au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée.

Arrêt rendu

CE Fr., n°431350 (27 mars 2020)

1. a) Une mise en relation de deux traitements existants qui consiste à rapprocher des données conservées dans l'un et l'autre en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre constitue en elle-même un traitement au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978.

b) Le cadre juridique applicable à un tel traitement dépend de la finalité ainsi poursuivie.

2. a) Le traitement créé par le décret n° 2019-412 du 6 mai 2019 qui met partiellement en relation les traitements dénommés HOPSYWEB relatifs au suivi des personnes en soins psychiatriques sans consentement et le traitement dénommé fichier des signalements pour la prévention de la radicalisation à caractère terroriste a pour finalité la prévention de la radicalisation à caractère terroriste.

b) i) Il s'ensuit qu'il relève, au même titre que ce dernier, des seules dispositions applicables aux traitements intéressant la sûreté de l'Etat et la défense aujourd'hui regroupées au sein du titre IV de la loi n° 78-17 du 6 janvier 1978 ainsi que des dispositions communes à l'ensemble des traitements figurant aujourd'hui au titre I.

ii) Il ne relève dès lors pas du champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi du 6 janvier 1978 relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable.

Arrêt rendu

Retour au sommaire

Le GDPR

Le champ d’application matériel du Règlement demeure inchangé par rapport à la Directive : il s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (art. 2  Règlement).

La définition de « donnée à caractère personnel » de l’article 4, 1) du Règlement n’innove pas réellement par rapport à celle de la Directive, mais se modernise dans sa tentative de rendre compte du caractère identifiable de la personne physique en cause : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

La notion de « traitement de données à caractère personnel » est quasi-identique à celle de la Directive, si ce n’est deux « opérations » ajoutées (« la structuration » et la « limitation » qui a pris la place du verrouillage »). La notion de « fichier» est quant à elle rigoureusement identique, à savoir « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique » (art. 4, 2).

La liste des traitements qui ne relèvent pas du Règlement a été à peine modifiée dans le cadre du deuxième paragraphe de l’article 2. Sont ainsi exclus les traitements qui sont effectués :

- dans le cadre d’une activité n’entrant pas dans le champ d’application du droit de l’Union ;

- par une personne physique dans le cadre d’une activité personnelle ou domestique ;

- par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union, au sens du chapitre 2 du titre V du traité sur l'Union européenne (seule « nouveauté » par rapport à la Directive).

Initialement, les traitements effectués par les autorités compétentes pour les finalités de prévention, d’investigation, de détection ou de poursuites de crime, l’exécution des sanctions criminelles, incluant la sauvegarde et la prévention des menaces contre la sécurité publique ne relevaient pas du champ d’application du Règlement. Toutefois, cette exclusion n’a pas été maintenue dans la version finale du Règlement. Ces traitements restent donc régis par le Règlement (cfr. le commentaire de l’article 10).

Le considérant 17 précise que les traitements effectués par les institutions, organes et organismes et agences de l’Union restent régis par le Règlement 45/2001 qui devra être adapté aux principes et aux règles du futur Règlement.

Le Règlement rappelle qu’il ne porte pas atteinte à l’application de la Directive 2000/31/EC dite « e-commerce » qui a pour objectif d’assurer la libre circulation des services de la société de l’information entre les États membres. Le Règlement s’applique donc sans préjudice des règles de responsabilité des intermédiaires prévues aux articles 12 à 15 de la Directive 2000/31/CE (cfr. considérant 21 et l’article 2 (4) du Règlement).

La Directive

La Directive s’appliquait au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier, qu’il s’agisse de traitement effectué par le secteur public ou privé.

La notion de traitement automatisé visait les dossiers manuels, dès l’instant où les données sont contenues ou destinées à être contenues dans un fichier.

Les définitions utiles à la compréhension du champ d’application matériel portaient donc logiquement sur la notion de « données à caractère personnel » (art. 2.a), « traitement de données à caractère personnel » (art. 2b) et « fichier de données à caractère personnel » (art. 2 c).

L'article 3, paragraphe 2, de la Directive prévoyait deux exceptions à son champ d'application : la première exception concerne les traitements mis en œuvre pour l’exercice d’activité hors champs d’application du droit communautaire comme les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives à des domaines du droit pénal. La seconde exception prévue à l'article 3, paragraphe 2, second tiret, de la Directive porte sur le traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques, telles que la correspondance et la tenue de répertoires d’adresses.

Belgique

Le champ d’application de la loi du 8 décembre 1992 est identique à celui de la Directive en ce qu’elle vise tant les traitements automatisés, que les traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier (art. 3, § 1er). Les définitions corrélatives sont quasi-identiques à celles de la Directive. S’agissant du traitement effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques, le législateur belge a transposé cette exclusion. Outre l’exclusion susmentionnée, le législateur belge a prévu que certaines dispositions de la loi du 8 décembre 1992 (relatives notamment aux données sensibles, aux droits des personnes, à l’obligation de notification,…) ne sont pas applicables à certaines catégories de traitements. Nous renvoyons ici à l’article 3, paragraphes 3 à 7 de la loi et à notre commentaire de l’article 21 du Règlement intitulé « Limitations ».

France

Le législateur français a transposé fidèlement le champ d’application matériel de la Directive à l’article 2 de la loi Informatique et Libertés, tout en précisant que la notion de traitement englobe toute opération portant sur des données à caractère personnel « quel que soit le procédé utilisé » ; l’exclusion des traitements effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques est contenue dans la même disposition. L’article 4 de la loi Informatique et Libertés prévoit en outre une exclusion (non prévue par la Directive) relative aux copies temporaires (« catching »).

Difficultés probables

Globalement, le champ d’application matériel du Règlement reste inchangé, par rapport à la Directive, ce qui est plutôt rassurant et source de sécurité juridique.

On se souviendra que les définitions unifiées issues de la Directive avaient donné lieu à de nombreux soucis d’interprétation, qui se sont souvent dissipés lors de l’application des lois des États membres ou des interprétations données par les autorités de contrôle et le Groupe 29.

L’absence de modification des définitions de base de la loi est plutôt rassurante et prouve que finalement, elles conservent une neutralité technologique plus que nécessaire au regard des (r)évolutions qui ont modifié les processus de traitements de données depuis 1995. On regrettera toutefois que la notion de traitement de données n’ait pas évolué, notamment dans son lien intrinsèque avec sa finalité – toujours absente de la définition.