CHAPITRE I :
Dispositions générales
Article premier : Objet et objectifs
§1 Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
§2 Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
§3 La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
§1 Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
§2 Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué:
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union;
b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne;
c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
§3 Le règlement (CE) no 45/2001 s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l’Union applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.
§4 Le présent règlement s’applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.
§1 Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
§2 Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
§3 Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.
Article 4 : Définitions
Aux fins du présent règlement, on entend par:
1) « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
2) « traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
3) « limitation du traitement », le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;
4) « profilage », toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
5) « pseudonymisation », le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
6) « fichier », tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
7) «responsable du traitement », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;
8) « sous-traitant », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
9) « destinataire », la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;
10) « tiers », une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;
11) « consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;
12) « violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;
13) « données génétiques », les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question;
14) « données biométriques », les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;
15) « données concernant la santé », les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;
16) « établissement principal »,
a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal;
b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;
17) « représentant », une personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;
18) « entreprise », une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;
19) « groupe d’entreprises », une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle;
20) « règles d’entreprise contraignantes », les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe;
21) « autorité de contrôle », une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51;
22) « autorité de contrôle concernée », une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:
a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève;
b) des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être; ou
c) une réclamation a été introduite auprès de cette autorité de contrôle;
23) « traitement transfrontalier »,
a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres;
24) « objection pertinente et motivée », une objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union;
25) « service de la société de l’information », un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (1);
26) « organisation internationale », une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord.
1) Cas d’exclusion de la qualification de responsable de traitement – Activité strictement personnelle ou domestique – Curateur :
- « […] 23 À titre liminaire, il convient de préciser, en réponse aux doutes exprimés par cette juridiction concernant l’applicabilité du RGPD au litige dont elle est saisie, que, aux termes de l’article 2, paragraphe 2, sous c), dudit règlement, dont la portée est éclairée par le considérant 18 de celui-ci, le même règlement ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique, et donc sans lien avec une activité professionnelle ou commerciale.
- 24 Cette disposition ne saurait être interprétée comme excluant du champ d’application du RGPD l’activité de curateur exercée à titre professionnel par une personne physique.[…]«
Conclusion : « […] L’article 4, point 7,[…] » du « […] règlement général sur la protection des données […], doit être interprété en ce sens que : qu’un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de « responsable du traitement », au sens de cette disposition, de données à caractère personnel en sa possession concernant cette personne et qu’un tel traitement doit respecter l’ensemble des dispositions de ce règlement, notamment l’article 15 de celui-ci. »
Cjue (neuvième chambre), 11 juillet 2024, MK c/ WB, Affaire C-461/22
2) Notion de donnée à caractère personnel – Données indirectement identifiantes :
- Par ces motifs, la Cour (quatrième chambre) dit pour droit : « 1) une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »
Cjue, 07 mars 2024, IAB Europe, Affaire C-604/2
3) Notion de traitement – Application de scan – QR-Code :
- §29 « Or, en l’occurrence, une application mobile nationale, telle l’application « čTečka », scanne le code QR figurant sur le certificat COVID numérique de l’UE afin de convertir les données personnelles que renferme ce code en un format lisible par la personne chargée de contrôler la validité de ce certificat. Ce faisant, une telle application permet à la personne chargée d’effectuer le contrôle de consulter, à l’issue d’un processus automatisé, à savoir le scannage, des données à caractère personnel et de les utiliser afin d’apprécier si la situation de la personne concernée est conforme aux règles de validation, autrement dit aux exigences sanitaires applicables. Le résultat de cette évaluation est également automatisé puisqu’une coche verte s’affiche sur le téléphone portable du contrôleur lorsque les exigences sanitaires sont respectées, tandis que, dans le cas contraire, une croix rouge apparaît.«
- Conclusion : « La notion de « traitement » de données à caractère personnel, visée à l’article 4, point 2, du … règlement général sur la protection des données…, doit être interprétée en ce sens que :
elle inclut la vérification, au moyen d’une application mobile nationale, de la validité de certificats COVID-19 interopérables de vaccination, de test et de rétablissement délivrés en vertu du règlement (UE) 2021/953 du Parlement européen et du Conseil, du 14 juin 2021, relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19, et utilisés par un État membre à des fins nationales. »
Cjue, 5 octobre 2023, Ministerstvo zdravotnictví (Application mobile Covid-19), Affaire C-659/22
4) Responsable de traitement – Organe administratif dépourvu de personnalité juridique qualifié de responsable du traitement :
Par ces motifs, la Cour (troisième chambre) dit pour droit :
1) L’article 4, point 7, du règlement (UE) 2016/679 […], doit être interprété en ce sens que : le service ou l’organisme chargé du Journal officiel d’un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d’une autorité judiciaire qui les lui adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel« .
[…] Point 2) de la décision sous article 5 ; […]
5) Notion de responsable de traitement – autorité chargée de la tenue d’un registre du commerce d’un Etat – signature manuscrite * données à caractère personnel :
- « Le règlement (UE) 2016/679 […], notamment l’article 4, points 7 et 9, de celui-ci, doit être interprété en ce sens que : l’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.«
[…] voir point 3) sous article 17 ; […]
- « 4) L’article 4, point 1, du règlement 2016/679 doit être interprété en ce sens que : la signature manuscrite d’une personne physique relève de la notion de « données à caractère personnel » au sens de cette disposition. »
CJUE (première chambre), 4 octobre 2024, Agentsia po vpisvaniyata contre OL, Affaire C-200/23