CHAPITRE III :
Droits de la personne concernée

Section 1 : Transparence et modalités

Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

§1 : Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

§2 : Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

§3 :  Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

§4 : Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

§5 :  Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

   a) exiger le paiement de frais raisonnables qui tiennent compte des coûts  administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

   b) refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.Sans préjudice de l’article 11, lorsque le responsable du traitement a

§7 : des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

§8 : Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible,compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées.

Section 2 : Information et accès aux données à caractère personnel

Article 13 :
Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

§1 : Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

   a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

   b) le cas échéant, les coordonnées du délégué à la protection des données;

   c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

   d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

   e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et

   f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

 §2 : En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

     a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

     b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;

     c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

     d) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

     e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;

     f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

§3 : Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

§4 : Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

Article 14 :
Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

§1 : Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

   a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

   b) le cas échéant, les coordonnées du délégué à la protection des données;

   c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

   d) les catégories de données à caractère personnel concernées;

   e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

   f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

§2 : En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:

    a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

    b) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

    c) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectifi­ cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données;

    d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

    e) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

    f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;

    g) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

§3 : Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

   a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

   b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

   c) s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

 §4 : Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

 §5 : Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:

   a) la personne concernée dispose déjà de ces informations;

   b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

   c) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

   d) les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret profes­sionnel.

Article 15 :
Droit d'accès de la personne concernée

§1 : La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:

   a) les finalités du traitement;

   b) les catégories de données à caractère personnel concernées;

   c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

   d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

   e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;

   f) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

   g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

   h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

§2 : Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

§3 : Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

§4 : Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.

 

1) Droit d’accès – gratuité du droit d’accès – étendue, relation médecin/patient :

  • « 1)      L’article 12, paragraphe 5, et l’article 15, paragraphes 1 et 3, du […] règlement général sur la protection des données […], doivent être interprétés en ce sens que : l’obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données à caractère personnel faisant l’objet d’un traitement s’impose au responsable du traitement même lorsque cette demande est motivée dans un but étranger à ceux visés au considérant 63, première phrase, dudit règlement.
  • « 3)      L’article 15, paragraphe 3, première phrase, du règlement 2016/679 doit être interprété en ce sens que : dans le cadre d’une relation médecin/patient, le droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie intégrale des documents figurant dans son dossier médical qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est nécessaire pour permettre à la personne concernée d’en vérifier l’exactitude et l’exhaustivité ainsi que pour garantir leur intelligibilité. S’agissant de données relatives à la santé de la personne concernée, ce droit inclut en tout état de cause celui d’obtenir une copie des données de son dossier médical contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés à celle‑ci.« 

⚖️ CJUE (première chambre), 26 octobre 2023, FT contre DW, Affaire C‑307/22, (Copies du dossier médical)

2) Droit d’accès – Application rétroactive des droits RGPD – modalités du droit d’accès – statut d’employé/demandeur :

  • « 1) L’article 15 du règlement […] relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel […], lu à la lumière de l’article 99, paragraphe 2, de ce règlement, doit être interprété en ce sens que : il est applicable à une demande d’accès aux informations visées par cette disposition lorsque les opérations de traitement concernées par cette demande ont été effectuées avant la date d’entrée en application dudit règlement, mais que la demande a été présentée après cette date. »
  • « 2) L’article 15, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition. En revanche, ladite disposition ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés dudit responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés. »
  • « 3) L’article 15, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d’une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en sa qualité de cliente du responsable du traitement a été également l’employée de ce responsable est, en principe, sans incidence sur l’étendue du droit dont bénéficie cette personne en vertu de cette disposition. »

⚖️ CJUE première chambre, 22 juin 2023, J.M, affaire C‑579/21 – certi-data.fr/blog : Affaire C‑579/21, J.M. en présence de : Apulaistietosuojavaltuutettu, Pankki S

3) Droit d’accès – Modalités – Notion d’information :

  • « 1) L’article 15, paragraphe 3, première phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel […] doit être interprété en ce sens que : le droit d’obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui. »
  • « 2) L’article 15, paragraphe 3, troisième phrase, du règlement 2016/679 doit être interprété en ce sens que : la notion d’« informations » qu’il vise se rapporte exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie en application de la première phrase de ce paragraphe.« 

⚖️ CJUE première chambre, 04 mai 2023, F.F. contre Österreichische Datenschutzbehörde, Affaire C-487/21certi-data.fr/blog : Le contenu du droit d’accès – affaire C-487/21

4) Droit d’accès – Communication des destinataires des données :

« L’article 15, paragraphe 1, sous c), du […] règlement général sur la protection des données […], doit être interprété en ce sens que : le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.« 

⚖️ CJUE (première chambre), 12 janvier 2023, RW contre Österreichische Post AG, affaire C‑154/21

Section 3 : Rectification et effacement

Article 16 :
Droit de rectification

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Article 17 :
Droit à l'effacement ("droit à l'oubli")

§1 : La personne concernée à le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

   a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

   b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

   c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;

   d) les données à caractère personnel ont fait l’objet d’un traitement illicite;

   e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;

   f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

§2 : Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

§3 : Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :

   a) à l’exercice du droit à la liberté d’expression et d’information;

   b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

   c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;

   d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

   e) à la constatation, à l’exercice ou à la défense de droits en justice.

 

1) Droit à la suppression * limitation – responsabilité conjointe – registre de traitement : 

  • Points de l’arrêt : […] 65 […] l’absence d’un accord déterminant la responsabilité conjointe, en application de l’article 26 du RGPD, ou d’un registre des activités de traitement, au sens de l’article 30 de ce règlement, ne suffit pas à établir, par elle-même, l’existence d’une atteinte au droit fondamental à la protection des données à caractère personnel. En particulier, s’il est vrai que, ainsi qu’il ressort des considérants 79 et 82 de celui-ci, la répartition claire des responsabilités entre les responsables conjoints du traitement et le registre des activités de traitement constituent des moyens d’assurer le respect, par ces responsables, des garanties prévues par ledit règlement pour la protection des droits et libertés des personnes concernées, il n’en demeure pas moins que l’absence d’un tel registre ou d’un tel accord ne démontre pas, en elle-même, que ces droits et ces libertés ont été violés.
  • 66 Il en résulte qu’une violation des articles 26 et 30 du RGPD par le responsable du traitement ne constitue pas un « traitement illicite », au sens de l’article 17, paragraphe 1, sous d), ou de l’article 18, paragraphe 1, sous b), de ce règlement, lus en combinaison avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de celui-ci, conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement.
  • Conclusion : 1)  L’article 17, paragraphe 1, sous d), et l’article 18, paragraphe 1, sous b), du règlement (UE) 2016/679 […], doivent être interprétés en ce sens que : la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d’un accord déterminant la responsabilité conjointe du traitement et à la tenue d’un registre des activités de traitement, ne constitue pas un traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement, dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

⚖️ CJUE, (cinquième chambre), 4 mai 2023, UZ contre Bundesrepublik Deutschland, affaire C‑60/22

2) Droit à la suppression – motifs impérieux – traitement illicite :

  • « 3) L’article 17, paragraphe 1, sous c), […] doit être interprété en ce sens que : la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsqu’elle s’oppose au traitement conformément à l’article 21, paragraphe 1, de ce règlement et qu’il n’existe pas de motifs légitimes impérieux de nature à justifier, à titre exceptionnel, le traitement en cause. »
  • « 4) L’article 17, paragraphe 1, sous d), […] doit être interprété en ce sens que : le responsable du traitement est tenu d’effacer, dans les meilleurs délais, les données à caractère personnel ayant fait l’objet d’un traitement illicite. »

⚖️ CJUE (première chambre), 7 décembre 2023, UF AB contre Land Hessen, affaires jointes C‑26/22 et C‑64/22

3) Suppression * annuaire téléphonique – Communication de la demande de suppression aux exploitants : 

  •  » 2)      L’article 17 du règlement 2016/679 doit être interprété en ce sens que :la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires ainsi que des services de renseignements téléphoniques accessibles au public constitue un recours au « droit à l’effacement », au sens de cet article. « 
  • « 4) L’article 17, paragraphe 2, du règlement 2016/679 doit être interprété en ce sens que : il ne s’oppose pas à ce qu’une autorité de contrôle nationale ordonne à un fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, auquel l’abonné d’un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d’informer les fournisseurs de moteurs de recherche de cette demande d’effacement des données.« 

⚖️ CJUE (quatrième chambre), 27 octobre 2022, Proximus NV, Affaire C-129/21

Article 18 :
Droit à la limitation du traitement

§1 : La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique:

   a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel;

   b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation;

   c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice;

   d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

§2 : Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

§3 : Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

 

Article 19 :
Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande

Article 20 :
Droit à la portabilité des données

§1 : Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

   a) le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b); et

   b) le traitement est effectué à l’aide de procédés automatisés.

§2 : Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.

§3 : L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

§4 : Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

 

Section 4 : Droit d'opposition et prise de décision individuelle automatisée

Article 21 :
Droit d'opposition

§1 : La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

§2 : Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

§3 : Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

§4 : Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

§5 : Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

§6 : Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.

Article 22 : Décision individuelle automatisée, y compris le profilage

§1 : La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

§2 : Le paragraphe 1 ne s’applique pas lorsque la décision:

   a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;

   b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

   c) est fondée sur le consentement explicite de la personne concernée.

§3 : Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

§4 : Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Section 5 : Limitations

Article 23 : Limitations

§1 : Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

   a) la sécurité nationale;

   b) la défense nationale;

   c) la sécurité publique;

   d) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

   e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

   f) la protection de l’indépendance de la justice et des procédures judiciaires;

   g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

   h) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);

   i) la protection de la personne concernée ou des droits et libertés d’autrui;

   j) l’exécution des demandes de droit civil.

§2 : En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

   a) aux finalités du traitement ou des catégories de traitement;

   b) aux catégories de données à caractère personnel;

   c) à l’étendue des limitations introduites;

   d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;

   e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;

   f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

   g) aux risques pour les droits et libertés des personnes concernées; et

   h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

Limitation du droit d’accès – exemple :

 

  • points 1) et 3) sous article 15.
  • « […] 2)   L’article 23, paragraphe 1, sous i), du règlement 2016/679 doit être interprété en ce sens que : est susceptible de relever du champ d’application de cette disposition une législation nationale adoptée avant l’entrée en vigueur de ce règlement. Toutefois, une telle faculté ne permet pas d’adopter une législation nationale qui, en vue de protéger les intérêts économiques du responsable du traitement, met à la charge de la personne concernée les frais d’une première copie de ses données à caractère personnel faisant l’objet de ce traitement.[…] »

⚖️Cjue (première chambre), 26 octobre 2023, FT contre DW, Affaire C‑307/22, (Copies du dossier médical)