CHAPITRE II :
Principes

Article 5 :
Principes relatifs au traitement des données à caractère personnel

§1 : Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivis­tiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

§2 : Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui- ci est respecté (responsabilité).

 

1) Principes – Responsable du traitement – Notion de responsable du traitement JOUE : 

  • « […] L’article 5, paragraphe 2, du règlement 2016/679, lu en combinaison avec l’article 4, point 7, et l’article 26, paragraphe 1, de celui-ci, doit être interprété en ce sens que : le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », au sens de l’article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l’article 5, paragraphe 1, de celui‑ci en ce qui concerne les opérations de traitement des données à caractère personnel qu’il est tenu d’effectuer en vertu du droit national, à moins qu’une responsabilité conjointe avec d’autres entités au regard de ces opérations ne découle de ce droit. »

⚖️ Cjue (troisième chambre), 11 janvier 2024, État belge contre Autorité de protection des données, affaire C‑231/22 

2) Principe – Durée de conservation des données – Base de données * Registre public :

  • «  L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens que : il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public. »

⚖️ CJUE (première chambre), 7 décembre 2023, UF AB contre Land Hessen, affaires jointes C‑26/22 et C‑64/22

3) Principe – Minimisation des données * Réutilisation des données :

  • « L’article 5, paragraphe 1, sous c), du règlement (UE) 2016/679 […] règlement général sur la protection des données […] doit être interprété en ce sens que : le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données. »

⚖️ CJUE quatrième chambre, 4 octobre 2024, Maximilian Schrems contre Meta Platforms Ireland Limited, Affaire C-446/21

4) Suppression * annuaire téléphonique – Communication de la demande de suppression aux exploitants * Mesures Techniques et organisationnelles : 

  • « 3) L’article 5, paragraphe 2, et l’article 24 du règlement 2016/679 doivent être interprétés en ce sens que : une autorité de contrôle nationale peut exiger que le fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d’annuaires et de services de renseignements téléphoniques accessibles au public auxquels il a fourni de telles données, du retrait du consentement de cet abonné. »

⚖️ CJUE (quatrième chambre), 27 octobre 2022, Proximus NV, Affaire C-129/21

5) Finalités – Principe de limitation des finalités – Principe de limitation de conservation des données : 

  • « 1)      L’article 5, paragraphe 1, sous b), du règlement […] règlement général sur la protection des données […],doit être interprété en ce sens que : le principe de la « limitation des finalités », prévu à cette disposition, ne s’oppose pas à l’enregistrement et à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées dans une autre base de données, lorsqu’un tel traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données à caractère personnel ont été initialement collectées, ce qu’il convient de déterminer au regard des critères visés à l’article 6, paragraphe 4, de ce règlement. »
  • « 2)      L’article 5, paragraphe 1, sous e), du règlement 2016/679 doit être interprété en ce sens que :le principe de la « limitation de la conservation », prévu à cette disposition, s’oppose à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs. »

Article 6 :
Licéité du traitement

     §1 : traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

     §2 : Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le Chapitre IX.

      §3 : Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:

a)   le droit de l’Union; ou

b)   le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

§4 : Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:

a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation

1) Bases légales – exécution contractuelle – intérêt légitime – obligation légale * jurisprudence : 

  • « 1) L’article 6, paragraphe 1, premier alinéa, sous b), du règlement (UE) 2016/679 […] doit être interprété en ce sens que : un traitement de données à caractère personnel consistant à divulguer, à la demande d’un associé d’un fonds d’investissement, constitué sous la forme d’une société de personnes faisant appel public à l’épargne, des informations sur l’ensemble des associés détenant des participations indirectes dans ce fonds, par l’intermédiaire de sociétés fiduciaires, indépendamment de l’importance de leur participation dans le capital dudit fonds, en vue d’entrer en contact et de négocier avec eux le rachat de leurs parts sociales, ou encore de se coordonner avec ceux-ci en vue de former une volonté commune dans le cadre de décisions des associés, ne peut être considéré comme étant nécessaire, au sens de cette disposition, à l’exécution du contrat en vertu duquel ces associés ont acquis de telles participations, qu’à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes associés, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement. Tel n’est pas le cas si ce contrat exclut expressément la divulgation de ces données à caractère personnel à d’autres détenteurs de participations.« 
  • « 2) L’article 6, paragraphe 1, premier alinéa, sous f), […] doit être interprété en ce sens que : un tel traitement ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par un tiers, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation d’un tel intérêt légitime et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux desdits associés ne prévalent pas sur cet intérêt légitime.« 
  • « 3) L’article 6, paragraphe 1, premier alinéa, sous c), […] doit être interprété en ce sens que : ledit traitement de données à caractère personnel est justifié, au titre de cette disposition, lorsqu’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, en vertu du droit de l’État membre concerné, tel que précisé par la jurisprudence de cet État membre, à condition que cette jurisprudence soit claire et précise, que son application soit prévisible pour les justiciables et qu’elle réponde à un objectif d’intérêt public et soit proportionnée à celui-ci. »

⚖️ CJUE, (quatrième chambre), 12 septembre 2024, Müller Rechtsanwaltsgesellschaft mbH & WealthCap Investorenbetreuung GmbH, affaires jointes C-17/22 et C-18/22

2) Bases légales – Élections – Acte administratif * Enregistrement vidéo

  • « 2) L’article 6, paragraphe 1, sous e), et l’article 58 du règlement 2016/679, doivent être interprétés en ce sens que : ces dispositions ne s’opposent pas à ce que les autorités compétentes d’un État membre adoptent un acte administratif d’application générale qui prévoit la limitation ou, le cas échéant, l’interdiction de l’enregistrement vidéo du dépouillement du scrutin dans les bureaux de vote lors d’élections dans cet État membre. »

⚖️ CJUE (huitième chambre), 20 octobre 2022, Komisia za zashtita na lichnite danni, Tsentralna izbiratelna komisia contre Koalitsia « Demokratichna Bulgaria – Obedinenie », Affaire C-306/21

3) Bases légales – Collecte de preuves * Procédure juridictionnelle – Injonction de communiquer certaines données :

  • « 1) L’article 6, paragraphes 3 et 4, du […] règlement général sur la protection des données […], doit être interprété en ce sens que : cette disposition s’applique, dans le cadre d’une procédure juridictionnelle civile, à la production en tant qu’élément de preuve d’un registre du personnel contenant des données à caractère personnel de tiers collectées principalement aux fins de contrôle fiscal.« 
  • « 2) Les articles 5 et 6 du règlement 2016/679 doivent être interprétés en ce sens que : lors de l’appréciation du point de savoir si la production d’un document contenant des données à caractère personnel doit être ordonnée, la juridiction nationale est tenue de prendre en compte les intérêts des personnes concernées et de les pondérer en fonction des circonstances de chaque espèce, du type de procédure en cause et en tenant dûment compte des exigences résultant du principe de proportionnalité ainsi que, en particulier, de celles résultant du principe de la minimisation des données visé à l’article 5, paragraphe 1, sous c), de ce règlement.« 

⚖️ CJUE (troisième chambre), 2 mars 2023, Norra Stockholm Bygg AB contre Per Nycander AB, Affaire C-268/21

4) Bases légales – exécution contractuelle – mise en relation * intérêt légitime – obligation légale – sauvegarde des intérêts vitaux – abus de position dominante * consentement libre :

  • « 4) L’article 6, paragraphe 1, premier alinéa, sous b), du règlement 2016/679 doit être interprété en ce sens que : le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire à l’exécution d’un contrat auquel les personnes concernées sont parties, au sens de cette disposition, qu’à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes utilisateurs, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement. »
  • « 5) L’article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679 doit être interprété en ce sens que : le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu’à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime et qu’il ressort d’une pondération des intérêts opposés, au regard de l’ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d’un tiers. »
  • « 6) L’article 6, paragraphe 1, premier alinéa, sous c), du règlement 2016/679 doit être interprété en ce sens que : le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, est justifié, au titre de cette disposition, lorsqu’il est effectivement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, en vertu d’une disposition du droit de l’Union ou du droit de l’État membre concerné, que cette base juridique répond à un objectif d’intérêt public et est proportionnée à l’objectif légitime poursuivi et que ce traitement est opéré dans les limites du strict nécessaire. »
  • « 7) L’article 6, paragraphe 1, premier alinéa, sous d) et sous e), du règlement 2016/679 doit être interprété en ce sens que : le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut, en principe et sous réserve d’une vérification à effectuer par la juridiction de renvoi, être considéré comme étant nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, au sens du point d), ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens du point e). »
  • « 8) L’article 6, paragraphe 1, premier alinéa, sous a), et l’article 9, paragraphe 2, sous a), du règlement 2016/679 doivent être interprétés en ce sens que : la circonstance que l’opérateur d’un réseau social en ligne occupe une position dominante sur le marché des réseaux sociaux en ligne ne fait pas obstacle en tant que telle à ce que les utilisateurs d’un tel réseau puissent valablement consentir, au sens de l’article 4, point 11, de ce règlement, au traitement de leurs données à caractère personnel, effectué par cet opérateur. Cette circonstance constitue néanmoins un élément important pour déterminer si le consentement a effectivement été donné valablement et, notamment, librement, ce qu’il incombe audit opérateur de prouver. »

⚖️ CJUE (Grande Chambre), 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21

Article 7 :
Conditions applicables au consentement

      §1 : Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

       §2 : Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

       §3 : La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

      §4 : Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Article 8 :
Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

    §1 : Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.

      §2 : Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

     §3 : Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.

Article 9 :
Traitement portant sur des catégories particulières de données à caractère personnel

        §1 : Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

          §2 : Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie:

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’inter­ diction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philoso­phique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;*

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

i) le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;

j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

           §3 : Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.

          §4 : Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

1) Données sensibles (santé) – Obligation de garantir les modalités du traitement – licéité du traitement  : 

  • « 1) L’article 9, paragraphe 2, sous h), du règlement […] relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel […] doit être interprété en ce sens que : l’exception prévue à cette disposition est applicable aux situations dans lesquelles un organisme de contrôle médical traite des données concernant la santé de l’un de ses employés en qualité non pas d’employeur, mais de service médical, afin d’apprécier la capacité de travail de cet employé, sous réserve que le traitement concerné satisfasse aux conditions et garanties expressément imposées par ce point h) et par le paragraphe 3 dudit article 9.« 
  • « 2) L’article 9, paragraphe 3, du règlement 2016/679 doit être interprété en ce sens que : le responsable d’un traitement de données concernant la santé, fondé sur l’article 9, paragraphe 2, sous h), de ce règlement, n’est pas tenu, en vertu de ces dispositions, de garantir qu’aucun collègue de la personne concernée ne peut accéder aux données se rapportant à l’état de santé de celle‑ci. Toutefois, une telle obligation peut s’imposer au responsable d’un tel traitement soit en vertu d’une réglementation adoptée par un État membre sur la base de l’article 9, paragraphe 4, dudit règlement, soit au titre des principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), du même règlement et concrétisés à l’article 32, paragraphe 1, sous a) et b), de celui-ci.« 
  • « 3) L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que : un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci [article 9], mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.« 

⚖️ CJUE troisième chambre, 21 décembre 2023, ZQ, affaire C‑667/21

2) Principe – Données sensibles * agrégations :

  • « 2 ) L’article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que : la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.« 

⚖️ CJUE quatrième chambre, 4 octobre 2024, Maximilian Schrems contre Meta Platforms Ireland Limited, Affaire C-446/21

3) Données sensibles – Réseau social * données sensibles – Publicité des données (OSINT) :

  • « […] 2) L’article 9, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : dans le cas où un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en rapport avec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s’inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l’opérateur de ce réseau social en ligne, consistant en la collecte, au moyen d’interfaces intégrées, de cookies ou de technologies d’enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l’utilisateur, en la mise en relation de l’ensemble de ces données avec le compte du réseau social de celui-ci et en l’utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d’une de ces catégories, que ces informations concernent un utilisateur de ce réseau ou toute autre personne physique.« 
  • « 3) L’article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que : lorsqu’un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en rapport avec une ou plusieurs des catégories visées à l’article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l’opérateur de ce réseau social en ligne à travers des cookies ou des technologies d’enregistrement similaires. Lorsqu’il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu’il active des boutons de sélection intégrés à ces sites et à ces applications, tels que les boutons « j’aime » ou « partager » ou les boutons permettant à l’utilisateur de s’identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d’utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l’activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d’un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.« 

⚖️ CJUE (Grande Chambre), 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21

Article 10 :
Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un ‘État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

Article 11 :
Traitement ne nécessitant pas l'identification

     §1 : Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement.
 
     §2 : Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 15 à 20 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier.
⬅️ CHAPITRE 1
📋 SOMMAIRE 📋
➡️CHAPITRE 3