Article
En savoir plus...
Jurisprudence
Actualités
Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel
1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:
- a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;
- b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;
- c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
- d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
- e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
- f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;
- g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;
- h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;
- i) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;
- j) le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.
4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.
En savoir plus...
L'article 9 pose tout d'abord le principe d’interdiction du traitement des données dites sensibles, telles que celles révélant l’origine ethnique, les opinions politiques, les convictions religieuses, les données de santé, biométriques ou concernant la vie sexuelle. Toutefois, il prévoit par la suite plusieurs exceptions à cette interdiction, notamment en cas de consentement explicite, d’intérêt public, de protection vitale, de nécessité médicale ou juridique, ou encore pour des recherches ou archives d’intérêt public. Il impose des garanties strictes, comme le secret professionnel pour les données de santé, et permet aux États membres de prévoir des restrictions supplémentaires pour certains types de données sensibles. Cet article protège ainsi les données les plus intimes tout en encadrant leurs usages strictement nécessaires.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Niveau de protection équivalent et homogène dans tout l'UE]
10. Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées «données sensibles»). À cet égard, le présent règlement n'exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.
[Intérêts vitaux d'une personne physique]
46. Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.
[Protection des données personnelles sensibles]
51. Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de l'expression «origine raciale» dans le présent règlement n'implique pas que l'Union adhère à des théories tendant à établir l'existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique. De telles données à caractère personnel ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d'un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l'interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour objet de permettre l'exercice des libertés fondamentales.
[Déroger au principe d'interdiction du traitement des données "particulières"]
52. Des dérogations à l'interdiction de traiter des catégories particulières de données à caractère personnel devraient également être autorisées lorsque le droit de l'Union ou le droit d'un État membre le prévoit, et sous réserve de garanties appropriées, de manière à protéger les données à caractère personnel et d'autres droits fondamentaux, lorsque l'intérêt public le commande, notamment le traitement des données à caractère personnel dans le domaine du droit du travail et du droit de la protection sociale, y compris les retraites, et à des fins de sécurité, de surveillance et d'alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d'autres menaces graves pour la santé. Ces dérogations sont possibles à des fins de santé, en ce compris la santé publique et la gestion des services de soins de santé, en particulier pour assurer la qualité et l'efficience des procédures de règlement des demandes de prestations et de services dans le régime d'assurance-maladie, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Une dérogation devrait, en outre, permettre le traitement de ces données à caractère personnel, si cela est nécessaire aux fins de la constatation, de l'exercice ou de la défense d'un droit en justice, que ce soit dans le cadre d'une procédure judiciaire, administrative ou extrajudiciaire.
[Traitement de données "particulières" à des fins de santé]
53. Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu'à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale, y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l'information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d'assurer la continuité des soins de santé ou de la protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance et d'alerte sanitaires, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit des États membres qui doit répondre à un objectif d'intérêt public, ainsi que pour des études menées dans l'intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne devrait pas entraver le libre flux des données à caractère personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données.
[Traitement des données de santé à des fins d'intérêt public]
54. Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s'interpréter selon la définition contenue dans le règlement (CE) no 1338/2008 du Parlement européen et du Conseil (11), à savoir tous les éléments relatifs à la santé, à savoir l'état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l'accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d'intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques.
[Traitement par les autorités pour atteindre les objectifs d'associations religieuses]
55. En outre, le traitement de données à caractère personnel par des autorités publiques aux fins de réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public, d'associations à caractère religieux officiellement reconnues est effectué pour des motifs d'intérêt public.
[Traitement dans le cadre d'élections]
56. Lorsque, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique dans un État membre requiert que les partis politiques collectent des données à caractère personnel relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé pour des motifs d'intérêt public, à condition que des garanties appropriées soient prévues.
10. Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées «données sensibles»). À cet égard, le présent règlement n'exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.
[Intérêts vitaux d'une personne physique]
46. Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.
[Protection des données personnelles sensibles]
51. Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de l'expression «origine raciale» dans le présent règlement n'implique pas que l'Union adhère à des théories tendant à établir l'existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique. De telles données à caractère personnel ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d'un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l'interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour objet de permettre l'exercice des libertés fondamentales.
[Déroger au principe d'interdiction du traitement des données "particulières"]
52. Des dérogations à l'interdiction de traiter des catégories particulières de données à caractère personnel devraient également être autorisées lorsque le droit de l'Union ou le droit d'un État membre le prévoit, et sous réserve de garanties appropriées, de manière à protéger les données à caractère personnel et d'autres droits fondamentaux, lorsque l'intérêt public le commande, notamment le traitement des données à caractère personnel dans le domaine du droit du travail et du droit de la protection sociale, y compris les retraites, et à des fins de sécurité, de surveillance et d'alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d'autres menaces graves pour la santé. Ces dérogations sont possibles à des fins de santé, en ce compris la santé publique et la gestion des services de soins de santé, en particulier pour assurer la qualité et l'efficience des procédures de règlement des demandes de prestations et de services dans le régime d'assurance-maladie, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Une dérogation devrait, en outre, permettre le traitement de ces données à caractère personnel, si cela est nécessaire aux fins de la constatation, de l'exercice ou de la défense d'un droit en justice, que ce soit dans le cadre d'une procédure judiciaire, administrative ou extrajudiciaire.
[Traitement de données "particulières" à des fins de santé]
53. Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu'à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale, y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l'information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d'assurer la continuité des soins de santé ou de la protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance et d'alerte sanitaires, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit des États membres qui doit répondre à un objectif d'intérêt public, ainsi que pour des études menées dans l'intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne devrait pas entraver le libre flux des données à caractère personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données.
[Traitement des données de santé à des fins d'intérêt public]
54. Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s'interpréter selon la définition contenue dans le règlement (CE) no 1338/2008 du Parlement européen et du Conseil (11), à savoir tous les éléments relatifs à la santé, à savoir l'état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l'accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d'intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques.
[Traitement par les autorités pour atteindre les objectifs d'associations religieuses]
55. En outre, le traitement de données à caractère personnel par des autorités publiques aux fins de réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public, d'associations à caractère religieux officiellement reconnues est effectué pour des motifs d'intérêt public.
[Traitement dans le cadre d'élections]
56. Lorsque, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique dans un État membre requiert que les partis politiques collectent des données à caractère personnel relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé pour des motifs d'intérêt public, à condition que des garanties appropriées soient prévues.
Droit souple
Lignes directrices et recommandations
> CNIL РRecommandations РDossier patient informatis̩ (DPI)
20 mars 2025, Projet
> EDPB РLignes directrices 05/2022 РUtilisation de la technologie de reconnaissance faciale dans le domaine r̩pressif (v2.0)
26 avril 2023
> EDPB – Lignes directrices 5/2020 – Le consentement (v1.1)
4 mai 2020
> EDPB – Lignes directrices 4/2020 – Utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19 (v1.0)
21 avril 2020
> EDPB – Lignes directrices 03/2020 – Traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19 (v1.0)
21 avril 2020
Référentiels
> CNIL – Référentiel – Création d’entrepôts de données dans le domaine de la santé
17 novembre 2021
> CNIL РR̩f̩rentiel РGestion des cabinets m̩dicaux et param̩dicaux
28 juillet 2020
> CNIL РR̩f̩rentiel РDur̩es de conservation des traitements dans le domaine de la sant̩ (hors recherche)
25 avril 2020
> CNIL РR̩f̩rentiel РDur̩es de conservation des traitements de recherche dans le domaine de la sant̩
25 avril 2020
Méthodologies de référence
> CNIL – MR-005 – Études nécessitant l’accès aux données du PMSI et/ou des RPU par les établissements de santé et les fédérations hospitalières
7 juin 2018, sur le site de la CNIL
> CNIL – MR-006 – Études nécessitant l’accès aux données du PMSI par les industriels de santé
7 juin 2018, sur le site de la CNIL
> CNIL РMR-001 РRecherches dans le domaine de la sant̩ avec recueil du consentement
3 mai 2018, sur le site de la CNIL
> CNIL РMR-003 РRecherches dans le domaine de la sant̩ sans recueil du consentement
3 mai 2018, sur le site de la CNIL
> CNIL – MR-004 – Recherches n’impliquant pas la personne humaine, études et évaluations dans le domaine de la santé
3 mai 2018, sur le site de la CNIL
> CNIL – MR-002 – Études non interventionnelles de performances concernant les dispositifs médicaux de diagnostic in vitro
16 juillet 2015, sur le site de la CNIL
Documents anciens
> WP29 – Lignes directrices WP259 – Le consentement (rev.01)
10 avril 2018, Document ancien
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Cet article est cité par...
> Article 6 - Licéité du traitement
> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
> Article 17 - Droit à l'effacement ("droit à l'oubli")
> Article 20 - Droit à la portabilité des données
> Article 22 - Décision individuelle automatisée, y compris le profilage
> Article 27 - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union.
> Article 30 - Registre des activités de traitement
> Article 35 - Analyse d'impact relative à la protection des données
> Article 37 - Désignation du délégué à la protection des données
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 7 - Conditions applicables au consentement
> Article 8 - Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL – Recommandations – Applications mobiles
8 avril 2025
> CNIL РRecommandations РUtilisation des donn̩es de localisation des v̩hicules connect̩s
25 mars 2025 (Projet, Ouvert à consultation publique)
> EDPB – Lignes directrices 2/2023 – Champ d’application technique de l’article 5,3 de la directive ePrivacy (2002/58/CE)
7 octobre 2024 (v2.0)
> CNIL РRecommandations РR̩utilisateurs de donn̩es publi̩es sur Internet
12 juin 2024
> CNIL РRecommandations РDispositifs de vid̩osurveillance au sein des chambres des Ehpads
29 février 2024
> CNIL – Recommandations – Utilisation des interfaces de programmation applicatives (API)
7 juillet 2023
> CNIL РRecommandations РT̩l̩surveillance pour les examens en ligne
8 juin 2023
> EDPB – Lignes directrices 02/2021 – Assistants vocaux virtuels
7 juillet 2021 (v2.0)
> EDPB РLignes directrices 8/2020 РLe ciblage des utilisateurs de m̩dias sociaux
13 avril 2021 (v2.0)
> EDPB – Lignes directrices 01/2020 – Véhicules connectés et applications liées à la mobilité
9 mars 2021 (v2.0)
> EDPB – Lignes directrices 6/2020 – L’interaction entre la deuxième directive sur les services de paiement et le RGPD
15 décembre 2020 (v2.0)
> CNIL – Lignes directrices – Cookies et autres traceurs
17 septembre 2020
> CNIL – Recommandations – Cookies et autres traceurs
17 septembre 2020
> EDPB – Lignes directrices 3/2019 – Le traitement des données à caractère personnel par des dispositifs vidéo
29 janvier 2020 (v2.0)
Référentiels
> CNIL – Référentiel – Mise en oeuvre d’un dispositif d’alerte professionnelle
6 juillet 2023
> CNIL РR̩f̩rentiel РGestion des officines de pharmacie
18 juillet 2022
> CNIL РR̩f̩rentiel РGestion des activit̩s commerciales
3 février 2022
> CNIL РR̩f̩rentiel РGestion des impay̩s dans une transaction commerciale
3 février 2022
> CNIL – Référentiel – Protection de l’enfance et des jeunes majeurs de moins de 21 ans
20 janvier 2022
> CNIL РR̩f̩rentiel РGestion locative
6 mai 2021
> CNIL РR̩f̩rentiel РAccueil, h̩bergement et accompagnement social et m̩dico-social des personnes ̢g̩es, des personnes en situation de handicap et de celles en difficult̩
11 mars 2021
> CNIL РR̩f̩rentiel РGestion du personnel
21 novembre 2019
Guides pratiques
> CNIL РGuide pratique РEquipe de d̩veloppement
13 décembre 2021 ((sur le github de la CNIL))
> CNIL РGuide pratique РSensibilisation pour les collectivit̩s territoriales
18 septembre 2019
> CNIL – Guide pratique – L’Ordre des médecins
1 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-65/23 | K GmbH (Traitement de données personnelles des employés) | 19/12/2024 | Traitement de données aux fins des relations de travail - Applicabilité de l'intégralité du RGPD - Admission | Lien | A classer | Travail | Cour de Justice de l'UE | 2024 |
| C-65/23 | K GmbH (Traitement de données personnelles des employés) | 19/12/2024 | Traitement de données aux fins des relations de travail - Capacité du juge à contrôler son caractère "nécessaire" - Admission | Lien | Licéité, A classer | Travail | Cour de Justice de l'UE | 2024 |
| C-446/21 | Schrems (Communication de données au grand public) | 04/10/2024 | Donnée sensible - Caractère manifestement public d'une donnée - Autorisation de traiter des données similaires obtenues par un autre biais - Absence | Lien | Caractère manifestement public | Technologie | Cour de Justice de l'UE | 2024 |
| C-21/23 | Lindenapotheke | 04/10/2024 | Donnée de santé - Données associées à une commande sur une pharmacie en ligne même sans prescription médicale - Inclusion | Lien | Données de santé | Santé | Cour de Justice de l'UE | 2024 |
| C-667/21 | Krankenversicherung Nordrhein | 21/12/2023 | Médecine préventive et du travail - Contrôle médicale concernant la santé de l'un de ses employés en qualité de service médicale pour apprécier la capacité de l'employé - Admission | Lien | Médecine préventive et du travail | Santé, Travail | Cour de Justice de l'UE | 2023 |
| C-667/21 | Krankenversicherung Nordrhein | 21/12/2023 | Médecine préventive et du travail - Condition de validité relative à l'absence d'accès par des collègues de la personne concernée - Absence mais obligation à laquelle le responsable peut-être soumis | Lien | Médecine préventive et du travail, Confidentialité, Besoin d'en connaître | Santé, Travail | Cour de Justice de l'UE | 2023 |
| C-667/21 | Krankenversicherung Nordrhein | 21/12/2023 | Licéité d'un traitement de données de santé (ici, dans le cadre médecine préventive et du travail) - Nécessité d'un double fondement (article 6 et article 9) - Obligation | Lien | Licéité, Médecine préventive et du travail | Santé, Travail | Cour de Justice de l'UE | 2023 |
| C-252/21 | Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) | 04/07/2023 | Consultation par un utilisateur d’un réseau social d’un site internet ou d’une application en rapport avec des données sensibles - Collecte de données via des cookies "tiers" ou insérées par l'utilisateur ou autres; et mise en relation desdites données avec le compte du réseau social de l’utilisateur - Qualification - Traitement portant sur des catégories particulières de données - Admission | Lien | Définitions | Technologie | Cour de Justice de l'UE | 2023 |
| C-252/21 | Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) | 04/07/2023 | Consultation par un utilisateur d’un réseau social d’un site internet ou d’une application en rapport avec des données sensibles - Caractère manifestement public des données insérées par l'utilisateur ou collectées via les cookies - Absence | Lien | Bases légales, Caractère manifestement public | Technologie | Cour de Justice de l'UE | 2023 |
| C-252/21 | Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) | 04/07/2023 | Liberté du consentement - Atteinte par le fait que l’opérateur d’un réseau social en ligne occupe une position dominante - Absence | Lien | Bases légales, Consentement, Liberté | Technologie | Cour de Justice de l'UE | 2023 |
| C-204/21 | Commission / Pologne | 05/06/2023 | Donnée sensible - Données dévoilant indirectement ou étant susceptible de révéler des informations sensibles - Application | Lien | Définitions | Cour de Justice de l'UE | 2023 | |
| SAN-2023-006 | Doctissimo | 11/05/2023 | Traitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation | Lien | Données de santé, Consentement, Transparence et information, Contenu de l'information | Santé | CNIL ou équivalent | 2023 |
| C-205/21 | Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) | 26/01/2023 | Directive Police-Justice - Traitement de données biométriques et génétiques par les autorités de police dans le cadre de leurs missions - Admission, à condition que le droit de l'Etat membre contient une base juridique claire - Indifférence du visa du RGPD plutôt que de la directive | Lien | Biométrie | Police-Justice | Cour de Justice de l'UE | 2023 |
| C-205/21 | Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) | 26/01/2023 | Directive Police-Justice - Législation nationale prévoyant la collecte forcée des données biométriques et génétiques (aux fins de leur enregistrement) de personnes sérieusement soupçonnées d'avoir commis certaines infractions - Admission sous conditions | Lien | Biométrie | Police-Justice | Cour de Justice de l'UE | 2023 |
| C-205/21 | Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) | 26/01/2023 | Directive Police-Justice - Législation nationale prévoyant la collecte et l'enregistrement systématique des données biométriques et génétiques de toute personne mise en examen en l'absence de garde-fou - Inconventionnalité | Lien | Minimisation, Biométrie, Licéité | Police-Justice | Cour de Justice de l'UE | 2023 |
| C-184/20 | Vyriausioji tarnybinės etikos komisija | 01/08/2022 | Donnée sensible - Données relatives au conjoint, concubin ou partenaire susceptibles de divulguer indirectement l’orientation sexuelle - Inclusion | Lien | Vie et orientation sexuelles | Cour de Justice de l'UE | 2022 | |
| 442364 | La Quadrature du Net | 26/04/2022 | Nécessité absolue d'un dispositif de reconnaissance faciale déployé à des fins policières - Conditions - 1) Absence d'alternative moins intrusive - 2) Stricte nécéssité | Lien | Biométrie | Police-Justice | Conseil d'Etat | 2022 |
| Avis 2022-045 | Avis sur projet d’arrêté, VidéoCRA | 31/03/2022 | Données relatives à des infractions de nature pénale et données sensibles - Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction - Absence de qualification automatique | Lien | Définitions, Infraction pénale | Police-Justice | CNIL ou équivalent | 2022 |
| Avis 2022-021 | Avis sur projet de décret | 17/02/2022 | Exceptions mentionnées à l'article 9 du RGPD - Champ d'application - Traitements relevant du seul titre Ier de la loi Informatique et Libertés ou autres - Admission | Lien | Champ d'application | Police-Justice | CNIL ou équivalent | 2022 |
| 2021-834 DC | Loi relative à la responsabilité pénale et à la sécurité intérieure | 20/01/2022 | Drones - Interdiction législative de procéder à de la reconnaissance faciale sur les images - Portée non limitée à l'analyse des images directement par le drone | Lien | Biométrie | Police-Justice | Conseil constitutionnel | 2022 |
| SA 211064 | Courrier présidente | 06/07/2021 | Données sensibles - Candidature d’adhésion à un organisme ayant une finalité religieuse - "Contacts réguliers" permettant de justifier la licéité du traitement - Admission | Lien | Activités lég. d'un organisme non lucratif | CNIL ou équivalent | 2021 | |
| 431875 | M. B... A...-C... | 10/06/2021 | Donnée de santé - Critères - 1) Nature - 2) Gravité de la pathologie | Lien | Données de santé, Définitions | Santé | Conseil d'Etat | 2021 |
| 432656 | La Quadrature du Net | 04/11/2020 | Système d’identification électronique - Reconnaissance faciale - Conditions de liberté du consentement - Recours au traitement exigé par sa finalité et absence de préjudice en cas de refus de consentement | Lien | Bases légales, Consentement, Liberté | Technologie | Conseil d'Etat | 2020 |
| Avis 400231 | Projet de décret « StopCovid » | 26/05/2020 | Application StopCovid - Méconnaissance du droit au respect de la vie privée et du RGPD - Absence - Atteinte au secret médical - Absence - Poursuite de l’objectif de protection de la santé publique | Lien | Santé | Conseil d'Etat | 2020 | |
| C-136/17 | GC e.a. | 24/09/2019 | Déréférencement de données sensibles et pénales: principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice. | Lien | Droits des personnes, Droit à l'effacement et au déréférencement, Données sensibles et pénales | Technologie | Cour de Justice de l'UE | 2019 |
| Avis 397073 | Projet de décret "ALICEM" | 02/04/2019 | Consentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudice | Lien | Bases légales, Consentement, Biométrie, Liberté | Conseil d'Etat | 2019 | |
| SAN-2017-006 | 27/04/2017 | Réseaux sociaux - Paramétrage de confidentialité des comptes - Caractère public des données traitées dans le cadre d’une communauté d’intérêts fermées - Absence | Lien | Caractère manifestement public | Technologie | CNIL ou équivalent | 2017 | |
| C-446/12 à C-449/12 | Willems e.a | 16/04/2015 | Limitation des finalités - Obligation pour les Etats Membres de garantir dans la législation que les données biométriques ne seront pas utilisées ou conservées à des fins autres que la délivrance du passeport ou du document de voyage - Absence | Lien | Biométrie | Police-Justice | Cour de Justice de l'UE | 2015 |
| 358876 | Union nationale du personnel en retraite de la gendarmerie et autres | 15/10/2014 | Traitement automatisé de données sensibles relatives aux pensions d'invalidité - Intérêt public autorisant le traitement des données relatives à la santé - Existence - Respect du secret médical - Existence | Lien | Santé | Conseil d'Etat | 2014 | |
| 361042 | Syndicat National des Enseignements de Second Degré (SNES) | 28/03/2014 | Donnée de santé - Donnée faisant état d’un handicap sans donner d’information sur sa nature - Exclusion | Lien | Données de santé | Santé | Conseil d'Etat | 2014 |
| 2011-173 QPC | M. Louis C et autres | 30/09/2011 | Respect de la vie privée - Condition de réalisation des expertises génétiques sur une personne décédée à des fins d'actions en matière de filiation - Accord durant le vivant | Lien | Génétique | Santé | Conseil constitutionnel | 2011 |
| 334014 | M. F et Mme C | 19/07/2010 | Donnée de santé - Critères - 1) Nature - 2) Durée - 3) Gravité de la pathologie | Lien | Données de santé, Définitions | Santé | Conseil d'Etat | 2010 |
| 334014 | M. F et Mme C | 19/07/2010 | Donnée de santé - Code d’identification d’un établissement scolaire accueillant des enfants handicapés - Exclusion | Lien | Données de santé | Santé | Conseil d'Etat | 2010 |
| 317182 | M. X et Mme Y | 19/07/2010 | Donnée de santé - Catégorie de classe d'intégration scolaire (CLIS) - Inclusion - Structure de soins accueillant des élèves - Exclusion | Lien | Données de santé | Santé | Conseil d'Etat | 2010 |
| 263081 | Association Comité télévision et libertés et autres | 17/05/2006 | Données concernant la vie sexuelle - Données relatives au choix d’un abonné d’un service de télévision de recevoir certains programmes - Exclusion | Lien | Vie et orientation sexuelles | Santé | Conseil d'Etat | 2006 |
| 252691 | M.C | 10/03/2004 | Donnée sensible et donnée de nature à faire apparaître les opinions politiques - Données relatives à l’abstention électorale - Exclusion | Lien | Opinions politiques | Conseil d'Etat | 2004 | |
| C-101/01 | Lindqvist | 06/11/2003 | Donnée de santé - Indication du fait qu'une personne s'est blessée au pied et est en congé maladie - Inclusion | Lien | Données de santé | Santé | Cour de Justice de l'UE | 2003 |
| 99-82.136 | Médecins et secrétaires médicaux, tenus au secret professionnel, ayant accès aux données médicales de patients enregistrées par d’autres médecins | 30/10/2001 | Tiers non autorisés - Médecins et secrétaires médicaux, tenus au secret professionnel, ayant accès aux données médicales de patients enregistrées par d’autres médecins dans le cadre d’un système d’information commun - Absence | Lien | Données de santé | Santé | Cour de cassation | 2001 |
Actualités
Profitez de nos actualités en lien avec cet article !
Chargement des actualités...
<< Retourner au menu