Article
En savoir plus...
Jurisprudence
Actualités
Article 10 - Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1 ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.En savoir plus...
L'article 10 du RGPD est une disposition complémentaire à la directive Police-Justice. Il vise à garantir que le traitement des données pénales reste effectué conformément aux principes du RGPD et avec des garanties appropriées lorsque la directive n'est pas directement applicable (auquel cas le traitement ne serait plus dans le champ du RGPD, conformément à l'article 2). Les données pénales sont en effet des données susceptibles de conduire à la stigmatisation, ce qui peut avoir des effets profonds sur différents aspects de la vie d'une personne concernée en raison de leur nature sensible. Par exemple, lorsque des données sont traitées de manière inappropriée dans le contexte de l'emploi (voir,en ce sens, CJUE, C‑439/19, Latvijas Republikas Saeima).Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
[Non applicable aux activités de poursuite judiciaire]
19. La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l'Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil (7). Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.
En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.
[Notion de finalité compatible]
50. Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c'est-à -dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes d'intervention en cas d'incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques.
19. La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l'Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil (7). Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.
En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.
[Notion de finalité compatible]
50. Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c'est-à -dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes d'intervention en cas d'incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques.
Droit souple
Lignes directrices et recommandations
> EDPB РLignes directrices 05/2022 РUtilisation de la technologie de reconnaissance faciale dans le domaine r̩pressif (v2.0)
26 avril 2023
> EDPB – Recommandations 01/2021 – Critères de référence pour l’adéquation dans le cadre de la directive Police-Justice (v1.0)
2 février 2021
> EDPB РRecommandations 02/2020 РGaranties essentielles europ̩ennes pour les mesures de surveillance (v1.0)
10 novembre 2020
Référentiels
> CNIL РR̩f̩rentiel РD̩signation des conducteurs ayant commis une infraction au code de la route
12 avril 2021
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 6 - Licéité du traitement
Cet article est cité par...
> Article 6 - Licéité du traitement
> Article 30 - Registre des activités de traitement
> Article 35 - Analyse d'impact relative à la protection des données
> Article 37 - Désignation du délégué à la protection des données
Autres textes liés
> Directive n°2016/680 dite "Police-Justice"
27 avril 2016
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL – Recommandations – Applications mobiles
8 avril 2025
> CNIL РRecommandations РUtilisation des donn̩es de localisation des v̩hicules connect̩s
25 mars 2025 (Projet, Ouvert à consultation publique)
> EDPB – Lignes directrices 2/2023 – Champ d’application technique de l’article 5,3 de la directive ePrivacy (2002/56/CE)
7 octobre 2024 (v2.0)
> CNIL РRecommandations РR̩utilisateurs de donn̩es publi̩es sur Internet
12 juin 2024
> CNIL РRecommandations РDispositifs de vid̩osurveillance au sein des chambres des Ehpads
29 février 2024
> CNIL – Recommandations – Utilisation des interfaces de programmation applicatives (API)
7 juillet 2023
> CNIL РRecommandations РT̩l̩surveillance pour les examens en ligne
8 juin 2023
> EDPB – Lignes directrices 02/2021 – Assistants vocaux virtuels
7 juillet 2021 (v2.0)
> EDPB РLignes directrices 8/2020 РLe ciblage des utilisateurs de m̩dias sociaux
13 avril 2021 (v2.0)
> EDPB – Lignes directrices 01/2020 – Véhicules connectés et applications liées à la mobilité
9 mars 2021 (v2.0)
> EDPB – Lignes directrices 6/2020 – L’interaction entre la deuxième directive sur les services de paiement et le RGPD
15 décembre 2020 (v2.0)
> CNIL – Lignes directrices – Cookies et autres traceurs
17 septembre 2020
> CNIL – Recommandations – Cookies et autres traceurs
17 septembre 2020
> EDPB – Lignes directrices 3/2019 – Le traitement des données à caractère personnel par des dispositifs vidéo
29 janvier 2020 (v2.0)
Référentiels
> CNIL – Référentiel – Mise en oeuvre d’un dispositif d’alerte professionnelle
6 juillet 2023
> CNIL РR̩f̩rentiel РGestion des officines de pharmacie
18 juillet 2022
> CNIL РR̩f̩rentiel РGestion des activit̩s commerciales
3 février 2022
> CNIL РR̩f̩rentiel РGestion des impay̩s dans une transaction commerciale
3 février 2022
> CNIL – Référentiel – Protection de l’enfance et des jeunes majeurs de moins de 21 ans
20 janvier 2022
> CNIL РR̩f̩rentiel РGestion locative
6 mai 2021
> CNIL РR̩f̩rentiel РAccueil, h̩bergement et accompagnement social et m̩dico-social des personnes ̢g̩es, des personnes en situation de handicap et de celles en difficult̩
11 mars 2021
> CNIL РR̩f̩rentiel РGestion du personnel
21 novembre 2019
Guides pratiques
> CNIL РGuide pratique РEquipe de d̩veloppement
13 décembre 2021 ((sur le github de la CNIL))
> CNIL РGuide pratique РSensibilisation pour les collectivit̩s territoriales
18 septembre 2019
> CNIL – Guide pratique – L’Ordre des médecins
1 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-548/21 | Bezirkshauptmannschaft Landeck | 04/10/2024 | Accès de la police aux données contenues dans un téléphone portable - Limitation à la lutte contre la criminalité grave - Absence | Lien | Directive Police-Justice | Police-Justice | Cour de Justice de l'UE | 2024 |
| C-548/21 | Bezirkshauptmannschaft Landeck | 04/10/2024 | Accès de la police aux données contenues dans un téléphone portable - Information des motifs sur lesquels repose l'autorisation à partir du moment où cela n'impacterait plus l'enquête - Obligation | Lien | Directive Police-Justice, Moment de l'information | Police-Justice | Cour de Justice de l'UE | 2024 |
| C-740/22 | Endemol Shine Finland Oy | 07/03/2024 | "Open Data" des documents administratifs - Communication orale des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction à toute personne - Exclusion | Lien | A classer | Administration | Cour de Justice de l'UE | 2024 |
| Avis 2022-045 | Avis sur projet d’arrêté, VidéoCRA | 31/03/2022 | Données relatives à des infractions de nature pénale et données sensibles - Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction - Absence de qualification automatique | Lien | Définitions, Infraction pénale | Police-Justice | CNIL ou équivalent | 2022 |
| Avis 2022-045 | Avis sur projet d’arrêté, VidéoCRA | 31/03/2022 | 1) Placement en centre ou en lieu de rétention - Donnée relative à des infractions de nature pénale - Indépendance - 2) Traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative et des zones d’attente - Qualification - Exemples | Lien | Droit applicable | Police-Justice | CNIL ou équivalent | 2022 |
| C-175/20 | Valsts ieņēmumu dienests | 24/02/2022 | Donnée relative aux infractions de nature pénale soumise à la directive « Police-Justice » - Perception de l’impôt et lutte contre la fraude fiscale par l’administration fiscale - Absence | Lien | Directive Police-Justice | Police-Justice | Cour de Justice de l'UE | 2022 |
| 444992 | M. M... B... | 10/11/2021 | Juridictions compétentes pour le contentieux portant sur les traitements mixtes | Lien | A classer | Conseil d'Etat | 2021 | |
| 18-18.824 | M. X | 23/06/2021 | Mesure d’identification d’une adresse IP par le juge sur le fondement de l’article 145 du code de procédure civile - Communication nécessaire à l’exercice ou à la défense d’un droit en justice - Licéité - Conditions | Lien | Licéité | Police-Justice | Cour de cassation | 2021 |
| C-439/19 | Latvijas Republikas Saeima (Points de pénalité) | 22/06/2021 | Qualification interne de "sanction administrative" - "Infraction" au sens du droit de l'UE dont le traitement est soumis à la directive « Police-Justice » - Rejet | Lien | Infraction pénale | Police-Justice | Cour de Justice de l'UE | 2021 |
| C-439/19 | Latvijas Republikas Saeima (Points de pénalité) | 22/06/2021 | Infraction pénale en droit de l'UE (notion autonome) - Critères de définition - 1) Qualification en droit interne - 2) Nature même de l’infraction - 3) Degré de sévérité de la sanction | Lien | Infraction pénale | Police-Justice | Cour de Justice de l'UE | 2021 |
| C-439/19 | Latvijas Republikas Saeima (Points de pénalité) | 22/06/2021 | Donnée relative aux infractions de nature pénale au sens du droit de l'UE - Données relatives à des points de pénalité infligés à la suite d’un manquement à la réglementation routière - Inclusion | Lien | Infraction pénale | Police-Justice, Transports | Cour de Justice de l'UE | 2021 |
| C-439/19 | Latvijas Republikas Saeima (Points de pénalité) | 22/06/2021 | Registre des points de pénalités imposés aux conducteurs - 1) Législation nationale en prévoyant la publication - Inconventionnalité - 2) Législation nationale autorisant sa transmission à des entreprises à des fins de réutilisation - Inconventionnalité | Lien | A classer | Police-Justice | Cour de Justice de l'UE | 2021 |
| Avis 2021-055 | Avis sur projet de décret | 12/05/2021 | Crise sanitaire - Traitement mis en œuvre dans le cadre du suivi de mesures individuelles de quarantaine et d’isolement et à l’accompagnement des personnes - Régime mixte | Lien | Directive Police-Justice | Police-Justice | CNIL ou équivalent | 2021 |
| C-136/17 | GC e.a. | 24/09/2019 | Déréférencement de données sensibles et pénales: principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice. | Lien | Droits des personnes, Données sensibles et pénales | Technologie | Cour de Justice de l'UE | 2019 |
| C-136/17 | GC e.a. | 24/09/2019 | Déréférencement de données relatives à une procédure judiciaire en cours - 1) Donnée "pénale" - Inclusion - 2) Obligation de faire droit à une demande portant sur des informations obsolètes - Prévalence des intérêts de la personne concernée | Lien | Droits des personnes, Infraction pénale | Police-Justice | Cour de Justice de l'UE | 2019 |
| 424216 | Association des américains accidentels | 19/07/2019 | Distinction entre objet pénal et finalité pénale | Lien | Droit applicable | Police-Justice | Conseil d'Etat | 2019 |
| 406664 | Association française des sociétés financières | 06/04/2018 | Données relatives aux infractions de nature pénale - Données collectées dans le seul but d’assurer la sécurité des manifestations sportives - Exclusion | Lien | Infraction pénale | Police-Justice | Conseil d'Etat | 2018 |
| 375669 | Société Renault Trucks | 11/05/2015 | Données relatives aux infractions de nature pénale - 1) Données collectées dans le but d'établir ou de prévenir une infraction - Inclusion - 2) Possibilité pour les victimes d'infractions de traiter ces données - Existence | Lien | Infraction pénale | Police-Justice | Conseil d'Etat | 2015 |
| 2009-580 DC | Loi favorisant la diffusion et la protection de la création sur internet | 10/06/2009 | Autorisation donnée à des personnes privées de traiter de données à caractère personnel relatives à des infractions pour repérer des contrefaçons en ligne - Licéité - Condition - Limitation à la protection des droits des victimes | Lien | Licéité | Police-Justice | Conseil constitutionnel | 2009 |
| 08-84.088 | Cyrille Y. | 13/01/2009 | Données relatives aux infractions de nature pénale - Constatations visuelles effectuées sur internet et renseignements (dont l'adresse IP) à des fins de lutte contre les contrefaçons - Exclusion | Lien | Infraction pénale | Police-Justice | Cour de cassation | 2009 |
Actualités
Profitez de nos actualités en lien avec cet article !
Chargement des actualités...
<< Retourner au menu