Article
En savoir plus...
Jurisprudence
Actualités
Article 2 - Champ d'application matériel
1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué:
- a) dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union;
- b) par les États membres dans le cadre d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne;
- c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;
- d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
4. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.
En savoir plus...
L'article 2 définit le champ d'application matériel du RGPD. Le paragraphe 1 précise que le règlement s'applique à tout traitement de données à caractère personnel effectué à l'aide de procédés automatisés ou au traitement non automatisé de données à caractère personnel qui sont ou sont destinées à être conservées dans un fichier. Le paragraphe 2 prévoit des exceptions, telles que le traitement de données relatives à des activités en dehors du champ d'application du droit européen ou relatives à des activités purement personnelles ou domestiques. Le paragraphe 3 confirme la validité des lois sectorielles sur la protection des données pour le traitement effectué par les institutions européennes, à condition que ces réglementations soient mises en conformité avec le Règlement. Enfin, le paragraphe 4 précise que les règles de la directive 2000/31/CE ne sont pas affectées par les dispositions du RGPD.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
[Harmonisation de la protection et dérogations pour les petites entreprises]
13. Afin d'assurer un niveau cohérent de protection des personnes physiques dans l'ensemble de l'Union, et d'éviter que des divergences n'entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d'obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu'une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l'Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. Les institutions et organes de l'Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l'application du présent règlement. Pour définir la notion de micro, petites et moyennes entreprises, il convient de se baser sur l'article 2 de l'annexe de la recommandation 2003/361/CE de la Commission.
[Non applicabilité aux personnes morales]
14. La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.
[Neutralité technologique]
15. Afin d'éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.
[Non applicabilité aux domaines de la sécurité nationale]
16. Le présent règlement ne s'applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d'application du droit de l'Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s'applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.
[Adaptation du Règlement n°45/2001]
17. Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (6) s'applique au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l'Union applicables audit traitement des données à caractère personnel devraient être adaptés aux principes et aux règles fixés dans le présent règlement et appliqués à la lumière du présent règlement. Pour mettre en place un cadre de protection des données solide et cohérent dans l'Union, il convient, après l'adoption du présent règlement, d'apporter les adaptations nécessaires au règlement (CE) no 45/2001 de manière à ce que celles-ci s'appliquent en même temps que le présent règlement.
[Exception domestique]
18. Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.
[Non applicabilité aux procédures pénales]
19. La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l'Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil (7). Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.
En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.
[Respect de l'indépendance du pouvoir judiciaire]
20. Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.
[Application sans préjudice de la directive 2000/31/EC]
21. Le présent règlement s'applique sans préjudice de l'application de la directive 2000/31/CE du Parlement européen et du Conseil (8), et notamment du régime de responsabilité des prestataires de services intermédiaires prévu dans ses articles 12 à 15. Cette directive a pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services de la société de l'information entre les États membres.
[Non applicabilité aux données de personnes décédées]
27. Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.
13. Afin d'assurer un niveau cohérent de protection des personnes physiques dans l'ensemble de l'Union, et d'éviter que des divergences n'entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d'obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu'une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l'Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. Les institutions et organes de l'Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l'application du présent règlement. Pour définir la notion de micro, petites et moyennes entreprises, il convient de se baser sur l'article 2 de l'annexe de la recommandation 2003/361/CE de la Commission.
[Non applicabilité aux personnes morales]
14. La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.
[Neutralité technologique]
15. Afin d'éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.
[Non applicabilité aux domaines de la sécurité nationale]
16. Le présent règlement ne s'applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d'application du droit de l'Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s'applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.
[Adaptation du Règlement n°45/2001]
17. Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (6) s'applique au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l'Union applicables audit traitement des données à caractère personnel devraient être adaptés aux principes et aux règles fixés dans le présent règlement et appliqués à la lumière du présent règlement. Pour mettre en place un cadre de protection des données solide et cohérent dans l'Union, il convient, après l'adoption du présent règlement, d'apporter les adaptations nécessaires au règlement (CE) no 45/2001 de manière à ce que celles-ci s'appliquent en même temps que le présent règlement.
[Exception domestique]
18. Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.
[Non applicabilité aux procédures pénales]
19. La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l'Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil (7). Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.
En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.
[Respect de l'indépendance du pouvoir judiciaire]
20. Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.
[Application sans préjudice de la directive 2000/31/EC]
21. Le présent règlement s'applique sans préjudice de l'application de la directive 2000/31/CE du Parlement européen et du Conseil (8), et notamment du régime de responsabilité des prestataires de services intermédiaires prévu dans ses articles 12 à 15. Cette directive a pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services de la société de l'information entre les États membres.
[Non applicabilité aux données de personnes décédées]
27. Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.
Droit souple
Documents anciens
> WP29 - Lignes directrices - Techniques d'anonymisation
WP216, 10 avril 2014
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-33/22 | Österreichische Datenschutzbehörde | 16/01/2024 | Exception au champ d'application du droit de l'Union (ici, du RGPD) - Activité exercée par une commission d'enquête du seul fait de sa qualité - Absence | Lien | A classer | Administration | Cour de Justice de l'UE | 2024 |
| C-33/22 | Österreichische Datenschutzbehörde | 16/01/2024 | Exception au champ d'application du droit de l'Union (ici, du RGPD) - Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie - Activité d'une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôler une autorité policière - Exclusion | Lien | Sécurité nationale | Administration | Cour de Justice de l'UE | 2024 |
| 21-18.558 | Société FHF International | 01/06/2023 | Administration fiscale - Traitement aux fins d’obtenir le droit de procéder à une mesure d’enquête - Fraude fiscale - Champ d’application matériel du RGPD | Lien | Droit applicable | Economie et fiscalité, Police-Justice | Cour de cassation | 2023 |
| C-180/21 | Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données – Enquête pénale) | 08/12/2022 | Droit applicable - Traitements effectués par le parquet d’un État membre aux fins d’exercer ses droits de la défense dans le cadre d’un recours en responsabilité de l’État - RGPD - Admission | Lien | Droit applicable | Police-Justice | Cour de Justice de l'UE | 2022 |
| C-306/21 | Koalitsia « Demokratichna Bulgaria - Obedinenie » | 20/10/2022 | Champ d'application du RGPD - Traitement de données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre - Inclusion | Lien | Sécurité nationale | Administration | Cour de Justice de l'UE | 2022 |
| SAN-2022-012 | Société X | 23/06/2022 | Anonymisation - Mesures permettant d’assurer une anonymisation effective - Exemple | Lien | A classer | CNIL ou équivalent | 2022 | |
| C-439/19 | Latvijas Republikas Saeima (Points de pénalité) | 22/06/2021 | Exception au champ d'application du droit de l'Union - Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie - Activité visant à améliorer la sécurité routière - Exclusion | Lien | Sécurité nationale | Police-Justice | Cour de Justice de l'UE | 2021 |
| C-623/17 | Privacy International | 06/10/2020 | Réglementation nationale permettant à une autorité étatique d'imposer aux FAI la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement - Droit applicable - Droit de l'Union | Lien | Droit applicable | Police-Justice | Cour de Justice de l'UE | 2020 |
| C-311/18 | Schrems II (Facebook Ireland et Schrems) | 16/07/2020 | Champ d'application du RGPD - Transferts à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers - Inclusion - Données susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale - Absence d’incidence | Lien | Sécurité nationale | Economie et fiscalité | Cour de Justice de l'UE | 2020 |
| C-272/19 | Land Hessen | 09/07/2020 | Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie de nature à exclure l'application du RGPD - Traitement propre à l’État ou à une autorité publique - Absence de qualification automatique | Lien | Sécurité nationale | Police-Justice | Cour de Justice de l'UE | 2020 |
| 431350 | Cercle de réflexion et de proposition d’actions sur la psychiatrie et autres | 27/03/2020 | 1) Traitement mettant en relation les traitements HOPSYWEB et FSPRT - Finalité - Prévention de la radicalisation à caractère terroriste - 2) Conséquences - a) Application des dispositions relatives aux traitements intéressant la sûreté de l'État et la défense - Existence - b) Application du RGPD - Absence | Lien | Sécurité nationale | Police-Justice | Conseil d'Etat | 2020 |
| 424216 | Association des américains accidentels | 19/07/2019 | Distinction entre objet pénal et finalité pénale | Lien | Droit applicable | Police-Justice | Conseil d'Etat | 2019 |
| Avis 396212 | Projet de décret (validation du visa long séjour valant titre de séjour) | 27/11/2018 | Application de gestion des dossiers des ressortissants étrangers en France - Adoption d’un téléservice visant à recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour - RGPD | Lien | Droit applicable | Police-Justice | Conseil d'Etat | 2018 |
| C-25/17 | Jehovan todistajat | 10/07/2018 | Exception domestique - Collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et traitements ultérieurs de ces données - Exclusion | Lien | Exception domestique | Cour de Justice de l'UE | 2018 | |
| 372111 | Mme X et Mme Y | 18/11/2015 | Champ d'application du RGPD - Traitements non automatisés de données à caractère personnel soumis à la loi du 6 janvier 1978 - Collecte, conservation et consultation des empreintes digitales relevées lors d'une demande de carte nationale d'identité - Inclusion | Lien | Automatisation | Administration | Conseil d'Etat | 2015 |
| C-212/13 | Ryneš | 11/12/2014 | Exception domestique - Caméra de surveillance à l’intérieur d’une maison familiale surveillant partiellement l’espace public - Exclusion | Lien | Exception domestique | Cour de Justice de l'UE | 2014 | |
| C-141/12 et C-372/12 | YS e.a. | 17/07/2014 | Exception domestique - 1) Conditions - Activités exclusivement personnelles ou domestiques - 2) Cas de la caméra de surveillance à l’intérieur d’une maison familiale surveillant partiellement l’espace public - Exclusion | Lien | Exception domestique | Cour de Justice de l'UE | 2014 | |
| C-101/01 | Lindqvist | 06/11/2003 | Exception au champ d'application du droit de l'Union - Traitement de données ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités de l’État relatives à des domaines du droit pénal - Interprétation stricte | Lien | Sécurité nationale | Administration | Cour de Justice de l'UE | 2003 |
| C-101/01 | Lindqvist | 06/11/2003 | Champ d'application du RGPD - Exception domestique - Interprétation stricte - Nombre de destinataires indéterminé - Exclusion | Lien | Exception domestique | Cour de Justice de l'UE | 2003 |
Actualités
Profitez de nos actualités en lien avec cet article !Note: le flux RSS correpondant à cet article semble vide. Nous vous proposons donc le flux ci-dessous, qui utilise un filtre plus large.
APD (autorité belge)
24 avril 2025
Non respect d’une injonction prononcée par l’autorité contre une agence immobilière: 6 000 euros d’amende
L’Autorité de protection des données (APD) belge a publié ce 24 avril 2025 une décision de sanction à l’encontre de l’Agence Immobilière pour ne pas avoir respecté une injonction que l’APD lui avait précédemment adressée dans sa décision 172/2022. L’agence immobilière [...]
ANSPDCP (autorité roumaine)
24 avril 2025
Poursuite du traitement après le prétendu « effacement » des données : une entreprise sanctionnée en Roumanie
L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction rendue à l’encontre de l’opérateur Dante International SA, avec une amende de 49.770 lei (l’équivalent de 10.000 EUR) à la clé, en raison de manquements liés à des lacunes dans la gestion du droit à [...]
L’Usine digitale
24 avril 2025
Le réseau d’achat-revente Easy Cash prévient ses clients d’une fuite de données
Easy Cash, société française spécialisée dans l’achat-revente de produits d’occasion et reconditionnés, a été à son tour victime d’une cyberattaque. Dans un e-mail envoyé à ses clients le 23 avril, l’enseigne indique avoir subi un “incident de cybersécurité localisé sur l’ordinateur d’un magas [...]
CNIL
24 avril 2025
Ordre du jour de la séance plénière du 24 avril 2025
La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 24 avril 2025 à 9 h 30 avec l’ordre du jour suivant :
Partie I (avec débats):
* Bilan des demandes d’exercice des droits indirects et des plaintes ;
* Présentation d’un projet de communication « sécurisation des grandes bases de données » ;
[...]
PIPC (autorité coréenne)
24 avril 2025
En Corée du Sud, annonce des résultats de l’examen préliminaire du service DeepSeek
Suite au lancement du service DeepSeek en janvier de cette année, des préoccupations concernant les violations de données personnelles ont été soulevées tant au niveau national qu’international. La Commission de protection a immédiatement envoyé un questionnaire à DeepSeek concernant sa méthode de collecte et de traitement de [...]
NOYB – None of your business
24 avril 2025
Vous aimez jouer seul? Ubisoft vous surveille quand même! NOYB dépose plainte auprès de l’autorité autrichienne
Aujourd’hui, noyb a déposé une plainte contre le développeur et éditeur français de jeux vidéo Ubisoft (connu pour Assassins Creed, Far Cry, Prince of Persia). L’entreprise oblige ses clients à se connecter à l’internet chaque fois qu’ils lancent un jeu solo. C’est le cas mê [...]
ICO (autorité anglaise)
24 avril 2025
Une entreprise condamnée à 90 000 £ pour des appels marketing illégaux
L’ICO a annoncé avoir infligé une amende de 90 000 livres sterling (soit environ 105 000 euos) à AFK Letters Co Ltd (AFK) pour avoir passé plus de 95 000 appels commerciaux non sollicités à des personnes enregistrées auprès du Telephone Preference Service (TPS), l’équivalent de Bloctel, en violation flagrante de la législation sur le mark [...]
CNIL
24 avril 2025
Consentement multi-terminaux : la CNIL lance une consultation publique sur son projet de recommandation
Les utilisateurs interagissent désormais avec des sites web ou applications mobiles via divers appareils : ordinateur, smartphone, tablette ou télévision connectée, parfois en étant connectés à un compte utilisateur. Avec la multiplication des objets connectés, les demandes de consentement pour l’utilisation de cooki [...]
Contrôleur européen de la protection de données (EDPS)
23 avril 2025
Rapport annuel 2024 de l’EDPS
Le CEPD a présenté aujourd’hui son rapport annuel 2024, concluant son mandat 2020 – 2024 axé sur l’élaboration d’un avenir numérique plus sûr, et marquant les deux décennies de protection de la vie privée et des données personnelles de l’institution. Wojciech Wiewiórowski, EDPS, a déclaré : « Le paysage numérique est en constante évolution – c&rsqu [...]
Comité européen sur la protection des données (EDPB)
23 avril 2025
Rapport annuel 2024 de l’EDPB : protéger les données à caractère personnel dans un paysage en mutation
Le comité européen de la protection des données (CEPD) a aujourd’hui publié son rapport annuel 2024. Celui-ci donne un aperçu des travaux du comité européen de la protection des données menés en 2024 et examine les étapes importantes, telles que l’adoption de la stratégie 2024-2027, l’augmentati [...]
<< Retourner au menu