Article 2 – Champ d’application matériel

Article 2 - Champ d'application matériel

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué:

a) dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union;
b) par les États membres dans le cadre d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne;
c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

3. Le règlement (CE) no 45/2001 s'applique au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l'Union applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l'article 98.

4. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.

En savoir plus...

L'article 2 définit le champ d'application matériel du RGPD. Le paragraphe 1 précise que le règlement s'applique à tout traitement de données à caractère personnel effectué à l'aide de procédés automatisés ou au traitement non automatisé de données à caractère personnel qui sont ou sont destinées à être conservées dans un fichier. Le paragraphe 2 prévoit des exceptions, telles que le traitement de données relatives à des activités en dehors du champ d'application du droit européen ou relatives à des activités purement personnelles ou domestiques. Le paragraphe 3 confirme la validité des lois sectorielles sur la protection des données pour le traitement effectué par les institutions européennes, à condition que ces réglementations soient mises en conformité avec le Règlement. Enfin, le paragraphe 4 précise que les règles de la directive 2000/31/CE ne sont pas affectées par les dispositions du RGPD.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Harmonisation de la protection et dérogations pour les petites entreprises]
13. Afin d'assurer un niveau cohérent de protection des personnes physiques dans l'ensemble de l'Union, et d'éviter que des divergences n'entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d'obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu'une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l'Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. Les institutions et organes de l'Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l'application du présent règlement. Pour définir la notion de micro, petites et moyennes entreprises, il convient de se baser sur l'article 2 de l'annexe de la recommandation 2003/361/CE de la Commission.

[Non applicabilité aux personnes morales]
14. La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

[Neutralité technologique]
15. Afin d'éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.

[Non applicabilité aux domaines de la sécurité nationale]
16. Le présent règlement ne s'applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d'application du droit de l'Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s'applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.

[Adaptation du Règlement n°45/2001]
17. Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (6) s'applique au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l'Union applicables audit traitement des données à caractère personnel devraient être adaptés aux principes et aux règles fixés dans le présent règlement et appliqués à la lumière du présent règlement. Pour mettre en place un cadre de protection des données solide et cohérent dans l'Union, il convient, après l'adoption du présent règlement, d'apporter les adaptations nécessaires au règlement (CE) no 45/2001 de manière à ce que celles-ci s'appliquent en même temps que le présent règlement.

[Exception domestique]
18. Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

[Non applicabilité aux procédures pénales]
19. La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l'Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil (7). Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.

En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.

[Respect de l'indépendance du pouvoir judiciaire]
20. Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.

[Application sans préjudice de la directive 2000/31/EC]
21. Le présent règlement s'applique sans préjudice de l'application de la directive 2000/31/CE du Parlement européen et du Conseil (8), et notamment du régime de responsabilité des prestataires de services intermédiaires prévu dans ses articles 12 à 15. Cette directive a pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services de la société de l'information entre les États membres.

[Non applicabilité aux données de personnes décédées]
27. Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

Droit souple

Documents anciens

> WP29 - Lignes directrices - Techniques d'anonymisation

WP216, 10 avril 2014

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

Cet article cite...

> Article 98 - Réexamen d'autres actes juridiques de l'Union relatifs à la protection des données

En savoir plus...

Droit souple (sectoriel ou transversal)

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Lien
C-33/22	Österreichische Datenschutzbehörde	16/01/2024	2024	Autriche	Cour de Justice de l'UE	Sécurité nationale	Administration	Exception au champ d'application du droit de l'Union (ici, du RGPD) - Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie - Activité d'une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôler une autorité policière - Exclusion		57. Eu égard à ce qui précède, il convient de répondre à la deuxième question que l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de celui-ci, doit être interprété en ce sens que ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d’application du droit de l’Union, au sens de cette disposition, les activités d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État en raison d’un soupçon d’influence politique sur cette autorité.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
21-18.558	Société FHF International	01/06/2023	2023	France	Cour de cassation	Droit applicable	Police-Justice, Economie et fiscalité	Administration fiscale - Traitement aux fins d’obtenir le droit de procéder à une mesure d’enquête - Fraude fiscale - Champ d’application matériel du RGPD		9. La Cour de justice a ensuite retenu que, s'agissant de la collecte, par une administration fiscale, auprès d'un opérateur économique, de données à caractère personnel relatives à certains contribuables aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale, « il n'apparaît pas que l'administration fiscale d'un État membre puisse être considérée comme une "autorité compétente", au sens de l'article 3, point 7, de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, [...] 10. Il s'en déduit que le traitement de données à caractère personnel mis en oeuvre par l'administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16 B du livre des procédures fiscales, qui a pour finalité d'obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
C-306/21	Koalitsia « Demokratichna Bulgaria - Obedinenie »	20/10/2022	2022	Bulgarie	Cour de Justice de l'UE	Sécurité nationale	Administration	Champ d'application du RGPD - Traitement de données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre - Inclusion		40. Les activités qui ont pour but de préserver la sécurité nationale visées à l’article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C-439/19, EU:C:2021:504, point 67]. 41. Or, les activités relatives à l’organisation d’élections dans un État membre ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l’article 2, paragraphe 2, sous a), du RGPD. 42. Eu égard aux considérations qui précèdent, il convient de répondre aux première et deuxième questions que l’article 2, paragraphe 2, sous a), du RGPD doit être interprété en ce sens que n’est pas exclu du champ d’application de ce règlement le traitement des données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
C-439/19	Latvijas Republikas Saeima	22/06/2021	2021	Lettonie	Cour de Justice de l'UE	Sécurité nationale	Police-Justice	Exception au champ d'application du droit de l'Union - Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie - Activité visant à améliorer la sécurité routière - Exclusion		66. Il en résulte que l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de ce règlement, doit être considéré comme ayant pour seul objet d’exclure du champ d’application dudit règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie, de telle sorte que le seul fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité (voir, en ce sens, arrêt du 9 juillet 2020, Land Hessen, C-272/19, EU:C:2020:535, point 70). 67. Les activités qui ont pour but de préserver la sécurité nationale visées à l’article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, ainsi que l’a également relevé en substance M. l’avocat général aux points 57 et 58 de ses conclusions, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société. 68. Or, les activités relatives à la sécurité routière ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l’article 2, paragraphe 2, sous a), du RGPD.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
C-311/18	Schrems II (Facebook Ireland et Schrems)	16/07/2020	2020	Irlande	Cour de Justice de l'UE	Sécurité nationale	Economie et fiscalité	Champ d'application du RGPD - Transferts de données à caractère personnel effectués à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers - Inclusion - Données susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale - Absence d’incidence	Afficher A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête ouverte par ce dernier, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des clauses types de protection des données figurant à l’annexe de la décision CPT. Compte tenu de ces éléments, le commissaire a invité M. Schrems à reformuler sa plainte. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI). Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis. En mai 2016, le commissaire a estimé que les clauses types de protection des données figurant à l’annexe de la décision CPT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines. L'affaire arrive une fois de plus devant la CJUE, la nouvelle décision d'adéquation ayant été prise au milieu de l'affaire.	89. Partant, il y a lieu de répondre à la première question que l’article 2, paragraphes 1 et 2, du RGPD doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
C-272/19	Land Hessen	09/07/2020	2020	Allemagne	Cour de Justice de l'UE	Sécurité nationale	Police-Justice	Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie de nature à exclure l'application du RGPD - Traitement propre à l’État ou à une autorité publique - Absence de qualification automatique		69. Certes, la Cour a, en substance, souligné que les activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l’Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et que ces activités sont destinées à définir la portée de l’exception y prévue, de telle sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis) (arrêt du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, points 43 et 44). 70. Cela étant, le fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité. Il est, en effet, nécessaire que cette activité figure au nombre de celles qui sont expressément mentionnées par ladite disposition ou qu’elle puisse être rangée dans la même catégorie que celles-ci.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
431350	Cercle de réflexion et de proposition d’actions sur la psychiatrie et autres	27/03/2020	2020	France	Conseil d'Etat	Sécurité nationale	Police-Justice	1) Traitement mettant en relation les traitements HOPSYWEB et FSPRT - Finalité - Prévention de la radicalisation à caractère terroriste - 2) Conséquences - a) Application des dispositions relatives aux traitements intéressant la sûreté de l'État et la défense - Existence - b) Application du RGPD - Absence		10. Il ressort des pièces du dossier que le traitement créé par le décret attaqué, qui met partiellement en relation les traitements HOPSYWEB et le traitement FSPRT, a pour finalité la prévention de la radicalisation à caractère terroriste. Il s'ensuit qu'il relève, au même titre que le traitement FSPRT, des seules dispositions applicables aux traitements intéressant la sûreté de l'Etat et la défense, aujourd'hui regroupées au sein du titre IV de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ainsi que des dispositions communes à l'ensemble des traitements figurant aujourd'hui au titre I. Il ne relève dès lors pas du champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi du 6 janvier 1978 relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable. Les moyens tirés de la méconnaissance des dispositions de ce règlement, en particulier le moyen tiré de l'insuffisance de l'analyse d'impact, ne peuvent donc qu'être écartés comme inopérants, sans qu'il soit besoin de surseoir à statuer jusqu'à ce que la Cour de justice de l'Union européenne se soit prononcée sur l'interprétation qu'il convient de retenir des articles 9, 12, 13, 14, 16 et 17 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b	115	Accéder à la décision
424216	Association des américains accidentels	19/07/2019	2019	France	Conseil d'Etat	Droit applicable	Police-Justice	Distinction entre objet pénal et finalité pénale		8. [...] Si le traitement créé par l'arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l'évasion fiscales, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s'ensuit, eu égard à cet objet, qu'il est au nombre des traitements visés à l'article 31 précité qui constitue l'exacte reprise de l'article 26 de cette même loi, dans sa version en vigueur à la date d'édiction des arrêtés du 5 octobre 2015 et du 25 juillet 2017. 18. [...] Alors même qu'ainsi qu'il a été dit au point 8, le traitement litigieux a plusieurs objets, au nombre desquels figurent la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables français et américains. Il s'ensuit qu'il relève du champ d'application du règlement du 27 avril 2016 et non de celui de la directive du même jour.	2, 10	70142f66475ae2fb33722d8d4750f386ecfefe7b	31, 87	Accéder à la décision
Avis 396212	Projet de décret (validation du visa long séjour valant titre de séjour)	27/11/2018	2018	France	Conseil d'Etat	Droit applicable	Police-Justice	Application de gestion des dossiers des ressortissants étrangers en France - Adoption d’un téléservice visant à recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour - RGPD		Le Conseil d’État (section de l’intérieur) estime que cette nouvelle fonctionnalité du traitement de données, dont l’objet est de recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour, n’a pas pour finalité première la prévention et la détection d’infractions pénales, la conduite d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et ne relève pas de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 mais du règlement 2016/679 du Parlement européen et du Conseil (règlement général sur la protection des données).	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
C-25/17	Jehovan todistajat	10/07/2018	2018	Finlande	Cour de Justice de l'UE	Exception domestique		Exception domestique - Collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et traitements ultérieurs de ces données - Exclusion		51. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 3, paragraphe 2, de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens que la collecte de données à caractère personnel par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
372111	Mme X et Mme Y	18/11/2015	2015	France	Conseil d'Etat	Automatisation	Administration	Champ d'application du RGPD - Traitements non automatisés de données à caractère personnel soumis à la loi du 6 janvier 1978 - Collecte, conservation et consultation des empreintes digitales relevées lors d'une demande de carte nationale d'identité - Inclusion		l3. [...] Que, par suite, la collecte, la conservation et la consultation des empreintes digitales effectuées sur le fondement de l'article 5 du décret du 22 octobre 1955, sous la responsabilité du ministre de l'intérieur, entrent dans le champ d'application de la loi du 6 janvier 1978, nonobstant la circonstance que ces fichiers ne sont pas numérisés et qu'ils ne sont constitués et conservés qu'au seul niveau des préfectures, pour l'arrondissement du chef lieu d'un département, ou des sous-préfectures, et des consulats ;	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
C-212/13	Ryneš	11/12/2014	2014	République Tchèque	Cour de Justice de l'UE	Exception domestique		Exception domestique - 1) Conditions - Activités exclusivement personnelles ou domestiques - 2) Cas de la caméra de surveillance à l’intérieur d’une maison familiale surveillant partiellement l’espace public - Exclusion		30. Cette interprétation stricte trouve son fondement également dans le libellé même de cette disposition qui soustrait à l’application de la directive 95/46 le traitement des données effectué pour l’exercice d’activités non pas simplement personnelles ou domestiques, mais «exclusivement» personnelles ou domestiques. [...] 33. Dans la mesure où une vidéosurveillance telle que celle en cause au principal s’étend, même partiellement, à l’espace public et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données par ce moyen, elle ne saurait être considérée comme une activité exclusivement «personnelle ou domestique», au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
C-101/01	Bodil Lindqvist	06/11/2003	2003	Suède	Cour de Justice de l'UE	Exception domestique		Champ d'application du RGPD - Exception domestique - Interprétation stricte - Nombre de destinataires indéterminé - Exclusion	Afficher Mme Lindqvist exerçait la fonction de formatrice de communicants dans la paroisse d'Alseda (Suède). Elle a suivi un cours d'informatique dans le cadre duquel elle devait notamment créer une page d'accueil sur Internet. À la fin de l'année 1998, Mme Lindqvist a créé, à son domicile et avec son ordinateur personnel, des pages Internet dans le but de permettre aux paroissiens préparant leur confirmation d'obtenir facilement les informations dont ils pouvaient avoir besoin. À sa demande, l'administrateur du site Internet de l'Église de Suède a établi un lien entre ces pages et ledit site. Les pages visées contenaient des informations sur Mme Lindqvist et 18 de ses collègues de la paroisse, y compris leur nom complet ou parfois seulement leur prénom. Mme Lindqvist a en outre décrit les fonctions occupées par ses collègues et leurs loisirs en termes légèrement humoristiques. Dans plusieurs cas, leur situation familiale, leur numéro de téléphone et d'autres informations ont été mentionnés. Par ailleurs, elle a indiqué qu'une de ses collègues s'était blessée au pied et qu'elle était en congé de maladie partiel. Mme Lindqvist n'avait ni informé ses collègues de l'existence de ces pages, ni recueilli leur consentement, ni déclaré sa démarche à la Datainspektion (organisme public pour la protection des données transmises par voie informatique). Elle a supprimé les pages visées dès qu'elle a appris que celles-ci n'étaient pas appréciées par certains de ses collègues. Le ministère public a engagé des poursuites à l'encontre de Mme Lindqvist pour infraction à la loi et a conclu à sa condamnation. Après quelques péripéties judiciaires, l'affaire arrive devant la CJUE.	46. S'agissant de l'exception prévue à l'article 3, paragraphe 2, second tiret, de la directive 95/46, le douzième considérant de celle-ci, relatif à cette exception, mentionne en tant qu'exemples de traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques la correspondance et la tenue de répertoires d'adresses. 47. Cette exception doit donc être interprétée comme visant uniquement les activités qui s'insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n'est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes.	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
C-101/01	Bodil Lindqvist	06/11/2003	2003	Suède	Cour de Justice de l'UE	Sécurité nationale	Administration	Exception au champ d'application du droit de l'Union - Traitement de données ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités de l’État relatives à des domaines du droit pénal - Interprétation stricte	Afficher Mme Lindqvist exerçait la fonction de formatrice de communicants dans la paroisse d'Alseda (Suède). Elle a suivi un cours d'informatique dans le cadre duquel elle devait notamment créer une page d'accueil sur Internet. À la fin de l'année 1998, Mme Lindqvist a créé, à son domicile et avec son ordinateur personnel, des pages Internet dans le but de permettre aux paroissiens préparant leur confirmation d'obtenir facilement les informations dont ils pouvaient avoir besoin. À sa demande, l'administrateur du site Internet de l'Église de Suède a établi un lien entre ces pages et ledit site. Les pages visées contenaient des informations sur Mme Lindqvist et 18 de ses collègues de la paroisse, y compris leur nom complet ou parfois seulement leur prénom. Mme Lindqvist a en outre décrit les fonctions occupées par ses collègues et leurs loisirs en termes légèrement humoristiques. Dans plusieurs cas, leur situation familiale, leur numéro de téléphone et d'autres informations ont été mentionnés. Par ailleurs, elle a indiqué qu'une de ses collègues s'était blessée au pied et qu'elle était en congé de maladie partiel. Mme Lindqvist n'avait ni informé ses collègues de l'existence de ces pages, ni recueilli leur consentement, ni déclaré sa démarche à la Datainspektion (organisme public pour la protection des données transmises par voie informatique). Elle a supprimé les pages visées dès qu'elle a appris que celles-ci n'étaient pas appréciées par certains de ses collègues. Le ministère public a engagé des poursuites à l'encontre de Mme Lindqvist pour infraction à la loi et a conclu à sa condamnation. Après quelques péripéties judiciaires, l'affaire arrive devant la CJUE.	43. Les activités mentionnées à titre d'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l'Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d'activité des particuliers. 44. Il y a donc lieu de considérer que les activités mentionnées en tant qu'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 sont destinées à définir la portée de l'exception y prévue, de sorte que cette exception ne s'applique qu'aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis).	2	70142f66475ae2fb33722d8d4750f386ecfefe7b		Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

Note: le flux RSS correpondant à cet article semble vide. Nous vous proposons donc le flux ci-dessous, qui utilise un filtre plus large.

ANSPDCP (autorité roumaine)

20 mars 2025

Marketing non sollicité : l’autorité roumaine condamne une entreprise à 2 000 euros d’amende

L’autorité roumaine a aujourd’hui annoncé avoir condamné l’opérateur ONE UNITED PROPERTIES S.A à une amende d’environ 10 000 lei, soit 2 000 euros (au total), en raison de marketing non sollicité. Au cours de l’enquête, qui a été ouverte à la suite de plaintes de la part de particuliers, [...]

NOYB – None of your business

20 mars 2025

ChatGPT a créé un faux enfant meurtrier ; NOYB dépose plainte contre OpenAI

Le chatbot très populaire d’OpenAI, ChatGPT, donne régulièrement de fausses informations sur des personnes sans offrir aucun moyen de les corriger. Dans de nombreux cas, ces « hallucinations » peuvent gravement nuire à la réputation d’une personne : Dans le passé, ChatGPT a accusé à tort des personnes de corruption, de maltraitance d [...]

APD (autorité belge)

20 mars 2025

En Belgique, l’autorité de contrôle réprimande l’Office des étrangers pour un traitement sans base légale

La Chambre Contentieuse de l’APD a aujourd’hui annoncé avoir adressé une réprimande à l’Office des étrangers pour avoir traité des données à caractère sans base légale. En 2023, l’Office des étrangers a adopté une décision de fin de séjour à l’encontre d’une personne de nationalité étrangère (en séjour r [...]

CNIL

20 mars 2025

Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation

À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la CNIL a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI). Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu [...]

CNIL

20 mars 2025

Ordre du jour de la séance plénière du 20 mars 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 20 mars 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif à l’Application de stockage, de traitement et de restitution des antécédents judiciaires (ASTRE [...]

Comité européen sur la protection des données (EDPB)

19 mars 2025

L’EDPB publie un document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes pour les responsables du traitement et les sous-traitants

L’EPDB a aujourd’hui publié une mise à jour de son document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes (généralement appelées BCRs) pour les r [...]

UODO (autorité polonaise)

19 mars 2025

La Poste polonaise sanctionnée à 6,5M d’euros d’amende pour avoir traité illégalement le NIR de 80% des habitants du pays

Le Président de l’UODO, Mirosław Wróblewski, a annoncé avoir imposé des amendes administratives de 27 millions de PLN (soit environ 6,5 millions d’euros) à la Poste Polonaise et de 100 000 PLN (soit environ 24 000 euros) au Ministre de la Cybersécurité pour le traitement sans [...]

L’Usine digitale

19 mars 2025

Europol alerte sur le recours massif à l’IA dans le crime organisé

L’office européen de police a publié son rapport d’évaluation annuel sur les menaces liées au crime organisé dans l’UE. Escroqueries, systèmes frauduleux de paiement, exploitation d’êtres humains… Les criminels utilisent de plus en plus des outils d’intelligence artificielle pour étendre et automatiser leurs opération [...]

CNIL

19 mars 2025

Caméras « augmentées » pour vérifier l’âge en point de vente : la CNIL lance des travaux et une concertation

Certains points de vente ont recours à des dispositifs de caméras « augmentées » afin de prévenir la vente de produits interdits aux mineurs (tabac, alcool, etc.), en s’appuyant sur un algorithme d’intelligence artificielle. En pratique, ces caméras scannent, au moment de l’achat, le visage de la personne pour e [...]

Numerama – Cyberguerre

19 mars 2025

Chasse aux Tesla : un site sème la panique en publiant les données personnelles des propriétaires

Un site web polémique a mis en ligne une carte interactive contenant les noms, adresses, numéros de téléphone et adresses e-mail de potentiels propriétaires de Tesla aux États-Unis. Le propriétaire affirme qu’il supprimera ces données si les personnes concernées prouvent qu’elles ont vendu leur véhicule. Le ton employé par [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu