Article
En savoir plus...
Jurisprudence
Actualités
Article 6 - Licéité du traitement
1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:- a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
- b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
- c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
- d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
- e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
- f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d'autres mesures visant à garantir un traitement licite et loyal, y compris dans d'autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:
- a) le droit de l'Union; ou
- b) le droit de l'État membre auquel le responsable du traitement est soumis.
4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit de l'Union ou le droit d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l'article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:
- a) de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
- b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
- c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l'article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l'article 10;
- d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
- e) de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.
En savoir plus...
Le paragraphe 1 de l'article 6 est largement basé sur l'article 7 de l'ancienne directive sur la protection des données 95/46/CE, prévoyant que les données à caractère personnel ne peuvent être traitées sans respecter l'une des six exceptions (« base légale »). Les deux paragraphes suivants évoquent la possibilité pour les États membres de mettre en œuvre des lois qui rendent nécessaire le traitement au titre de l'article 6, paragraphe 1, points c) et e).Enfin, le paragraphe 4 est en fait lié au principe de « limitation de la finalité » énoncé à l' article 5, paragraphe 1, point b) du RGPD et précise les conditions dans lequelles il est possible d'utiliser des données personnelles pour des fins autres qu'initialement prévues, et ce qu'est une « finalité compatible ».
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Consentement à de la recherche scientifique]
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.
[Principes généraux des traitement des données]
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.
[Licéité du traitement]
40. Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l'Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l'obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d'exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.
[Base légale = mesure législative ?]
41. Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l'ordre constitutionnel de l'État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l'Union européenne (ci-après dénommée «Cour de justice») et de la Cour européenne des droits de l'homme.
[Consentement: critères de validité et preuve]
42. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
[Critères de liberté du consentement]
43. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.
[Traitement dans le cadre d'un contrat]
44. Le traitement devrait être considéré comme licite lorsqu'il est nécessaire dans le cadre d'un contrat ou de l'intention de conclure un contrat.
[Traitement dans le cadre d'une obligation légale posée par un Etat Membre]
45. Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir un fondement dans le droit de l'Union ou dans le droit d'un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique. Il devrait également appartenir au droit de l'Union ou au droit d'un État membre de déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la licéité du traitement des données à caractère personnel, établir les spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l'objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d'autres mesures visant à garantir un traitement licite et loyal. Il devrait, également, appartenir au droit de l'Union ou au droit d'un État membre de déterminer si le responsable du traitement exécutant une mission d'intérêt public ou relevant de l'exercice de l'autorité publique devrait être une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque l'intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la protection sociale et la gestion des services de soins de santé, de droit privé, telle qu'une association professionnelle.
[Intérêts vitaux d'une personne physique]
46. Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.
[Intérêt légitime du responsable de traitement: exemples et limites]
47. Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
[Transmissions de données intra-groupes]
49. Les responsables du traitement qui font partie d'un groupe d'entreprises ou d'établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause.
[Notion de finalité compatible]
50. Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c'est-à -dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes d'intervention en cas d'incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques.
[Phase transitoire pour les traitements en cours lorsque le consentement est la base légale]
171. La directive 95/46/CE devrait être abrogée par le présent règlement. Les traitements déjà en cours à la date d'application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. Lorsque le traitement est fondé sur un consentement en vertu de la directive 95/46/CE, il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement, de manière à ce que le responsable du traitement puisse poursuivre le traitement après la date d'application du présent règlement. Les décisions de la Commission qui ont été adoptées et les autorisations qui ont été accordées par les autorités de contrôle sur le fondement de la directive 95/46/CE demeurent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées.
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.
[Principes généraux des traitement des données]
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.
[Licéité du traitement]
40. Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l'Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l'obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d'exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.
[Base légale = mesure législative ?]
41. Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l'ordre constitutionnel de l'État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l'Union européenne (ci-après dénommée «Cour de justice») et de la Cour européenne des droits de l'homme.
[Consentement: critères de validité et preuve]
42. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
[Critères de liberté du consentement]
43. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.
[Traitement dans le cadre d'un contrat]
44. Le traitement devrait être considéré comme licite lorsqu'il est nécessaire dans le cadre d'un contrat ou de l'intention de conclure un contrat.
[Traitement dans le cadre d'une obligation légale posée par un Etat Membre]
45. Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir un fondement dans le droit de l'Union ou dans le droit d'un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique. Il devrait également appartenir au droit de l'Union ou au droit d'un État membre de déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la licéité du traitement des données à caractère personnel, établir les spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l'objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d'autres mesures visant à garantir un traitement licite et loyal. Il devrait, également, appartenir au droit de l'Union ou au droit d'un État membre de déterminer si le responsable du traitement exécutant une mission d'intérêt public ou relevant de l'exercice de l'autorité publique devrait être une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque l'intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la protection sociale et la gestion des services de soins de santé, de droit privé, telle qu'une association professionnelle.
[Intérêts vitaux d'une personne physique]
46. Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.
[Intérêt légitime du responsable de traitement: exemples et limites]
47. Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
[Transmissions de données intra-groupes]
49. Les responsables du traitement qui font partie d'un groupe d'entreprises ou d'établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause.
[Notion de finalité compatible]
50. Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c'est-à -dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes d'intervention en cas d'incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques.
[Phase transitoire pour les traitements en cours lorsque le consentement est la base légale]
171. La directive 95/46/CE devrait être abrogée par le présent règlement. Les traitements déjà en cours à la date d'application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. Lorsque le traitement est fondé sur un consentement en vertu de la directive 95/46/CE, il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement, de manière à ce que le responsable du traitement puisse poursuivre le traitement après la date d'application du présent règlement. Les décisions de la Commission qui ont été adoptées et les autorisations qui ont été accordées par les autorités de contrôle sur le fondement de la directive 95/46/CE demeurent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées.
Droit souple
Lignes directrices et recommandations
> CNIL - Projet de recommandations - Consentement multi-terminaux
24 avril 2025, ouvert à consultation publique
> CEPD - Recommandations 02/2021 - Base légale pour le stockage de données de cartes de crédit
18 juin 2021
> CEPD - Lignes directrices 05/2020 - Le consentement
04 mai 2020
> CEPD - Lignes directrices 2/2019 - Exécution du contrat et fourniture de services en ligne (v2.0)
8 octobre 2019
Documents anciens
> WP29 - Lignes directrices - Le consentement
WP259, 29 novembre 2017, modifiées le 10 avril 2018
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel
> Article 10 - Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
> Article 23 - Limitations
Cet article est cité par...
> Article 8 - Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information
> Article 10 - Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
> Article 17 - Droit à l'effacement ("droit à l'oubli")
> Article 20 - Droit à la portabilité des données
> Article 21 - Droit d'opposition
> Article 35 - Analyse d'impact relative à la protection des données
> Article 55 - Compétence
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 7 - Conditions applicables au consentement
> Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-229/23 | HYA e.a. II | 13/06/2024 | Cookies et autres traceurs - Droit national imposant que la décision de mise sur écoute d'utilisateurs sans leur consentement soit motivée par écrit - Conventionnalité | Lien | Consentement | Police-Justice | Cour de Justice de l'UE | 2024 |
| C-710/23 | Ministerstvo zdravotnictvà (Données relatives au représentant d’une personne morale) | 03/04/2025 | Publication des documents administratifs - Loi nationale prévoyant l'obligation d'information et consultation de la personne physique concernée avant la communication - Admission sous conditions | Lien | A classer | Administration | Cour de Justice de l'UE | 2025 |
| C-394/23 | Mousse | 09/01/2025 | Minimisation - Titre de transport ferroviaire - Traitement du genre à des fins de communication personnalisée - Nécessaire pour l'exécution du contrat - Absence | Lien | Minimisation, Exécution du contrat | Transports | Cour de Justice de l'UE | 2025 |
| C-394/23 | Mousse | 09/01/2025 | Minimisation - Titre de transport ferroviaire - Traitement du genre à des fins de communication personnalisée - Nécessaire aux intérêts légitimes - Existence sous conditions | Lien | Intérêt légitime | Transports | Cour de Justice de l'UE | 2025 |
| C-394/23 | Mousse | 09/01/2025 | Intérêt légitime - Appréciation du caractère "nécessaire" - Prise en compte de la possibilité de s'opposer au traitement - Absence | Lien | Intérêt légitime | Transports | Cour de Justice de l'UE | 2025 |
| C-65/23 | K GmbH (Traitement de données personnelles des employés) | 19/12/2024 | Traitement de données aux fins des relations de travail - Applicabilité de l'intégralité du RGPD - Admission | Lien | A classer | Travail | Cour de Justice de l'UE | 2024 |
| C-65/23 | K GmbH (Traitement de données personnelles des employés) | 19/12/2024 | Traitement de données aux fins des relations de travail - Capacité du juge à contrôler son caractère "nécessaire" - Admission | Lien | A classer | Travail | Cour de Justice de l'UE | 2024 |
| C-621/22 | Koninklijke Nederlandse Lawn Tennisbond | 04/10/2024 | Intérêt légitime - Justifié par un intérêt commrecial - Admission sous conditions - 1) Est strictement nécessaire - 2) Les intérêts de la personne concernée ne prévalent pas - 3) Est licite | Lien | Intérêt légitime | Economie et fiscalité | Cour de Justice de l'UE | 2024 |
| C-17/22 et C-18/22 | HTB Neunte Immobilien Portfolio | 12/09/2024 | Exécution du contrat - Notion de "nécessité" - Caractère objectivement indispensable | Lien | Exécution du contrat | Cour de Justice de l'UE | 2024 | |
| C-17/22 et C-18/22 | HTB Neunte Immobilien Portfolio | 12/09/2024 | Intérêt légitime poursuivis par des tiers - Notion de "nécessaire" à la réalisation de cet intérêt - 1) Interprétation stricte - 2) Mise en balance des intérêts | Lien | Intérêt légitime | Cour de Justice de l'UE | 2024 | |
| C-17/22 et C-18/22 | HTB Neunte Immobilien Portfolio | 12/09/2024 | Obligation légale - Jurisprudence comme source d'une telle obligation - Admission sous conditions | Lien | Obligation légale | Cour de Justice de l'UE | 2024 | |
| C-740/22 | Endemol Shine Finland Oy | 07/03/2024 | "Open Data" des documents administratifs - Communication orale des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction à toute personne - Exclusion | Lien | A classer | Administration | Cour de Justice de l'UE | 2024 |
| C-26/22 et C-64/22 | SCHUFA Holding (Libération de reliquat de dette) | 07/12/2023 | Intérêt légitime - Conservation de données en lien avec une dette pour une supérieure au registre public d'insolvabilité - Exclusion | Lien | Conservation limitée | Economie et fiscalité | Cour de Justice de l'UE | 2023 |
| C-319/22 | Gesamtverband Autoteile-Handel | 09/11/2023 | Obligation légale pour les constructions automobile de mettre le VIN à disposition des opérateurs indépendantes - Admission | Lien | Obligation légale | Transports | Cour de Justice de l'UE | 2023 |
| C-252/21 | Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) | 04/07/2023 | Exécution du contrat - Notion de "nécéssité" - Caractère objectivement indispensable | Lien | Exécution du contrat | Marketing et prospection | Cour de Justice de l'UE | 2023 |
| C-252/21 | Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) | 04/07/2023 | Exécution du contrat - Collecte de données des utilisateurs d’un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers en vue de la mise en relation de ces données avec le compte du réseau social des utilisateurs ou de leur utilisation - Admission sous condition de stricte nécessité | Lien | Exécution du contrat | Marketing et prospection | Cour de Justice de l'UE | 2023 |
| C-252/21 | Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) | 04/07/2023 | Intérêt légitime - Collecte de données des utilisateurs d’un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers en vue de la mise en relation de ces données avec le compte du réseau social des utilisateurs ou de leur utilisation - Admission sous conditions | Lien | Intérêt légitime | Marketing et prospection | Cour de Justice de l'UE | 2023 |
| C-252/21 | Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) | 04/07/2023 | Base légale de la collecte de données des utilisateurs d’un réseau social - 1) Obligation légale - Admission sous conditions - 2) Intérêts vitaux - Absence en principe - 3) Mission d'intérêt public - Absence | Lien | Intérêts vitaux, Mission d'intérêt public | Technologie | Cour de Justice de l'UE | 2023 |
| C-252/21 | Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) | 04/07/2023 | Liberté du consentement - Atteinte par le fait que l’opérateur d’un réseau social en ligne occupe une position dominante - Absence | Lien | Consentement, Liberté | Technologie | Cour de Justice de l'UE | 2023 |
| C-268/21 | Norra Stockholm Bygg | 02/03/2023 | Procédure juridictionnelle civile - Application de l'article 6, §3 et §40. - Obligation | Lien | Obligation légale, Mission d'intérêt public, Finalité ultérieure | Administration | Cour de Justice de l'UE | 2023 |
| C-268/21 | Norra Stockholm Bygg | 02/03/2023 | Ordre de produire un document contenant des données par une juridiction - Conditions - 1) Mise en balance des intérêts - 2) Respect du principe de proportionnalité (et de minimisation) | Lien | Licéité | Administration | Cour de Justice de l'UE | 2023 |
| C-205/21 | Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) | 26/01/2023 | Directive Police-Justice - Législation nationale prévoyant la collecte et l'enregistrement systématique des données biométriques et génétiques de toute personne mise en examen en l'absence de garde-fou - Inconventionnalité | Lien | Minimisation, Biométrie, Licéité | Police-Justice | Cour de Justice de l'UE | 2023 |
| C-180/21 | Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données – Enquête pénale) | 08/12/2022 | Mission d'intérêt public - Applicabilité aux traitements de défense des intérêts juridiques et patrimoniaux de l’État confiée au parquet - Admission sous réserve du respect du RGPD | Lien | Mission d'intérêt public | Police-Justice | Cour de Justice de l'UE | 2022 |
| CEPD 04/2022 | Autorité irlandaise c/ Meta Platforms Ireland Limited | 05/12/2022 | Licéité - Primauté des principes du RGPD sur les intérêts économiques de l’entreprise responsable du traitement | Lien | Licéité | CNIL ou équivalent | 2022 | |
| CEPD 04/2022 | Autorité irlandaise c/ Meta Platforms Ireland Limited | 05/12/2022 | Licéité - Choix de la base légale de traitement - Absence de hiérarchie - Objectif de protéger les droits et libertés des personnes physiques | Lien | Licéité | CNIL ou équivalent | 2022 | |
| SAN-2022-021 | EDF | 24/11/2022 | Prospection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes | Lien | Consentement, Preuve | Marketing et prospection | CNIL ou équivalent | 2022 |
| C-61/19 | Orange Romania | 11/11/2022 | Circonstances dans lesquelles le consentement n’est pas libre et éclairé - 1) Case pré-cochée par le responsable de traitement - 2) Information susceptible d’induire la personne concernée en erreur - 3) Exigence d’un formulaire faisant état du refus | Lien | Consentement, Liberté, Eclairé | Technologie | Cour de Justice de l'UE | 2022 |
| C-129/21 | Proximus (Annuaires électroniques publics) | 27/10/2022 | Directive ePrivacy - Annuaire publiés par des fournisseurs autres que l'opérateur de services téléphoniques - Consentement de l'utilisateur en amont ou en aval - Obligation | Lien | Consentement | Technologie | Cour de Justice de l'UE | 2022 |
| C-306/21 | Koalitsia « Demokratichna Bulgaria - Obedinenie » | 20/10/2022 | Possibilité pour les Etats Membres d'adopter un acte administratif prévoyant l’interdiction de l’enregistrement vidéo du dépouillement du scrutin dans les bureaux de vote - Admission | Lien | A classer | Administration | Cour de Justice de l'UE | 2022 |
| C-175/20 | Valsts ieņēmumu dienests | 24/02/2022 | Mission d'intérêt public - Cas d’une demande de communication qui n’est pas directement fondée sur la disposition légale qui constitue le fondement du traitement mais résulte de l’autorité compétente - Conditions de licéité | Lien | Mission d'intérêt public | Cour de Justice de l'UE | 2022 | |
| MED-2021-131 | Société X | 01/12/2021 | Consentement pour la revente de données - Consentement distinct de celui donné pour l’utilisation des données à des fins de prospection commerciale par voie électronique - Obligation | Lien | Spécificité, Consentement | Marketing et prospection | CNIL ou équivalent | 2021 |
| MED-2021-131 | Société X | 01/12/2021 | Prospection commerciale - Transmission de données à des tiers - Consentement global aux conditions générales contractuelles régissant un service et à l’ensemble des finalités d’un traitement - Exclusion | Lien | Spécificité, Consentement | Marketing et prospection | CNIL ou équivalent | 2021 |
| MED-2021-131 | Société X | 01/12/2021 | Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation | Lien | Consentement, Eclairé | Marketing et prospection | CNIL ou équivalent | 2021 |
| MED-2021-134 | Clearview AI | 26/11/2021 | Intérêt légitime pour l'utilisation de données publiquement accessibles pour alimenter un logiciel de reconnaissance faciale - Exclusion - Absence d'attente raisonnable de la personne concernée | Lien | Intérêt légitime | CNIL ou équivalent | 2021 | |
| SAN-2021-012 | Monsanto | 26/07/2021 | Intérêt légitime pour un traitement consistant en la collecte d’informations visant à recenser les personnes influentes à des fins de lobbying - Existence - Admissibilité sous conditions | Lien | Intérêt légitime | Economie et fiscalité, Marketing et prospection | CNIL ou équivalent | 2021 |
| 4295571 | Cdiscount | 10/12/2020 | Intérêt légitime pour la conservation des informations bancaires d’un client - Exclusion - Prévalence des intérêts des personnes concernées sur l’intérêt d’une société | Lien | Intérêt légitime | Economie et fiscalité | Conseil d'Etat | 2020 |
| 432656 | La Quadrature du Net | 04/11/2020 | Système d’identification électronique - Reconnaissance faciale - Conditions de liberté du consentement - Recours au traitement exigé par sa finalité et absence de préjudice en cas de refus de consentement | Lien | Consentement, Liberté | Technologie | Conseil d'Etat | 2020 |
| 434684 | Association des agences-conseils en communication et autres | 19/06/2020 | Cookie wall - Exclusion de facto de la possibilité de recueillir le consentement - Rejet | Lien | Consentement, Liberté | Technologie | Conseil d'Etat | 2020 |
| 430810 | Google LLC | 19/06/2020 | Consentement au moyen d'une case cochée par défaut et/ou dans le cadre de l'acceptation globale de conditions générales - Absence de validité - Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement | Lien | Consentement, Univocité, Spécificité | Technologie | Conseil d'Etat | 2020 |
| C-708/18 | Asociaţia de Proprietari bloc M5A-ScaraA | 11/12/2019 | Intérêt légitime - Mise en place d’un système de vidéosurveillance dans les parties communes d’un immeuble à usage d’habitation - Existence - Condition de mise en balance des intérêts | Lien | Intérêt légitime | Cour de Justice de l'UE | 2019 | |
| C-673/17 | Planet49 | 01/10/2019 | Consentement à l'utilisation de cookies au moyen d’une case pré-cochée par défaut - Exclusion | Lien | Consentement, Liberté | Marketing et prospection, Technologie | Cour de Justice de l'UE | 2019 |
| C-673/17 | Planet49 | 01/10/2019 | Application des règles en matière de cookies et autres traceurs - Niveau du consentement requis - Incidence de la présence de données à caractère personnel - Absence | Lien | Consentement | Marketing et prospection, Technologie | Cour de Justice de l'UE | 2019 |
| C-40/17 | Fashion ID | 29/07/2019 | Responsabilité conjointe entre le gestionnaire d’un site internet équipé du bouton « j’aime » et Facebook - Nécessité que les responsables poursuivent chacun un intérêt légitime | Lien | Intérêt légitime | Technologie | Cour de Justice de l'UE | 2019 |
| C-40/17 | Fashion ID | 29/07/2019 | Portée du consentement que peut solliciter le responsable du traitement et de son obligation d'information (directive 95/46) - Traitements mis en place par des tiers - Rejet | Lien | Consentement, Contenu de l'information | Technologie | Cour de Justice de l'UE | 2019 |
| Avis 397073 | Projet de décret "ALICEM" | 02/04/2019 | Consentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudice | Lien | Consentement, Biométrie, Liberté | Conseil d'Etat | 2019 | |
| 406664 | Association française des sociétés financières | 06/04/2018 | Enregistrement dans un traitement de données à caractère personnel en l’absence de procédure contradictoire préalable - Admission | Lien | Licéité | Conseil d'Etat | 2018 | |
| C-73/16 | Puškár | 27/09/2017 | Licéité - Traitement à des fins de perception de l’impôt et de la lutte contre la fraude fiscale - Nécessité du consentement - Absence sous conditions de nécessité et d'exactitude | Lien | Consentement, Mission d'intérêt public | Administration | Cour de Justice de l'UE | 2017 |
| C-13/16 | Rïgas satiksme | 04/05/2017 | Intérêt légitime - Demande par un particulier de communication des données personnelles d’une personne responsable d’un accident de la circulation afin d’exercer un droit en justice - Possibilité pour le responsable du traitement de faire droit à une telle demande - Admission - Obligation d'y faire droit - Absence | Lien | Intérêt légitime | Cour de Justice de l'UE | 2017 | |
| C-582/14 | Breyer | 19/10/2016 | Intérêt légitime - Restriction au moyen d’une règlementation nationale [visant à transposer la directive 95/46] empêchant la collecte et l’utilisation des données à caractère personnel par un fournisseur de service de médias en ligne sauf pour garantir le fonctionnement du service et sa facturation - Inconventionnalité | Lien | Intérêt légitime | Technologie | Cour de Justice de l'UE | 2016 |
| C-468/10 et C-469/10 | ASNEF et FECEMD | 24/11/2011 | Intérêt légitime (directive 95/46) - Restriction au moyen d'une réglementation nationale [visant à transposer la directive] conditionnant l'utilisation de cette base légale au caractère public de la donnée - Inconventionnalité | Lien | Intérêt légitime | Cour de Justice de l'UE | 2011 | |
| C-524/06 | Huber | 16/12/2008 | Mission d'intérêt public - Traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour - Conditions de licéité | Lien | Licéité, Mission d'intérêt public | Police-Justice | Cour de Justice de l'UE | 2008 |
| C-465/00, C-138/01 et C-139/01 | Österreichischer Rundfunk e.a. | 20/05/2003 | Réglementation nationale prévoyant la divulgation du montant des revenus annuels de certaines personnes publiques dépassant un certain plafond (directive 95/46) - Conventionnalité | Lien | A classer | Economie et fiscalité | Cour de Justice de l'UE | 2003 |
| C-465/00, C-138/01 et C-139/01 | Österreichischer Rundfunk e.a. | 20/05/2003 | Applicabilité directe des articles 6 et 7 de la directive 95/46 [équivalent des articles 5 et 6 du RGPD] - Admission | Lien | A classer | Cour de Justice de l'UE | 2003 |
Actualités
Profitez de nos actualités en lien avec cet article !NOYB – None of your business
24 avril 2025
Vous aimez jouer seul? Ubisoft vous surveille quand même! NOYB dépose plainte auprès de l’autorité autrichienne
Aujourd’hui, noyb a déposé une plainte contre le développeur et éditeur français de jeux vidéo Ubisoft (connu pour Assassins Creed, Far Cry, Prince of Persia). L’entreprise oblige ses clients à se connecter à l’internet chaque fois qu’ils lancent un jeu solo. C’est le cas mê [...]
ICO (autorité anglaise)
24 avril 2025
Une entreprise condamnée à 90 000 £ pour des appels marketing illégaux
L’ICO a annoncé avoir infligé une amende de 90 000 livres sterling (soit environ 105 000 euos) à AFK Letters Co Ltd (AFK) pour avoir passé plus de 95 000 appels commerciaux non sollicités à des personnes enregistrées auprès du Telephone Preference Service (TPS), l’équivalent de Bloctel, en violation flagrante de la législation sur le mark [...]
CNIL
24 avril 2025
Consentement multi-terminaux : la CNIL lance une consultation publique sur son projet de recommandation
Les utilisateurs interagissent désormais avec des sites web ou applications mobiles via divers appareils : ordinateur, smartphone, tablette ou télévision connectée, parfois en étant connectés à un compte utilisateur. Avec la multiplication des objets connectés, les demandes de consentement pour l’utilisation de cooki [...]
APD (autorité belge)
22 avril 2025
En Belgique, des écoles rappelées à l’ordre pour avoir traité des données sans base légale à l’occasion d’une enquête en ligne « anonyme »
La Chambre des Litiges de l’Autorité de protection des données (APD) a condamné des établissements d’enseignement « Y » pour avoir traité des données sans base légale à l’occasion d’une enquête en ligne menée auprès d’élèves mineurs sur [...]
AEPD (autorité espagnole)
15 avril 2025
Une entreprise condamnée à une amende de 20 000 euros pour collecte illégale de données et manquement à l’information
L’autorité espagnole a publié une décision de sanction à l’encontre de la société ESTUDIO ALCAZAR DEL GENIL 2022, S.L., lui infligeant une amende de 12 000 euros pour avoir collecté illégalement des données personnelles et pour ne pas avoir informé les personnes concernées. L’affaire a, comme [...]
AEPD (autorité espagnole)
15 avril 2025
Un particulier sanctionné à 2 000 euros d’amende pour avoir usurpé l’identité de tiers afin d’obtenir des bons de réduction
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre d’un particulier, A.A.A., pour avoir traité des données sans base légale en utilisant la carte d’identité de tiers à des fins d’usurpation d’identité. L’affaire a été portée à l’atten [...]
AEPD (autorité espagnole)
15 avril 2025
En Espagne, une clinique esthétique sanctionnée à 7 000 euros d’amende pour avoir transféré des données sans base légale
L’Agence Espagnole de Protection des Données (AEPD) a aujorud’hui publié une décision de sanction une résolution à l’encontre DIBEA ESTETIC, S.L. pour avoir transféré des données à un tiers malgré l’opposition de la personne concernée. L’affaire commence par une ré [...]
Tietosuoja (autorité finlandaise)
14 avril 2025
La Cour administrative suprême finlandaise annule la décision de l’autorité ayant reproché à une école son utilisation de Google Workspace
L’autorité finlandaise a examiné en 2021 l’utilisation de l’ensemble du programme Google Workspace for Education dans les écoles élémentaires de la ville d’Espoo après avoir reçu une plainte à ce sujet. Dans sa décision, l’Autorité a estimé que l&r [...]
AEPD (autorité espagnole)
11 avril 2025
Espagne : Sanction de 21 600 euros contre SCHOOL FITNESS pour des manquements relatifs au consentement et au rôle des responsables du traitement
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de la société SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L. (SCHOOL FITNESS) pour des manquements aux articles 6, 7 et 28. De manière extrêmement cl [...]
AP (autorité néerlandaise)
11 avril 2025
Le ministère des affaires sociales néerlandais sanctionné pour avoir traité les données de musulmans illégalement
L’Autorité de protection des données (AP) a ordonné au ministre des Affaires sociales et de l’Emploi (SZW) de détruire les données personnelles collectées de manière illégale sur les membres des communautés musulmanes dans un délai de deux mois. Le ministère a collecté ces données personnelles en [...]
<< Retourner au menu