Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel

Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel

"1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;
c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;
g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;
h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;
i) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;
j) le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3. Les données à caractère personnel visées au paragraphe 1 peuvent faire l'objet d'un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents.

4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé."

En savoir plus...

L'article 9 pose tout d'abord, par son paragraphe 1, une interdiction générale de traiter des catégories particulières de données, c'est-à-dire des données que le législateur a considérées comme particulièrement sensibles pour différentes raisons. Le paragraphe suivant lève cette interdiction lorsque certaines conditions sont remplies.
Le paragraphe 3 prévoit des indications spécifiques pour les traitements effectués dans le cadre d'activités professionnelles ou institutionnelles. Enfin, le dernier paragraphe permet aux États membres de maintenir ou d'introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données relatives à la santé.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Niveau de protection équivalent et homogène dans tout l'UE]
10. Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées «données sensibles»). À cet égard, le présent règlement n'exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.

[Intérêts vitaux d'une personne physique]
46. Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.

[Protection des données personnelles sensibles]
51. Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de l'expression «origine raciale» dans le présent règlement n'implique pas que l'Union adhère à des théories tendant à établir l'existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique. De telles données à caractère personnel ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d'un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l'interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour objet de permettre l'exercice des libertés fondamentales.

[Déroger au principe d'interdiction du traitement des données "particulières"]
52. Des dérogations à l'interdiction de traiter des catégories particulières de données à caractère personnel devraient également être autorisées lorsque le droit de l'Union ou le droit d'un État membre le prévoit, et sous réserve de garanties appropriées, de manière à protéger les données à caractère personnel et d'autres droits fondamentaux, lorsque l'intérêt public le commande, notamment le traitement des données à caractère personnel dans le domaine du droit du travail et du droit de la protection sociale, y compris les retraites, et à des fins de sécurité, de surveillance et d'alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d'autres menaces graves pour la santé. Ces dérogations sont possibles à des fins de santé, en ce compris la santé publique et la gestion des services de soins de santé, en particulier pour assurer la qualité et l'efficience des procédures de règlement des demandes de prestations et de services dans le régime d'assurance-maladie, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Une dérogation devrait, en outre, permettre le traitement de ces données à caractère personnel, si cela est nécessaire aux fins de la constatation, de l'exercice ou de la défense d'un droit en justice, que ce soit dans le cadre d'une procédure judiciaire, administrative ou extrajudiciaire.

[Traitement de données "particulières" à des fins de santé]
53. Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu'à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale, y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l'information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d'assurer la continuité des soins de santé ou de la protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance et d'alerte sanitaires, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit des États membres qui doit répondre à un objectif d'intérêt public, ainsi que pour des études menées dans l'intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne devrait pas entraver le libre flux des données à caractère personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données.

[Traitement des données de santé à des fins d'intérêt public]
54. Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s'interpréter selon la définition contenue dans le règlement (CE) no 1338/2008 du Parlement européen et du Conseil (11), à savoir tous les éléments relatifs à la santé, à savoir l'état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l'accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d'intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques.

[Traitement par les autorités pour atteindre les objectifs d'associations religieuses]
55. En outre, le traitement de données à caractère personnel par des autorités publiques aux fins de réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public, d'associations à caractère religieux officiellement reconnues est effectué pour des motifs d'intérêt public.

[Traitement dans le cadre d'élections]
56. Lorsque, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique dans un État membre requiert que les partis politiques collectent des données à caractère personnel relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé pour des motifs d'intérêt public, à condition que des garanties appropriées soient prévues.

Droit souple

Références

Cet article cite...

> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

Cet article est cité par...

> Article 6 - Licéité du traitement

> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

> Article 17 - Droit à l'effacement ("droit à l'oubli")

> Article 20 - Droit à la portabilité des données

> Article 22 - Décision individuelle automatisée, y compris le profilage

> Article 27 - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union.

> Article 30 - Registre des activités de traitement

> Article 35 - Analyse d'impact relative à la protection des données

> Article 37 - Désignation du délégué à la protection des données

> Article 83 - Conditions générales pour imposer des amendes administratives

Autres textes liés

> Article 7 - Conditions applicables au consentement

> Article 8 - Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Lien
C-21/23	Lindenapotheke	04/10/2024	2024	Allemagne	Cour de Justice de l'UE	Données de santé	Santé	Donnée de santé - Données associées à une commande sur une pharmacie en ligne même sans prescription médicale - Admission		94. Compte tenu de ce qui précède, il y a lieu de répondre à la seconde question que l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale.	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
C-446/21	Schrems	04/10/2024	2024	Autriche	Cour de Justice de l'UE	Caractère manifestement public	Technologie	Donnée sensible - Caractère manifestement public d'une donnée - Autorisation de traiter des données similaires obtenues par un autre biais - Absence		83. Eu égard à ce qui précède, il y a lieu de répondre à la quatrième question que l’article 9, paragraphe 2, sous e), du RGPD, doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles-ci, afin de lui proposer de la publicité personnalisée.	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
C-204/21	Commission c/ Pologne	05/06/2023	2023	Pologne	Cour de Justice de l'UE	Définition		Donnée sensible - Données dévoilant indirectement ou étant susceptible de révéler des informations sensibles - Application		346. En l’espèce, force est de constater que la collecte et la mise en ligne des informations afférentes à l’« appartenance » passée d’un juge à un « parti politique » et aux « fonctions » exercées dans ce parti, visées à l’article 88a, paragraphe 1, point 3, de la loi modifiée relative aux juridictions de droit commun, constituent des traitements de nature à pouvoir révéler les opinions politiques de l’intéressé, au sens de l’article 9, paragraphe 1, du RGPD. - 347. Quant aux informations afférentes à l’« appartenance » passée ou actuelle d’un juge à une « association » et aux « fonctions » exercées par ce juge dans le cadre de celle-ci ou aux « fonctions » passées ou actuelles exercées par celui-ci dans une instance d’une « fondation sans but lucratif », visées à l’article 88a, paragraphe 1, points 1 et 2, de la loi modifiée relative aux juridictions de droit commun, il y a lieu de constater, à l’instar de M. l’avocat général aux points 244 et 245 de ses conclusions, que, eu égard au caractère très large et imprécis des termes auxquels le législateur polonais a ainsi eu recours, la collecte et la mise en ligne de telles informations est, selon la nature précise des associations et fondations concernées, susceptible de révéler les convictions religieuses ou philosophiques des intéressés, au sens de l’article 9, paragraphe 1, du RGPD, ainsi que la Commission le fait valoir.	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
SAN-2023-006	Doctissimo	11/05/2023	2023	France	CNIL ou équivalent	Données de santé, Consentement	Santé	Traitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation		56. En deuxième lieu, en l’absence d’autres conditions mobilisables pour permettre ledit traitement au cas d’espèce au titre de l’article 9-2-b) à j) du RGPD, la formation restreinte considère qu’un tel traitement ne peut être mis en œuvre que sur la base du consentement explicite de la personne concernée, au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9-2-a) du RGPD. La formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données de santé. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données de santé, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservés par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.	9, 12, 13	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
C-184/20	Vyriausioji tarnybinės etikos komisija	01/08/2022	2022	Lituanie	Cour de Justice de l'UE	Vie et orientation sexuelles		Donnée sensible - Données relatives au conjoint, concubin ou partenaire susceptibles de divulguer indirectement l’orientation sexuelle - Inclusion		128. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que la publication, sur le site Internet de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l’orientation sexuelle d’une personne physique constitue un traitement portant sur des catégories particulières de données à caractère personnel, au sens de ces dispositions.	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
Avis 2022-045	Avis sur projet d’arrêté, VidéoCRA	31/03/2022	2022	France	CNIL ou équivalent	Définition	Police-Justice	Données relative à des infractions de nature pénale et données sensible - Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction - Absence de qualification automatique		La Commission relève qu'un enregistrement vidéo n'est pas considéré en soi comme relevant d'une catégorie particulière de données à caractère personnel.	9, 10	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
431875	M. B... A...-C...	10/06/2021	2021	France	Conseil d'Etat	Données de santé	Santé	Donnée de santé - Critères - 1) Nature - 2) Gravité de la pathologie		10. Si la mise en ligne d'une telle information révèle indirectement que les personnes recrutées à ce titre souffrent d'un handicap, elle ne donne directement aucune information sur la nature ou la gravité de ce handicap et ne saurait, par suite, être regardée comme procédant au traitement d'une donnée relative à la santé des personnes considérées.	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
432656	La Quadrature du Net	04/11/2020	2020	France	Conseil d'Etat	Consentement	Technologie	Système d’identification électronique - Reconnaissance faciale - Conditions de liberté du consentement - Recours au traitement exigé par sa finalité et absence de préjudice en cas de refus de consentement		8. D'une part, il ne ressort pas des pièces du dossier que, pour la création d'identifiants électroniques, il existait à la date du décret attaqué d'autres moyens d'authentifier l'identité de l'usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Il s'ensuit que le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement. - 9. [...] Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d'un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l'ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données précité. Il s'ensuit que l'association requérante n'est pas fondée à soutenir que le consentement des utilisateurs de l'application Alicem ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978.	6, 7, 9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
C-136/17	GC e.a.	24/09/2019	2019	France	Cour de Justice de l'UE	Droits des personnes	Technologie	Déréférencement de données sensibles - Principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice.		69. Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions. - L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière. - Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de la Charte.	9, 10, 17	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
397073	Avis sur le projet de décret "ALICEM"	02/04/2019	2019	France	Conseil d'Etat	Consentement, Biométrie		Consentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudice		Le Conseil d’État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres dispositifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications électroniques à tout moment. Les données biométriques sont elles-mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé.	6, 7, 9	b85ab32eaa572c8016edf68011078dceed8149e5	Non publié en intégralité.
361042	Syndicat National des Enseignements de Second Degré (SNES)	28/03/2014	2014	France	Conseil d'Etat	Données de santé	Santé	Donnée de santé - Donnée faisant état d’un handicap sans donner d’information sur sa nature - Exclusion		15. Considérant, d'une part, que la mention du taux d'incapacité permanente ou du taux d'invalidité du " conjoint ou partenaire " et des personnes à la charge de l'agent n'est pas une donnée " relative à la santé " au sens des dispositions précitées de l'article 8 la loi du 6 janvier 1978, dès lors qu'il n'est pas même allégué qu'elle donnerait une information sur la nature du handicap ;	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
C-291/12	Schwarz	17/10/2013	2013	Allemagne	Cour de Justice de l'UE	Biométrie	Administration	Passeport biométrique - Empreintes digitales - Incapicité du requérant à apporter la preuve de l'existence d'une méthode aussi efficace et moins intrusive pour prévenir les fraudes - Conséquence : proportionnalité de la méthode		53. Dans ces conditions, il y a lieu de constater qu’il n’a pas été porté à la connaissance de la Cour l’existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales.	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
334014	M. F et Mme C	19/07/2010	2010	France	Conseil d'Etat	Données de santé	Santé	Donnée de santé - Critères - 1) Nature - 2) Durée - 3) Gravité de la pathologie		(10.) Considérant que parmi les données enregistrées au sein du traitement automatisé BNIE figurent les codes d'identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l'enfant est scolarisé dans une structure hospitalière ou dans un établissement spécialisé ; que cependant, la mention d'un code de référence des établissements de soins, si elle permet de savoir que l'élève a été souffrant, ne fournit, par elle-même aucune information sur la nature, la durée, ou la gravité de l'affection de l'élève, information qui ne peut être obtenue qu'en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l'établissement, qui n'est que très rarement explicite quant à la nature des pathologies qu'il soigne ; qu'en conséquence, les décisions attaquées ne peuvent pas être regardées comme portant sur des données relatives à la santé en méconnaissance des dispositions de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; que, par suite, ce moyen doit être écarté ;	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
334014	M. F et Mme C	19/07/2010	2010	France	Conseil d'Etat	Données de santé	Santé	Donnée de santé - Code d’identification d’un établissement scolaire accueillant des enfants handicapés - Absence		(10.) Considérant que parmi les données enregistrées au sein du traitement automatisé BNIE figurent les codes d'identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l'enfant est scolarisé dans une structure hospitalière ou dans un établissement spécialisé ; que cependant, la mention d'un code de référence des établissements de soins, si elle permet de savoir que l'élève a été souffrant, ne fournit, par elle-même aucune information sur la nature, la durée, ou la gravité de l'affection de l'élève, information qui ne peut être obtenue qu'en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l'établissement, qui n'est que très rarement explicite quant à la nature des pathologies qu'il soigne ; qu'en conséquence, les décisions attaquées ne peuvent pas être regardées comme portant sur des données relatives à la santé en méconnaissance des dispositions de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; que, par suite, ce moyen doit être écarté ;	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
317182	M. X et Mme Y	19/07/2010	2010	France	Conseil d'Etat	Données de santé	Santé	Donnée de santé - Catégorie de classe d'intégration scolaire (CLIS) - Inclusion - Structure de soins accueillant des élèves - Exclusion		(18.) Considérant que le requérant soutient sans être sérieusement contesté pour ce qui concerne la période allant jusqu'au 20 octobre 2008 que le traitement litigieux comportait, dans le cas où l'enfant est inscrit au sein d'une école primaire non spécialisée, la mention exacte de la catégorie de classe d'intégration scolaire (CLIS) identifiée par l'un des quatre chiffres codant le type de handicap ou de déficience des élèves en bénéficiant, dont la seule mention permet par suite d'identifier immédiatement la nature de l'affection ou du handicap propre à l'élève concerné, contrairement aux mentions de la structure de soins concernée, qui ne permet que dans de très rares cas, où sa dénomination est explicite, d'identifier directement la pathologie de l'élève concerné ; que la mention de la CLIS doit donc être regardée comme une donnée personnelle relative à la santé ;	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
263081	Association Comité télévision et libertés et autres	17/05/2006	2006	France	Conseil d'Etat	Vie et orientation sexuelles	Santé	Données concernant la vie sexuelle - Données relatives au choix d’un abonné d’un service de télévision de recevoir certains programmes - Exclusion		(9.) Considérant que, à supposer que les dispositions des recommandations du Conseil supérieur de l'audiovisuel du 21 octobre 2003 et du 15 décembre 2004 aient nécessairement, en tant qu'elles imposent aux abonnés d'un service offrant des programmes de catégorie V d'exprimer explicitement leur choix de recevoir ces programmes, pour effet d'imposer la collecte et la conservation de données se rapportant à ceux des abonnés qui ont souhaité recevoir des programmes de catégorie V, de telles données ne peuvent être regardées comme étant relatives à la vie sexuelle des personnes concernées ou comme étant de nature à faire apparaître, même indirectement, leurs moeurs au sens des dispositions précitées de la loi du 6 janvier 1978 ; que, dès lors, les moyens tiré d'une violation des dispositions de cette loi par les dispositions critiquées des recommandations attaquées doivent être écartés ;	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
252691	M.C	10/03/2004	2004	France	Conseil d'Etat	Opinions politiques		Donnée sensible et donnée de nature à faire apparaître les opinions politiques - Données relatives à l’abstention électorale - Exclusion		(3.) Considérant qu'il ressort des pièces du dossier que le ministre a, par un arrêté en date du 10 avril 2002, décidé la création d'un traitement automatisé d'informations individuelles relatif à une étude statistique sur la participation électorale et l'abstention entre 2002 et 2005 portant sur un échantillon de 40 000 personnes à partir des listes d'émargement des différents scrutins ; que les informations détenues par l'Institut national de la statistique et des études économiques (INSEE) pour mener à bien cette étude ne peuvent être regardées comme étant de nature à faire apparaître, même indirectement, les opinions politiques ou philosophiques au sens de l'article 31 précité [désormais abrogé] de la loi du 6 janvier 1978 ; que par suite, M. X n'est pas fondé à soutenir que le ministre de l'économie, des finances et de l'industrie n'était pas compétent pour créer le système de traitement automatisé dont s'agit ;	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
SAN-2017-006	Facebook	27/04/2017	2017	France	CNIL ou équivalent	Caractère manifestement public	Technologie	Réseaux sociaux - Paramétrage de confidentialité des comptes - Caractère public des données traitées dans le cadre d’une communauté d’intérêts fermées - Absence	Les 8 et 9 avril 2015, en application de la décision n° 2015-091C du 17 mars 2015 de la Présidente de la Commission Nationale de l’Informatique et des Libertés (ci-après CNIL ou la Commission ), une délégation de la CNIL a procédé à une mission de contrôle sur place au sein des locaux de la société Facebook. A l’issue de ces investigations, la Présidente de la CNIL a décidé de mettre en demeure publiquement les sociétés X et Y par une décision n° 2016-007 du 26 janvier 2016 concernant les traitements de données mis en œuvre dans le cadre du réseau social Facebook. Il était ainsi enjoint aux deux sociétés de prendre, dans un délai de trois mois un certain nombre de mesures, parmi lesquelles la nécessité de recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle - par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte. La société Facebook mise en cause n’a apporté aucune réponse à la mise en demeure.	(128.) En outre, la formation restreinte considère que la possibilité offerte aux utilisateurs de paramétrer la confidentialité de leurs comptes ne saurait conférer un caractère public à leurs données, celles-ci étant traitées dans le cadre d’une communauté d’intérêts fermée, celle de […], et accessibles à ses seuls membres.	9	b85ab32eaa572c8016edf68011078dceed8149e5	Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

Datatilsynet (autorité norvégienne)

28 novembre 2024

Décision concernant l’injonction à la chaîne TV familiale « Familiekanalen » Dans une décision publiée ce jour, l’autorité norvégienne annonce envoyé une injonction à la chaîne familiale pour qu’elle entreprenne des mesures visant à limiter l’identification des enfants. En effet, dans certaines des vidéos disponibles sur les plateformes de la chaîne, des enfants sont interviewés devant la […]

Disponible sur: veille.portail-rgpd.com

GPDP (autorité italienne)

22 novembre 2024

Sanction de 5 millions d’euros à Foodinho: la société transmettait les données à des tiers même lorsque l’application était désactivée L’autorité italienne a aujourd’hui annoncé avoir condamné Foodinho srl, une société du groupe Glovo, à payer une amende de 5 millions d’euros pour avoir traité illégalement les données personnelles de plus de 35 000 coureurs […]

Disponible sur: veille.portail-rgpd.com

DPA (autorité grecque)

21 novembre 2024

Amende de 56 000 euros prononcée à l’encontre d’un club nautique traitant des données biométriques pour contrôler les accès Dans un communiqué publié ce jour, l’autorité a imposé une amende totale de 56 000 euros à l’encontre du Nautical Club of Vouliagmeni (N.O.V.), notamment pour avoir traité des données biométriques sans base légale et sans […]

Disponible sur: veille.portail-rgpd.com

CNIL

20 novembre 2024

Explorez la cartographie des entrepôts de données de santé en France Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. […]

Disponible sur: veille.portail-rgpd.com

DPA (autorité grecque)

14 novembre 2024

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … […]

Disponible sur: veille.portail-rgpd.com

PIPC (autorité coréenne)

05 novembre 2024

Le Comité de protection des données personnelles sanctionne Meta pour la collecte et l’utilisation d’informations sensibles sans base légale … mais pas que Le 4 novembre, l’autorité de protection des données sud-coréenne (présidé par Ko Hak-soo, ci-après « PIPC ») a tenu sa 18e réunion plénière et a décidé d’imposer une amende administrative de 21,6 […]

Disponible sur: veille.portail-rgpd.com