Article 11 - Traitement ne nécessitant pas l'identification
1. Si les finalités pour lesquelles des données à caractère personnel sont traitées n'imposent pas ou n'imposent plus au responsable du traitement d'identifier une personne concernée, celui-ci n'est pas tenu de conserver, d'obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement.2. Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu'il n'est pas en mesure d'identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 15 à 20 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d'exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l'identifier.
En savoir plus...
Pendant du principe de minimisation évoqué à l'article 5 du RGPD, l'article 11 prévoit que lorsqu'un traitement ne nécessite pas ou plus l'identification de la personne concernée, le responsable du traitement doit agir en conséquence, en supprimant ou en masquant d'une autre manière la référence d'identification de la personne concernée. Autrement dit, le responsable du traitement n'est pas tenu de traiter des informations supplémentaires concernant la personne concernée dans le seul but de se conformer au RGPD sauf à ce qu'une personne concernée souhaite exercer ses droits au titre du RGPD et fournit à cet effet des informations supplémentaires permettant sa (ré)identification, le responsable du traitement prend en compte ces informations et, si possible, répond à la demande.Il est notable que l'article 11 du RGPD ne porte pas préjudice aux autres règles posées par le Règlement, notamment la tenue de registres, de preuves ou d'éléments de preuve.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
26. Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.
[Informations additionnelles pour l'identification ?]
57. Si les données à caractère personnel qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Toutefois, le responsable du traitement ne devrait pas refuser des informations supplémentaires fournies par la personne concernée afin de faciliter l'exercice de ses droits. L'identification devrait comprendre l'identification numérique d'une personne concernée, par exemple au moyen d'un mécanisme d'authentification tel que les mêmes identifiants utilisés par la personne concernée pour se connecter au service en ligne proposé par le responsable du traitement.
[Vérification d'identité]
64. Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
Cet article cite...
Cet article est cité par...
Autres textes liés
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Marketing non sollicité : l’autorité roumaine condamne une entreprise à 2 000 euros d’amende
L’autorité roumaine a aujourd’hui annoncé avoir condamné l’opérateur ONE UNITED PROPERTIES S.A à une amende d’environ 10 000 lei, soit 2 000 euros (au total), en raison de marketing non sollicité. Au cours de l’enquête, qui a été ouverte à la suite de plaintes de la part de particuliers, [...]
ChatGPT a créé un faux enfant meurtrier ; NOYB dépose plainte contre OpenAI
Le chatbot très populaire d’OpenAI, ChatGPT, donne régulièrement de fausses informations sur des personnes sans offrir aucun moyen de les corriger. Dans de nombreux cas, ces « hallucinations » peuvent gravement nuire à la réputation d’une personne : Dans le passé, ChatGPT a accusé à tort des personnes de corruption, de maltraitance d [...]
En Belgique, l’autorité de contrôle réprimande l’Office des étrangers pour un traitement sans base légale
La Chambre Contentieuse de l’APD a aujourd’hui annoncé avoir adressé une réprimande à l’Office des étrangers pour avoir traité des données à caractère sans base légale. En 2023, l’Office des étrangers a adopté une décision de fin de séjour à l’encontre d’une personne de nationalité étrangère (en séjour r [...]
Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation
À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la CNIL a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI). Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu [...]
Ordre du jour de la séance plénière du 20 mars 2025
La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 20 mars 2025 à 9 h 30 avec l’ordre du jour suivant :
Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif à l’Application de stockage, de traitement et de restitution des antécédents judiciaires (ASTRE [...]
L’EDPB publie un document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes pour les responsables du traitement et les sous-traitants
L’EPDB a aujourd’hui publié une mise à jour de son document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes (généralement appelées BCRs) pour les r [...]
La Poste polonaise sanctionnée à 6,5M d’euros d’amende pour avoir traité illégalement le NIR de 80% des habitants du pays
Le Président de l’UODO, Mirosław Wróblewski, a annoncé avoir imposé des amendes administratives de 27 millions de PLN (soit environ 6,5 millions d’euros) à la Poste Polonaise et de 100 000 PLN (soit environ 24 000 euros) au Ministre de la Cybersécurité pour le traitement sans [...]
Europol alerte sur le recours massif à l’IA dans le crime organisé
L’office européen de police a publié son rapport d’évaluation annuel sur les menaces liées au crime organisé dans l’UE. Escroqueries, systèmes frauduleux de paiement, exploitation d’êtres humains… Les criminels utilisent de plus en plus des outils d’intelligence artificielle pour étendre et automatiser leurs opération [...]
Caméras « augmentées » pour vérifier l’âge en point de vente : la CNIL lance des travaux et une concertation
Certains points de vente ont recours à des dispositifs de caméras « augmentées » afin de prévenir la vente de produits interdits aux mineurs (tabac, alcool, etc.), en s’appuyant sur un algorithme d’intelligence artificielle. En pratique, ces caméras scannent, au moment de l’achat, le visage de la personne pour e [...]
Chasse aux Tesla : un site sème la panique en publiant les données personnelles des propriétaires
Un site web polémique a mis en ligne une carte interactive contenant les noms, adresses, numéros de téléphone et adresses e-mail de potentiels propriétaires de Tesla aux États-Unis. Le propriétaire affirme qu’il supprimera ces données si les personnes concernées prouvent qu’elles ont vendu leur véhicule. Le ton employé par [...]
<< Retourner au menu