Article
En savoir plus...
Jurisprudence
Actualités
Article 18 - Droit à la limitation du traitement
1. La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique:- a) l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel;
- b) le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;
- c) le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice;
- d) la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
3. Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.
En savoir plus...
Lorsque les conditions établies par le RGPD sont respectées, le responsable du traitement est généralement en mesure de décider de l'utilisation des données à caractère personnel. Toutefois, au cours des activités de traitement, des questions peuvent se poser quant à l'opportunité du traitement, par exemple lorsque le responsable du traitement peut supprimer des informations que la personne concernée utilise comme preuve ou lorsqu'il existe un différend entre le responsable du traitement et la personne concernée au sujet de l'exactitude des données à caractère personnel.Afin d'éviter que l'effacement, le partage ou tout autre traitement n'entraîne un préjudice supplémentaire pour la personne concernée, le droit à la limitation du traitement permet à cette dernière de limiter temporairement le type d'opérations de traitement qu'un responsable du traitement peut effectuer sur ses données à caractère personnel. Dans ce cas, le responsable du traitement est uniquement autorisé à stocker passivement les données à caractère personnel, mais ne peut plus les partager, les divulguer, les effacer ou effectuer tout autre type d'opération de traitement à leur sujet. Les données à caractère personnel sont « gelées », sauf si l'une des exceptions spécifiques prévues au paragraphe 2 s'applique.
Le droit à la limitation du traitement ne s'applique que pendant une période limitée (la « période de limitation »), à l'issue de laquelle le responsable du traitement n'est plus tenu de limiter le traitement. La durée de cette période de restriction varie d'un cas à l'autre.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Droit à la limitation]
67. Les méthodes visant à limiter le traitement de données à caractère personnel pourraient consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d'un site internet. Dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l'objet d'opérations de traitements ultérieures et ne puissent pas être modifiées. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier.
[Traitement de données personnelles à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques]
156. Le traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.
67. Les méthodes visant à limiter le traitement de données à caractère personnel pourraient consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d'un site internet. Dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l'objet d'opérations de traitements ultérieures et ne puissent pas être modifiées. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier.
[Traitement de données personnelles à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques]
156. Le traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 21 - Droit d'opposition
Cet article est cité par...
> Article 11 - Traitement ne nécessitant pas l'identification
> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
> Article 19 - Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement
> Article 23 - Limitations
> Article 58 - Pouvoirs
> Article 83 - Conditions générales pour imposer des amendes administratives
> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| 490416 | Mme D... F... | 27/01/2025 | Exercice des droits - Adresser une demande au responsable de traitement préalablement à une saisine de la CNIL - Obligation | Lien | Procédure | Conseil d'Etat | 2025 | |
| C-333/22 | Ligue des droits humains (Vérification du traitement des données par l’autorité de contrôle) | 16/11/2023 | Exercice des droits de manière indirecte (Directive Police-Justice) - Recours juridictionnel contre la décision de clôturer la procédure - Existence | Lien | Exercice indirect des droits | Police-Justice | Cour de Justice de l'UE | 2023 |
| C-60/22 | Bundesrepublik Deutschland (Boîte électronique judiciaire) | 04/05/2023 | Absence d’accord déterminant la responsabilité conjointe du traitement et de la tenue du registre des activités de traitement - Traitement illicite conférant un droit à la limitation - Absence | Lien | Illicéité du traitement | Cour de Justice de l'UE | 2023 | |
| 40/2022 | Mme X | 17/03/2022 | Exercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission | Lien | Minimisation, Procédure | CNIL ou équivalent | 2022 |
Actualités
Profitez de nos actualités en lien avec cet article !CNIL
08 février 2025
IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable
Le Sommet pour l’action sur l’intelligence artificielle, organisé par la France du 6 au 11 février 2025, accueillera de nombreux évènements qui confirment que l’IA recèle un potentiel d’innovation et de compétitivité pour les prochaines années. Depuis 1978, la France s’est dotée de règles pour encadrer l’usage des donn [...]
DPA (autorité grecque)
19 décembre 2024
30 000 euros d’amende pour un médecin ayant publié des photographies médicales sur un réseau social
L’autorité hellénique a publié aujourd’hui une décision de sanction à l’encontre d’un médecin, avec 30 000 euros d’amende à la clé, pour avoir publié des photographies d’une partie du corps de la plaignante sur un réseau social géré par le médecin à des fins médicales et scientifi [...]
<< Retourner au menu