Article 23 – Limitations

Article 23 - Limitations

1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a) la sécurité nationale;
b) la défense nationale;
c) la sécurité publique;
d) la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
f) la protection de l'indépendance de la justice et des procédures judiciaires;
g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
h) une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a) à e) et g);
i) la protection de la personne concernée ou des droits et libertés d'autrui;
j) l'exécution des demandes de droit civil.

2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

a) aux finalités du traitement ou des catégories de traitement;
b) aux catégories de données à caractère personnel;
c) à l'étendue des limitations introduites;
d) aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites;
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;
g) aux risques pour les droits et libertés des personnes concernées; et
h) au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

En savoir plus...

Les principes de protection des données, les droits des personnes concernées et les obligations du responsable du traitement ne sont pas absolus. Ils peuvent tous être limités, restreints ou allégés par le biais du droit de l'Union ou des États membres. Toutefois, pour être licite, la limitation doit satisfaire aux exigences énoncées à l'article 23 du RGPD. En particulier, la mesure doit (1) respecter l'essence du droit à la protection des données, (2) être prévisible dans ses effets, (3) refléter un intérêt public qualifié, (4) ne concerner que les droits et obligations qui peuvent être limités conformément au RGPD, (5) être nécessaire, (6) être proportionnée et (7) prévoir des garanties et des informations spécifiques comme indiqué à l'article 23, paragraphe 2, du RGPD.

Pour autant que la mesure soit valable et légale (en ce sens qu'elle a satisfait à l'évaluation ci-dessus), le principe de responsabilité énoncé à l'article 5, paragraphe 2 exigerait du responsable du traitement qu'il documente et conserve une trace de l'application de ces restrictions dans des cas concrets. Ce dossier devrait comprendre les raisons pratiques des restrictions, les motifs appliqués parmi ceux énumérés à l'article 23, paragraphe 1 du RGPD, leur calendrier et le résultat du test de nécessité et de proportionnalité propre à chaque cas. Le responsable du traitement doit lever les restrictions dès que les circonstances qui les justifient n'existent plus. Si le responsable du traitement ne permet pas aux personnes concernées d'exercer leurs droits après la levée de la limitation, la personne concernée peut introduire une réclamation auprès de l'autorité de contrôle contre le responsable du traitement, conformément à l'article 57, paragraphe 1, point f) du RGPD.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Limitations aux droits des personnes par les États membres]
73. Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, au droit de rectification ou d'effacement de ces données, au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 10/2020 - Limitations au titre de l’article 23 du RGPD

28 mars 2023, en anglais

Références

Cet article cite...

> Article 5 - Principes relatifs au traitement des données à caractère personnel

> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée

> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

> Article 15 - Droit d'accès de la personne concernée

> Article 16 - Droit de rectification

> Article 17 - Droit à l'effacement («droit à l'oubli»)

> Article 18 - Droit à la limitation du traitement

> Article 19 - Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

> Article 20 - Droit à la portabilité des données

> Article 21 - Droit d'opposition

> Article 22 - Décision individuelle automatisée, y compris le profilage

> Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel

Cet article est cité par...

> Article 6- Licéité du traitement

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Actualités

Profitez de nos actualités en lien avec cet article !

APD (autorité belge)

27 novembre 2024

Le « médiateur des assurances » belge réprimandé pour ne pas avoir accordé une demande de droit d’accès Dans une décision du 21 novembre dernier publiée ce jour, l’APD annonce avoir réprimandé ASBL Service Ombudsman des Assurances pour ne pas avoir correctement accordé le droit d’accès à des personnes concernées. Ou, en tout cas, au moins un, […]

Disponible sur: veille.portail-rgpd.com

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Fait référence à	Autres informations	Lien
								Notre base de données ne contient pas de décisions relatives à cet article. Veuillez ne pas hésiter à nous en suggérer !				ERREUR
			Année		Autorité	Thème(s)	Secteur(s)