Article
En savoir plus...
Jurisprudence
Actualités
Article 23 - Limitations
1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:- a) la sécurité nationale;
- b) la défense nationale;
- c) la sécurité publique;
- d) la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
- e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
- f) la protection de l'indépendance de la justice et des procédures judiciaires;
- g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
- h) une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a) à e) et g);
- i) la protection de la personne concernée ou des droits et libertés d'autrui;
- j) l'exécution des demandes de droit civil.
- a) aux finalités du traitement ou des catégories de traitement;
- b) aux catégories de données à caractère personnel;
- c) à l'étendue des limitations introduites;
- d) aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites;
- e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;
- f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;
- g) aux risques pour les droits et libertés des personnes concernées; et
- h) au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.
En savoir plus...
L'article 23 prévoit prévoit que le droit de l’Union ou des États membres peut restreindre certains droits des personnes concernées (notamment ceux prévus aux articles 12 à 22, article 34 et certains aspects de l’article article 5) lorsque cela est nécessaire, proportionné et respecte les libertés fondamentales. Ces limitations doivent poursuivre un objectif d’intérêt général, comme la sécurité nationale, la justice, la santé publique, la prévention des infractions ou la protection des droits d’autrui. Toute restriction législative doit comporter des garanties précises : finalité claire, type de données concernées, durée de conservation, encadrement des accès et transferts, et information des personnes si cela ne compromet pas la finalité poursuivie. Cela permet de concilier protection des données et exigences de l’intérêt public.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
[Notion de "mesure législative" ]
41. Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice») et de la Cour européenne des droits de l’homme.
[Limitations aux droits des personnes par les États membres]
73. Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, au droit de rectification ou d'effacement de ces données, au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
41. Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice») et de la Cour européenne des droits de l’homme.
[Limitations aux droits des personnes par les États membres]
73. Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données à caractère personnel, au droit de rectification ou d'effacement de ces données, au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données à caractère personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
Droit souple
Lignes directrices et recommandations
> EDPB – Lignes directrices 10/2020 – Les limitations au titre de l’article 23 du RGPD (v2.1)
13 octobre 2021
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 5 - Principes relatifs au traitement des données à caractère personnel
> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
> Article 15 - Droit d'accès de la personne concernée
> Article 16 - Droit de rectification
> Article 17 - Droit à l'effacement («droit à l'oubli»)
> Article 18 - Droit à la limitation du traitement
> Article 19 - Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement
> Article 20 - Droit à la portabilité des données
> Article 21 - Droit d'opposition
> Article 22 - Décision individuelle automatisée, y compris le profilage
> Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel
Cet article est cité par...
> Article 6- Licéité du traitement
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL – Recommandations – Applications mobiles
8 avril 2025
> CNIL РRecommandations РUtilisation des donn̩es de localisation des v̩hicules connect̩s
25 mars 2025 (Projet, Ouvert à consultation publique)
> EDPB – Lignes directrices 2/2023 – Champ d’application technique de l’article 5,3 de la directive ePrivacy (2002/58/CE)
7 octobre 2024 (v2.0)
> CNIL РRecommandations РR̩utilisateurs de donn̩es publi̩es sur Internet
12 juin 2024
> CNIL РRecommandations РDispositifs de vid̩osurveillance au sein des chambres des Ehpads
29 février 2024
> CNIL – Recommandations – Utilisation des interfaces de programmation applicatives (API)
7 juillet 2023
> CNIL РRecommandations РT̩l̩surveillance pour les examens en ligne
8 juin 2023
> EDPB – Lignes directrices 02/2021 – Assistants vocaux virtuels
7 juillet 2021 (v2.0)
> EDPB РLignes directrices 8/2020 РLe ciblage des utilisateurs de m̩dias sociaux
13 avril 2021 (v2.0)
> EDPB – Lignes directrices 01/2020 – Véhicules connectés et applications liées à la mobilité
9 mars 2021 (v2.0)
> EDPB – Lignes directrices 6/2020 – L’interaction entre la deuxième directive sur les services de paiement et le RGPD
15 décembre 2020 (v2.0)
> CNIL – Lignes directrices – Cookies et autres traceurs
17 septembre 2020
> CNIL – Recommandations – Cookies et autres traceurs
17 septembre 2020
> EDPB – Lignes directrices 3/2019 – Le traitement des données à caractère personnel par des dispositifs vidéo
29 janvier 2020 (v2.0)
Référentiels
> CNIL – Référentiel – Mise en oeuvre d’un dispositif d’alerte professionnelle
6 juillet 2023
> CNIL РR̩f̩rentiel РGestion des officines de pharmacie
18 juillet 2022
> CNIL РR̩f̩rentiel РGestion des activit̩s commerciales
3 février 2022
> CNIL РR̩f̩rentiel РGestion des impay̩s dans une transaction commerciale
3 février 2022
> CNIL – Référentiel – Protection de l’enfance et des jeunes majeurs de moins de 21 ans
20 janvier 2022
> CNIL РR̩f̩rentiel РGestion locative
6 mai 2021
> CNIL РR̩f̩rentiel РAccueil, h̩bergement et accompagnement social et m̩dico-social des personnes ̢g̩es, des personnes en situation de handicap et de celles en difficult̩
11 mars 2021
> CNIL РR̩f̩rentiel РGestion du personnel
21 novembre 2019
Guides pratiques
> CNIL РGuide pratique РEquipe de d̩veloppement
13 décembre 2021 ((sur le github de la CNIL))
> CNIL РGuide pratique РSensibilisation pour les collectivit̩s territoriales
18 septembre 2019
> CNIL – Guide pratique – L’Ordre des médecins
1 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-473/12 | IPI | 07/11/2013 | Obligation pour les Etats Membres de prévoir des limitations aux droits prévus par la directive 95/46 - Rejet - Simple faculté | Lien | Droits des personnes, Limitation des droits, A classer | Police-Justice | Cour de Justice de l'UE | 2013 |
| C-473/12 | IPI | 07/11/2013 | Notion de "prévention et détection d'infractions pénales" - Activités de detective privé afin de rechercher des manquements à la déontologie d'une profession réglementée - Inclusion | Lien | Droits des personnes, Limitation des droits, Définitions | Police-Justice | Cour de Justice de l'UE | 2013 |
| C-307/22 | FT (Copies du dossier médical) | 26/10/2023 | Droit d'accès - Législation mettant à la charge de la personne concernée les frais d’une première copie de ses données - Illicéité | Lien | Droits des personnes, Droit d'accès, Limitation des droits, Gratuité | Cour de Justice de l'UE | 2023 | |
| C-307/22 | FT (Copies du dossier médical) | 26/10/2023 | Limitation du droit d'accès - Législation antérieure au RGPD - Indifférence | Lien | Droits des personnes, Droit d'accès, Limitation des droits, Restrictions | Cour de Justice de l'UE | 2023 | |
| Avis 2023-015 | Projet de décision (fichier central des titres permanents du permis de chasser) | 16/02/2023 | Exclusion du droit d’opposition - 1) Autorités pouvant écarter le droit d’opposition - Collectivités territoriales et établissements publics - Inclusion - 2) Conditions et garanties | Lien | Droits des personnes, Droit d'opposition, Limitation des droits, Acte réglementaire | Administration | CNIL ou équivalent | 2023 |
| C-817/19 | Ligue des droits humains | 21/06/2022 | Applicabilité du RGPD - Traitements à finalité pénale issue des directives PNR et API - Admission - 1) Pour les traitements effectués par des opérateurs privés - 2) Pour les traitements effectués par des autorités publiques (sauf directive PNR) | Lien | Droits des personnes, Limitation des droits, Champ d'application, Droit applicable, Sécurité nationale | Police-Justice, Transports | Cour de Justice de l'UE | 2022 |
| C-175/20 | Valsts ieņēmumu dienests | 24/02/2022 | Traitement de données à des fins fiscales - Notion de «mesure législative» limitant la portée des obligations et des droits au sens du RGPD - 1) Mesure nécessairement adoptée par un parlement - Absence - 2) Conditions - Clarté, précision et prévisibilité de la limitation pour les justiciables | Lien | Droits des personnes, Limitation des droits, Définitions, Acte réglementaire | Administration | Cour de Justice de l'UE | 2022 |
| 440376 | Société B... Avocat Victimes et Préjudices et autres | 30/12/2021 | Décret du Premier ministre autorisant la collecte de données nécessaires au développement d’un algorithme pour l’indemnisation du préjudice corporel - « Mesure législative » pour la limitation des droits au sens du RGPD - Inclusion | Lien | Droits des personnes, Limitation des droits, Définitions | Administration | Conseil d'Etat | 2021 |
| Avis 2020-136 | Projet de décret (vidéo-port du masque) | 17/12/2020 | Notion d’acte « instaurant le traitement » permettant d’écarter le droit d’opposition au sens de l’article 56 de la loi Informatique et Libertés | Lien | Droits des personnes, Droit d'opposition, Limitation des droits, Acte réglementaire | Administration, Santé | CNIL ou équivalent | 2020 |
| C-620/19 | J & S Service | 10/12/2020 | Application de l'article 23 j) pour protéger les intérêts de l’administration fiscale (personne morale) - Absence de compétence de la Cour car la loi le prévoyant est uniquement nationale | Lien | Droits des personnes, Limitation des droits, Portée | Administration | Cour de Justice de l'UE | 2020 |
| C-511/18, C-512/18 et C-520/18 | La Quadrature du Net e.a. | 06/10/2020 | Limitation des droits des personnes - Règlementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée - Inconventionnalité | Lien | Droits des personnes, Limitation des droits, A classer | Police-Justice | Cour de Justice de l'UE | 2020 |
Actualités
Profitez de nos actualités en lien avec cet article !
Chargement des actualités...
<< Retourner au menu