Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
1. Le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière.2. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
3. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
4. Lorsqu'un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées auxdits paragraphes.
En savoir plus...
L'article 89 du RGPD réglemente le traitement des données à caractère personnel pour quatre finalités distinctes : (i) l'archivage dans l'intérêt public, (ii) la recherche scientifique, (iii) la recherche historique et (iv) les finalités statistiques.Dans de nombreux cas, la collecte de grandes quantités de données à caractère personnel est un élément clé, voire une condition préalable, pour atteindre ces objectifs. Par exemple, les essais cliniques ou les sondages politiques reposent tous deux sur la collecte et l'analyse à grande échelle de données à caractère personnel sensibles.En raison du large champ d'application de ces traitements et des risques qu'ils comportent, le législateur européen a introduit des garanties spécifiques au paragraphe 1 afin de protéger les droits et libertés des personnes concernées.Dans le même temps, le fait de surcharger les responsables du traitement d'obligations légales peut en fin de compte entraver la recherche, voire aller à l'encontre de la finalité même du traitement. Cette situation peut à son tour nuire à la société, étant donné que de nombreuses avancées sociétales reposent sur des systèmes d'archivage, des recherches scientifiques et historiques ou des études statistiques. C'est pourquoi l'article 89, paragraphes 2 et 3 permet également une dérogation spécifique au RGPD pour ces finalités, comme détaillé ci-dessous.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
27. Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.
[Consentement à de la recherche scientifique]
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.
[Traitement de données personnelles à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques]
156. Le traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.
[Traitement à des fins archivistiques]
158. Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s'appliquer à ce traitement, étant entendu qu'il ne devrait pas s'appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l'intérêt public devraient être des services qui, en vertu du droit de l'Union ou du droit d'un État membre, ont l'obligation légale de collecter, de conserver, d'évaluer, d'organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l'intérêt public général et d'y donner accès. Les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l'humanité, notamment l'Holocauste, ou aux crimes de guerre.
[Traitement à des fins de recherche scientifique]
159. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le présent règlement devrait également s'appliquer à ce traitement. Aux fins du présent règlement, le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large et couvrir, par exemple, le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé. Il devrait, en outre, tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. Par «fins de recherche scientifique», il convient également d'entendre les études menées dans l'intérêt public dans le domaine de la santé publique. Pour répondre aux spécificités du traitement de données à caractère personnel à des fins de recherche scientifique, des conditions particulières devraient s'appliquer, en particulier, en ce qui concerne la publication ou la divulgation d'une autre manière de données à caractère personnel dans le cadre de finalités de la recherche scientifique. Si le résultat de la recherche scientifique, en particulier dans le domaine de la santé, justifie de nouvelles mesures dans l'intérêt de la personne concernée, les règles générales du présent règlement s'appliquent à l'égard de ces mesures.
[Consentement à la participatoin à des essais cliniques]
161. Aux fins du consentement à la participation à des activités de recherche scientifique dans le cadre d'essais cliniques, les dispositions pertinentes du règlement (UE) no 536/2014 du Parlement européen et du Conseil devraient s'appliquer.
[Traitement à des fins statistiques]
162. Lorsque des données à caractère personnel sont traitées à des fins statistiques, le présent règlement devrait s'appliquer à ce traitement. Le droit de l'Union ou le droit des États membres devrait, dans les limites du présent règlement, déterminer le contenu statistique, définir le contrôle de l'accès aux données et arrêter des dispositions particulières pour le traitement de données à caractère personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique. Par «fins statistiques», on entend toute opération de collecte et de traitement de données à caractère personnel nécessaires pour des enquêtes statistiques ou la production de résultats statistiques. Ces résultats statistiques peuvent en outre être utilisés à différentes fins, notamment des fins de recherche scientifique. Les fins statistiques impliquent que le résultat du traitement à des fins statistiques ne constitue pas des données à caractère personnel mais des données agrégées, et que ce résultat ou ces données à caractère personnel ne sont pas utilisés à l'appui de mesures ou de décisions concernant une personne physique en particulier.
[Production de statistiques officielles par les autorités compétentes]
163. Les informations confidentielles que les autorités statistiques de l'Union et des États membres recueillent pour élaborer des statistiques officielles européennes et nationales devraient être protégées. Les statistiques européennes devraient être mises au point, élaborées et diffusées conformément aux principes statistiques énoncés à l'article 338, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, et les statistiques nationales devraient également respecter le droit des États membres. Le règlement (CE) no 223/2009 du Parlement européen et du Conseil (16) contient d'autres dispositions particulières relatives aux statistiques européennes couvertes par le secret.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
Cet article cite...
Cet article est cité par...
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.
Ordre du jour de la prochaine séance plénière de l’EDPB Aujourd’hui, l’EDPB a publié l’ordre du jour de sa prochaine séance plénière qui aura lieu jeudi. Au programme, notamment : 🔹 Des lignes directrices sur la pseudonymisation 🔹 La position de l’EDPB sur l’articulation du droit de la concurrence et du RGPD 🔹 Commencement de […]
Corée – États-Unis (Californie), main dans la main dans le domaine de la protection des données personnelles La PIPC (présidée par Ko Hak-soo, ci-après ‘la Commission’) a annoncé élargir le champ de sa coopération internationale en matière de protection des données personnelles par la signature d’un accord de coopération avec l’Agence californienne de protection des […]
Tinder, Grindr, Candy Crush, voici la liste des apps concernées par la giga fuite de géolocalisation Des milliers d’applications travaillaient directement, ou à travers des partenaires, avec la société de gestion de données de géolocalisation de Gravy Analytics. Ces informations ont été dérobées par un groupe de hackers et un échantillon a été mis en […]
Amende d’environ 1,7 millions d’euros contre le Bureau administratif des tribunaux pour fuite de numéro de registre et violation des obligations de sécurité La PIPC (présidée par Ko Hak-soo) a tenu sa première réunion plénière le 8 janvier et a décidé d’imposer une amende administrative de 2,7 milliards de wons et une amende de 6 […]
Ordre du jour de la séance plénière du 9 janvier 2025 La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 9 janvier 2025 à 9 h 30 avec l’ordre du jour suivant : Partie I (avec débats): * Examen d’un projet de délibération portant avis sur un projet d’arrêté relatif à la transmission […]
RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une […]
L’autorité autrichienne de protection des données sanctionnée par la CJUE dans son arrêt C‑416/23 Dans l’arrêt C‑416/23 en date du 9 janvier 2025, l’autorité autrichienne de protection des données (DSB) a reçu un camouflet de la part de la CJUE. L’autorité a – arbitrairement – fixé le nombre de plaintes que les personnes concernées peuvent […]
Les Etats-Unis lancent un label de sécurité informatique pour les objets connectés Le gouvernement Biden a annoncé le lancement du “US Cyber Trust Mark”, un label en forme de bouclier destiné à rassurer les consommateurs américains lors de l’achat d’un objet connecté. Pour obtenir ce logo, les fabricants d’appareils connectés devront répondre aux critères du […]
Le Tribunal condamne la Commission à payer des dommages et intérêts à un visiteur de son site Internet en raison du transfert de données à caractère personnel aux États-Unis Le Tribunal de l’UE a aujourd’hui publié une décision de sanction à l’encontre de la Commission Européenne en raison de transferts vers les Etats-Unis mal encadrés […]
Des hackers ont dérobé la mine d’or des données : un fichier massif de géolocalisation Des hackers ont probablement touché à l’un des maillons les plus sensibles dans la vente de données : les informations de géolocalisation. Gravy Analytics, une entreprise américaine qui collecte et revend des infos sur les déplacements de millions d’utilisateurs de […]
