Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
1. Le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière.2. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
3. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
4. Lorsqu'un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées auxdits paragraphes.
En savoir plus...
L'article 89 du RGPD réglemente le traitement des données à caractère personnel pour quatre finalités distinctes : (i) l'archivage dans l'intérêt public, (ii) la recherche scientifique, (iii) la recherche historique et (iv) les finalités statistiques.Dans de nombreux cas, la collecte de grandes quantités de données à caractère personnel est un élément clé, voire une condition préalable, pour atteindre ces objectifs. Par exemple, les essais cliniques ou les sondages politiques reposent tous deux sur la collecte et l'analyse à grande échelle de données à caractère personnel sensibles.En raison du large champ d'application de ces traitements et des risques qu'ils comportent, le législateur européen a introduit des garanties spécifiques au paragraphe 1 afin de protéger les droits et libertés des personnes concernées.Dans le même temps, le fait de surcharger les responsables du traitement d'obligations légales peut en fin de compte entraver la recherche, voire aller à l'encontre de la finalité même du traitement. Cette situation peut à son tour nuire à la société, étant donné que de nombreuses avancées sociétales reposent sur des systèmes d'archivage, des recherches scientifiques et historiques ou des études statistiques. C'est pourquoi l'article 89, paragraphes 2 et 3 permet également une dérogation spécifique au RGPD pour ces finalités, comme détaillé ci-dessous.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
27. Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.
[Consentement à de la recherche scientifique]
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.
[Traitement de données personnelles à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques]
156. Le traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.
[Traitement à des fins archivistiques]
158. Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s'appliquer à ce traitement, étant entendu qu'il ne devrait pas s'appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l'intérêt public devraient être des services qui, en vertu du droit de l'Union ou du droit d'un État membre, ont l'obligation légale de collecter, de conserver, d'évaluer, d'organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l'intérêt public général et d'y donner accès. Les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l'humanité, notamment l'Holocauste, ou aux crimes de guerre.
[Traitement à des fins de recherche scientifique]
159. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le présent règlement devrait également s'appliquer à ce traitement. Aux fins du présent règlement, le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large et couvrir, par exemple, le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé. Il devrait, en outre, tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. Par «fins de recherche scientifique», il convient également d'entendre les études menées dans l'intérêt public dans le domaine de la santé publique. Pour répondre aux spécificités du traitement de données à caractère personnel à des fins de recherche scientifique, des conditions particulières devraient s'appliquer, en particulier, en ce qui concerne la publication ou la divulgation d'une autre manière de données à caractère personnel dans le cadre de finalités de la recherche scientifique. Si le résultat de la recherche scientifique, en particulier dans le domaine de la santé, justifie de nouvelles mesures dans l'intérêt de la personne concernée, les règles générales du présent règlement s'appliquent à l'égard de ces mesures.
[Consentement à la participatoin à des essais cliniques]
161. Aux fins du consentement à la participation à des activités de recherche scientifique dans le cadre d'essais cliniques, les dispositions pertinentes du règlement (UE) no 536/2014 du Parlement européen et du Conseil devraient s'appliquer.
[Traitement à des fins statistiques]
162. Lorsque des données à caractère personnel sont traitées à des fins statistiques, le présent règlement devrait s'appliquer à ce traitement. Le droit de l'Union ou le droit des États membres devrait, dans les limites du présent règlement, déterminer le contenu statistique, définir le contrôle de l'accès aux données et arrêter des dispositions particulières pour le traitement de données à caractère personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique. Par «fins statistiques», on entend toute opération de collecte et de traitement de données à caractère personnel nécessaires pour des enquêtes statistiques ou la production de résultats statistiques. Ces résultats statistiques peuvent en outre être utilisés à différentes fins, notamment des fins de recherche scientifique. Les fins statistiques impliquent que le résultat du traitement à des fins statistiques ne constitue pas des données à caractère personnel mais des données agrégées, et que ce résultat ou ces données à caractère personnel ne sont pas utilisés à l'appui de mesures ou de décisions concernant une personne physique en particulier.
[Production de statistiques officielles par les autorités compétentes]
163. Les informations confidentielles que les autorités statistiques de l'Union et des États membres recueillent pour élaborer des statistiques officielles européennes et nationales devraient être protégées. Les statistiques européennes devraient être mises au point, élaborées et diffusées conformément aux principes statistiques énoncés à l'article 338, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, et les statistiques nationales devraient également respecter le droit des États membres. Le règlement (CE) no 223/2009 du Parlement européen et du Conseil (16) contient d'autres dispositions particulières relatives aux statistiques européennes couvertes par le secret.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
Cet article cite...
Cet article est cité par...
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Amende prononcée contre une radio polonaise pour l’absence de procédures protégeant les droits des protagonistes des publications
L’autorité polonaise a aujourd’hui publié un communiqué de presse annonçant la condamnation de la radio Szcezin en raison de l’absence de procédures protégeant les droits des personnes concernées par les publications même lorsqu’il ne s’agit pas de personna [...]
Un particulier condamné pour avoir publié des données personnelles sur Facebook de manière illicite
L’autorité Espagnole a aujourd’hui sanctionné un particulier en raison d’une publication Facebook qui a été observée comme un traitement de données illicite. Cette affaire comme avec une plainte a été déposée contre A.A.A. par B.B.B. concernant la publication non autorisée de données personnelles sur Fac [...]
Vidéosurveillance: une entreprise sanctionnée à 4000 euros d’amende en Espagne pour des angles de vue trop larges
L’autorité espagnole (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de la société SNOW INK SIERRA NEVADA, S.L., lui infligeant une amende de 4000 euros en raison de lacunes liées à la gestion de la vidéosurveillance. L’affaire a débuté par une réclamation co [...]
Iberia Cards condamné pour avoir refusé d’accorder les bonus « nouveau client » à une personne ayant précédemment exercé son droit à l’effacement
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre d’Iberia Cards en raison de traitements jugés illicites. Comme souvent, cette affaire commence par une réclamation déposée près qu’Iberia Cards ait refusé [...]
En Espagne, une chaîne hôtelière échappe à la sanction grâce aux délais de prescriptions locaux
L’AEPD a aujourd’hui publié une décision d’archivage d’un dossier en raison du dépassement du délai de prescription des frais reprochés, celui-ci étant de 3 ans en Espagne. La réclamation initiale a été déposée auprès de l’autorité allemande de protection des données de Bavière en avril 2021 par [...]
Un établissement d’hébergement touristique pour avoir systématiquement demandé la carte d’identité complète des clients
L’autorité espagnole a publié aujourd’hui une décision de sanction à l’encontre de la société RESIDENTIAL QUALITY ENJOY, S.L. pour avoir enfreint le principe de minimisation des données en exigeant la copie des cartes d’identité de ses clients. Comme souvent, l&rsquo [...]
Un hôtel condamné pour ne pas avoir accordé l’accès aux images de vidéosurveillance
L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction à l’encontre de Noy Business Transactions SRL (avec une amende de 1 000 euros à la clef) pour ne pas avoir répondu correctement à une demande d’exercice des droits. L’enquête a été initiée à la suite d’une plainte [...]
Stratégie de protection des données pour l’année 2025
Dans un communiqué de presse paru ce jour, l’autorité de protection des données islandaise a annoncé avoir décidé qu’en 2025, l’accent sera mis sur les domaines suivants dans les activités de l’institution.
* Le traitement des données personnelles à des fins de marketing, y compris par les agences de publicité.
* Le traitemen [...]
La France se lance enfin dans le chantier « NIS 2 » pour sécuriser tout le tissu économique
La menace cyber continue de progresser : au cours de l’année 2024, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a traité – avec « un degré d’engagement variable » – 4386 événements de sécurité, soit une augmentation de 15% par rapport à l’année 2023. Ces chiffres proviennent du « Panorama de la cybe [...]
L’Université de Rennes victime d’une cyberattaque sur un “sous-réseau pédagogique”
L’Université de Rennes (ex-Rennes 1) a annoncé le 10 mars avoir été victime d’une cyberattaque au cours du week-end. “Une action informatique malveillante a été repérée ce week-end sur un sous-réseau pédagogique de l’établissement, explique l’université dans un communiqué transmis à L’Usine Digitale. L [...]
<< Retourner au menu