Article 90 - Obligations de secret
1. Les États membres peuvent adopter des règles spécifiques afin de définir les pouvoirs des autorités de contrôle visés à l'article 58, paragraphe 1, points e) et f) à l'égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l'Union ou du droit d'un État membre ou de règles arrêtées par les organismes nationaux compétents, à une obligation de secret professionnel ou à d'autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu'en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou a obtenues dans le cadre d'une activité couverte par ladite obligation de secret.2. Chaque État membre notifie à la Commission les règles qu'il adopte en vertu du paragraphe 1, au plus tard le 25 mai 2018, et, sans tarder, toute modification ultérieure les concernant.
En savoir plus...
Alors que la protection de la vie privée et des données est étroitement liée au droit à l'autodétermination en matière d'information, c'est-à-dire au droit pour un individu d'exercer un contrôle sur le flux d'informations le concernant, le secret professionnel est un concept qui protège l'intérêt de la communauté à pouvoir faire confiance aux professionnels à qui des secrets sont confiés dans l'exercice de leurs fonctions.Étant donné que les informations soumises au secret professionnel peuvent contenir des données à caractère personnel, le RGPD pourrait également s'y appliquer. Cela signifie, entre autres, que les autorités chargées de la protection des données pourraient demander à un professionnel de divulguer des informations confidentielles dans le cadre d'une enquête, conformément à l'article 58, paragraphe 1, du RGPD. L'article 90 a été rédigé en vue de régler les conflits potentiels entre l'application du RGPD, d'une part, et les obligations de secret professionnel, d'autre part. Plus précisément, cette disposition confie aux États membres la tâche de réglementer certains pouvoirs d'enquête des autorités de protection des données lorsqu'ils sont exercés à l'encontre d'un responsable du traitement ou d'un sous-traitant lié par le secret professionnel.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
53. Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu'à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale, y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l'information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d'assurer la continuité des soins de santé ou de la protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance et d'alerte sanitaires, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit des États membres qui doit répondre à un objectif d'intérêt public, ainsi que pour des études menées dans l'intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne devrait pas entraver le libre flux des données à caractère personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données.
[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Marketing non sollicité : l’autorité roumaine condamne une entreprise à 2 000 euros d’amende
L’autorité roumaine a aujourd’hui annoncé avoir condamné l’opérateur ONE UNITED PROPERTIES S.A à une amende d’environ 10 000 lei, soit 2 000 euros (au total), en raison de marketing non sollicité. Au cours de l’enquête, qui a été ouverte à la suite de plaintes de la part de particuliers, [...]
ChatGPT a créé un faux enfant meurtrier ; NOYB dépose plainte contre OpenAI
Le chatbot très populaire d’OpenAI, ChatGPT, donne régulièrement de fausses informations sur des personnes sans offrir aucun moyen de les corriger. Dans de nombreux cas, ces « hallucinations » peuvent gravement nuire à la réputation d’une personne : Dans le passé, ChatGPT a accusé à tort des personnes de corruption, de maltraitance d [...]
En Belgique, l’autorité de contrôle réprimande l’Office des étrangers pour un traitement sans base légale
La Chambre Contentieuse de l’APD a aujourd’hui annoncé avoir adressé une réprimande à l’Office des étrangers pour avoir traité des données à caractère sans base légale. En 2023, l’Office des étrangers a adopté une décision de fin de séjour à l’encontre d’une personne de nationalité étrangère (en séjour r [...]
Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation
À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la CNIL a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI). Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu [...]
Ordre du jour de la séance plénière du 20 mars 2025
La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 20 mars 2025 à 9 h 30 avec l’ordre du jour suivant :
Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif à l’Application de stockage, de traitement et de restitution des antécédents judiciaires (ASTRE [...]
L’EDPB publie un document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes pour les responsables du traitement et les sous-traitants
L’EPDB a aujourd’hui publié une mise à jour de son document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes (généralement appelées BCRs) pour les r [...]
La Poste polonaise sanctionnée à 6,5M d’euros d’amende pour avoir traité illégalement le NIR de 80% des habitants du pays
Le Président de l’UODO, Mirosław Wróblewski, a annoncé avoir imposé des amendes administratives de 27 millions de PLN (soit environ 6,5 millions d’euros) à la Poste Polonaise et de 100 000 PLN (soit environ 24 000 euros) au Ministre de la Cybersécurité pour le traitement sans [...]
Europol alerte sur le recours massif à l’IA dans le crime organisé
L’office européen de police a publié son rapport d’évaluation annuel sur les menaces liées au crime organisé dans l’UE. Escroqueries, systèmes frauduleux de paiement, exploitation d’êtres humains… Les criminels utilisent de plus en plus des outils d’intelligence artificielle pour étendre et automatiser leurs opération [...]
Caméras « augmentées » pour vérifier l’âge en point de vente : la CNIL lance des travaux et une concertation
Certains points de vente ont recours à des dispositifs de caméras « augmentées » afin de prévenir la vente de produits interdits aux mineurs (tabac, alcool, etc.), en s’appuyant sur un algorithme d’intelligence artificielle. En pratique, ces caméras scannent, au moment de l’achat, le visage de la personne pour e [...]
Chasse aux Tesla : un site sème la panique en publiant les données personnelles des propriétaires
Un site web polémique a mis en ligne une carte interactive contenant les noms, adresses, numéros de téléphone et adresses e-mail de potentiels propriétaires de Tesla aux États-Unis. Le propriétaire affirme qu’il supprimera ces données si les personnes concernées prouvent qu’elles ont vendu leur véhicule. Le ton employé par [...]
<< Retourner au menu