Article 91 – Règles existantes des églises et associations religieuses en matière de protection des données

Article 91 - Règles existantes des églises et associations religieuses en matière de protection des données

1. Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d'entrée en vigueur du présent règlement, un ensemble complet de règles relatives à la protection des personnes physiques à l'égard du traitement, elles peuvent continuer d'appliquer lesdites règles à condition de les mettre en conformité avec le présent règlement.

2. Les églises et les associations religieuses qui appliquent un ensemble complet de règles conformément au paragraphe 1 du présent article sont soumises au contrôle d'une autorité de contrôle indépendante qui peut être spécifique, pour autant qu'elle remplisse les conditions fixées au chapitre VI du présent règlement.

En savoir plus...

Les organisations religieuses traitent généralement de grandes quantités de données à caractère personnel relatives à leurs membres, par exemple des convictions religieuses ou philosophiques, qui sont considérées comme des catégories particulières de données à caractère personnel conformément à l'article 9 du RGPD. Par conséquent, il est essentiel de veiller à ce qu'elles respectent la législation en matière de protection des données afin de protéger les droits et libertés des personnes concernées qui sont (ou ont été) membres de ces organisations.
Toutefois, pour des raisons historiques, certaines organisations religieuses spécifiques peuvent bénéficier d'un statut particulier dans certains États membres, qui leur permet d'appliquer et d'adopter leur propre ensemble de règles contraignantes, distinctes du droit national. Par exemple, en ce qui concerne l'Église catholique romaine, certains États membres autorisent l'application du droit canonique en lieu et place du droit national pour les questions relevant des compétences de l'Église. L'article 91 tient compte de cette réalité en autorisant, dans certaines circonstances, les églises et les associations ou communautés religieuses à être soumises à leur propre ensemble de règles de protection des données, distinct du RGPD. Cette dérogation est toutefois soumise à des conditions strictes, détaillées ci-dessous. Par conséquent, les églises et les associations ou communautés religieuses qui ne remplissent pas ces conditions restent liées par le RGPD dans son intégralité.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Equilibre avec les autres droits fondamentaux]
4. Le traitement des données à caractère personnel devrait être conçu pour servir l'humanité. Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d'expression et d'information, la liberté d'entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique. [Traitement des données de santé à des fins d'intérêt public]

54. Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s'interpréter selon la définition contenue dans le règlement (CE) no 1338/2008 du Parlement européen et du Conseil (11), à savoir tous les éléments relatifs à la santé, à savoir l'état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l'accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d'intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques.

[Traitement par les autorités pour atteindre les objectifs d'associations religieuses]
55. En outre, le traitement de données à caractère personnel par des autorités publiques aux fins de réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public, d'associations à caractère religieux officiellement reconnues est effectué pour des motifs d'intérêt public.

[Pas de préjudice au statut des églises et communautés religieuses]
165. Le présent règlement respecte et ne porte pas préjudice au statut dont bénéficient, en vertu du droit constitutionnel en vigueur, les églises et les associations ou communautés religieuses dans les États membres, tel qu'il est reconnu par l'article 17 du traité sur le fonctionnement de l'Union européenne.

Droit souple

Lignes directrices et recommandations

Guides pratiques

Documents anciens

Références

Cet article cite...
N/A

Cet article est cité par...
N/A


Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Actualités

Profitez de nos actualités en lien avec cet article !

Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.

Comité européen sur la protection des données (EDPB)
13 janvier 2025

Ordre du jour de la prochaine séance plénière de l’EDPB Aujourd’hui, l’EDPB a publié l’ordre du jour de sa prochaine séance plénière qui aura lieu jeudi. Au programme, notamment : 🔹 Des lignes directrices sur la pseudonymisation 🔹 La position de l’EDPB sur l’articulation du droit de la concurrence et du RGPD 🔹 Commencement de […]

Disponible sur: veille.portail-rgpd.com
PIPC (autorité coréenne)
12 janvier 2025

Corée – États-Unis (Californie), main dans la main dans le domaine de la protection des données personnelles La PIPC (présidée par Ko Hak-soo, ci-après ‘la Commission’) a annoncé élargir le champ de sa coopération internationale en matière de protection des données personnelles par la signature d’un accord de coopération avec l’Agence californienne de protection des […]

Disponible sur: veille.portail-rgpd.com
Numerama – Cyberguerre
12 janvier 2025

Tinder, Grindr, Candy Crush, voici la liste des apps concernées par la giga fuite de géolocalisation Des milliers d’applications travaillaient directement, ou à travers des partenaires, avec la société de gestion de données de géolocalisation de Gravy Analytics. Ces informations ont été dérobées par un groupe de hackers et un échantillon a été mis en […]

Disponible sur: veille.portail-rgpd.com
PIPC (autorité coréenne)
12 janvier 2025

Amende d’environ 1,7 millions d’euros contre le Bureau administratif des tribunaux pour fuite de numéro de registre et violation des obligations de sécurité  La PIPC (présidée par Ko Hak-soo) a tenu sa première réunion plénière le 8 janvier et a décidé d’imposer une amende administrative de 2,7 milliards de wons et une amende de 6 […]

Disponible sur: veille.portail-rgpd.com
CNIL
10 janvier 2025

Ordre du jour de la séance plénière du 9 janvier 2025 La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 9 janvier 2025 à 9 h 30 avec l’ordre du jour suivant : Partie I (avec débats): * Examen d’un projet de délibération portant avis sur un projet d’arrêté relatif à la transmission […]

Disponible sur: veille.portail-rgpd.com
CJUE – Arrêt C-394/23
09 janvier 2025

RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une […]

Disponible sur: veille.portail-rgpd.com
NOYB – None of your business
09 janvier 2025

L’autorité autrichienne de protection des données sanctionnée par la CJUE dans son arrêt C‑416/23 Dans l’arrêt C‑416/23 en date du 9 janvier 2025, l’autorité autrichienne de protection des données (DSB) a reçu un camouflet de la part de la CJUE. L’autorité a – arbitrairement – fixé le nombre de plaintes que les personnes concernées peuvent […]

Disponible sur: veille.portail-rgpd.com
L’Usine digitale
09 janvier 2025

Les Etats-Unis lancent un label de sécurité informatique pour les objets connectés Le gouvernement Biden a annoncé le lancement du “US Cyber Trust Mark”, un label en forme de bouclier destiné à rassurer les consommateurs américains lors de l’achat d’un objet connecté. Pour obtenir ce logo, les fabricants d’appareils connectés devront répondre aux critères du […]

Disponible sur: veille.portail-rgpd.com
Tribunal de l’UE – Arrêt T-354/22
08 janvier 2025

Le Tribunal condamne la Commission à payer des dommages et intérêts à un visiteur de son site Internet en raison du transfert de données à caractère personnel aux États-Unis Le Tribunal de l’UE a aujourd’hui publié une décision de sanction à l’encontre de la Commission Européenne en raison de transferts vers les Etats-Unis mal encadrés […]

Disponible sur: veille.portail-rgpd.com
Numerama – Cyberguerre
08 janvier 2025

Des hackers ont dérobé la mine d’or des données : un fichier massif de géolocalisation Des hackers ont probablement touché à l’un des maillons les plus sensibles dans la vente de données : les informations de géolocalisation. Gravy Analytics, une entreprise américaine qui collecte et revend des infos sur les déplacements de millions d’utilisateurs de […]

Disponible sur: veille.portail-rgpd.com

Partenaires


Logo du M2 DNUM
Retour en haut