Par Amanda Dubarry
Le 13 octobre 2021, le Comité européen pour la protection des données (CEPD) a adopté des lignes directrices précisant le cadre applicable en cas de recours à l’article 23 du RGPD.
L’article 23 du RGPD prévoit la possibilité pour les Etats membres ou le droit de l’Union de limiter la portée des obligations et des droits prévus aux articles 12 à 22 du RGPD (relatifs à la transparence de l’information et aux droits des personnes), à l’article 34 du RGPD (relatif à la communication aux personnes concernées en cas de violation de données à caractère personnel) et à l’article 5 du règlement (les principes essentiels des traitements de données ) dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir une liste d’objectifs limitativement énumérés.
Parmi ces objectifs figurent la sécurité nationale, la défense nationale, la sécurité publique, la prévention et la détection d’infractions pénales, la protection de l’indépendance de la justice et des procédures judiciaires ou encore des objectifs importants d’intérêt public général.
Le CEPD avait déjà pu rappeler cette possibilité dans le cadre de la lutte contre la propagation du COVID-19. Il avait ainsi rappelé qu’en dépit de la gravité du contexte sanitaire, le responsable du traitement et le sous-traitant devaient garantir la protection des données à caractère personnel des personnes concernées en prenant des mesures réversibles et proportionnelles et limitées à la période d’urgence.
Dans le cadre de ses lignes directrices, le CEPD indique que pour être licites, les restrictions mises en place par les Etats membres devaient respecter les conditions suivantes :
Être issues de mesures législatives. A ce titre, le CEPD rappelle que la loi interne doit être suffisamment claire et précise dans ses termes pour permettre à la personne concernée de comprendre les circonstances et les conditions dans lesquelles les responsables de traitements sont autorisés à mettre en place ces limitations.
Concerner un nombre limité de droits des personnes concernées et/ou d’obligations du responsable de traitement
Respecter les droits et les libertés fondamentaux
Constituer une mesure nécessaire et proportionnée dans une société démocratique
Répondre à l'un des motifs d’intérêt public énoncés à l'article 23.1 du RGPD
Les restrictions des droits des personnes concernées doivent être de nature exceptionnelle, limitées dans le temps et dans leur périmètre et documentées. Un test de proportionnalité devra en tout état de cause être effectué avant l’adoption de toutes mesures législatives restrictives.
Par ailleurs si les droits concernés peuvent être limités, ils ne doivent pas pour autant être supprimés.
Seuls les droits des personnes cités aux articles 12 à 22, à savoir le droit à la transparence de l’information, le droit d’information, le droit d’accès, le droit à la rectification, le droit à la suppression, le droit à la limitation, le droit de notification, le droit à la portabilité, le droit d’opposition et le droit de ne pas faire l’objet d’une prise de décision individuelle automatisée sont concernées.
Ainsi, le droit de déposer une réclamation devant une autorité de contrôle, lui, ne peut être limité.
Les lignes directrices ont ainsi pour objectif de rappeler les conditions de la mise en œuvre des limitations des droits : si une limitation est nécessaire, par exemple, à la sauvegarde de la santé publique dans le cadre d’un état d’urgence, elle doit néanmoins être limitée dans sa portée et dans le temps.
Aussi, le RGPD articule avec une certaine agilité la protection de la vie privée des personnes avec les impératifs étatiques.
***
Pour être accompagné dans vos démarches ou pour tout renseignement complémentaire, n’hésitez pas à contacter le Cabinet HAAS Avocats ici.