Article 18 du RGPD : Droit à la limitation du traitement

Texte original du RGPD

1.La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique:

a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel;

b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation;

c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice;

d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

2.Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

3.Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 12

Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement: (…).

b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 53

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le droit à la limitation du traitement s’exerce dans les conditions prévues à l’article 18 du règlement (UE) 2016/679 du 27 avril 2016.

Article 54

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

L’obligation de notification en cas de rectification ou d’effacement de données à caractère personnel ou la limitation du traitement s’exerce dans les conditions prévues à l’article 19 du règlement (UE) 2016/679 du 27 avril 2016.

Analyse des 3 textes qui précèdent

Le RGPD a formalisé le droit à la limitation du traitement, à son article 18. Il s’agit d’un droit autonome, distinct du droit d’opposition et du droit à l’effacement, qui permet à la personne concernée de suspendre temporairement le traitement de ses données dans quatre hypothèses précises et limitatives. 

Le RGPD introduit une définition technique de la limitation comme un « marquage » visant à restreindre temporairement tout traitement. 

Le texte prévoit aussi une garantie procédurale supplémentaire : le responsable doit informer la personne avant de lever la limitation.

La Directive 95/46/CE (article 12 b). La directive reconnaissait déjà un droit voisin à travers l’obligation faite aux États membres de permettre aux personnes concernées d’obtenir le verrouillage des données lorsque leur traitement n’était pas conforme à la directive (ex. données inexactes ou incomplètes).

Toutefois, ce droit était moins élaboré que sous le RGPD :

• le champ d’application était restreint aux traitements non conformes ;
• la directive n’offrait aucune définition claire du « verrouillage », ce qui laissait place à des divergences d’interprétation et d’application au niveau national ;
• elle ne prévoyait pas la diversité des cas aujourd’hui couverts par l’article 18 du RGPD.

Ainsi, le verrouillage apparaissait comme une mesure accessoire de la rectification, et non comme un droit autonome.

La loi Informatique et Libertés (article 40, ancienne version). En droit français, la loi Informatique et Libertés avait transposé le droit au verrouillage prévu par la directive. L’article 40 reconnaissait à toute personne le droit d’exiger le verrouillage des données lorsqu’elles étaient inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, utilisation, communication ou conservation était interdite. La logique de cette loi se rapprochait de la directive :

• le verrouillage visait principalement à corriger ou neutraliser des traitements non conformes ;
• la notion n’était pas précisément définie en pratique, même si la CNIL en avait donné une interprétation opératoire (inaccessibilité temporaire, restriction de diffusion, etc.).

Ce dispositif ne couvrait pas les hypothèses introduites par le RGPD, comme la suspension en cas d’opposition ou la conservation des données pour des besoins judiciaires.

Analyse comparative

• Évolution substantielle : le RGPD transforme le verrouillage en véritable droit autonome, élargissant ses cas d’application et lui donnant une définition technique (marquage des données) absente des textes antérieurs.
• Harmonisation européenne : contrairement à la Directive 95/46 CE et à la Loi Informatique et Libertés qui laissaient place à des divergences d’interprétation, l’article 18 du RGPD encadre précisément le champ, les modalités et les conséquences de la limitation.
• Garanties renforcées : le RGPD protège davantage la personne concernée en imposant au responsable du traitement de l’informer avant la levée de la limitation et en interdisant tout traitement ultérieur (sauf exceptions strictes : consentement, justice, intérêt public, droits d’autrui).

Jurisprudences 

Européennes 

CJUE, C-131/12 (13 mai 2014) – Google Spain et Google

Cette affaire a posé les bases du droit à l’oubli en ligne et a admis la limitation temporaire de l’accès aux résultats de recherche lorsque les informations sont obsolètes, ouvrant la voie au gel des données avant suppression définitive.

CJUE, C-398/15 (9 mars 2017) – Manni

La Cour a jugé que les moteurs de recherche doivent restreindre la diffusion de liens contenant des données personnelles inexactes ou dépassées, mettant en œuvre le mécanisme de limitation du traitement.

CJUE, C-60/22 (4 mai 2023) – Bundesrepublik Deutschland

La décision confirme que les États membres peuvent imposer des restrictions aux droits d’accès et à la limitation (art. 18) pour des motifs impérieux d’intérêt public (sécurité nationale, santé publique), à condition que ces mesures soient proportionnées et temporaires.

Décision de l’Autorité italienne (Garante) 20 juin 2024 – Fastweb S.p.A.
Mise en demeure adressée à Fastweb S.p.A. l’enjoignant de limiter immédiatement certains traitements de données clients jugés excessifs, assortie d’une astreinte de 1 000 000 € en cas de non-conformité.

Françaises

Cour de cassation (1re ch. civ.), n° 08-17.191 (8 décembre 2009) : La Cour a reconnu le principe de gel des données litigieuses en cours de contentieux, anticipant la limitation du traitement avant toute inscription au fichier.

Conseil d’État, n° 405939 (3 octobre 2018) : Validation des mesures temporaires de blocage d’accès aux données dans le cadre d’une procédure administrative, en cohérence avec l’article 18.

Cour de cassation (1re ch. civ.), n° 18-14.675 (27 novembre 2019) : Confirmation de l’obligation de notifier aux tiers destinataires la limitation du traitement (art. 19), sous peine de sanctions.

Recommandations 

CEPD 

Lignes directrices 10/2020 concernant les limitations

CNIL 

Le droit à la limitation du traitement : geler l’utilisation de vos données