📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 91 du RGPD : Règles existantes des églises et associations religieuses en matière de protection des données

Sommaire

Introduction 

L’article 91 reconnaît la compétence des églises et associations religieuses à conserver ou mettre en place des règles particulières en matière de protection des données, lorsque ces règles existaient déjà avant le RGPD.

Explication de l’article

Les Églises et associations religieuses qui collectent ou traitent des données personnelles doivent respecter le RGPD. Si, avant mai 2018, ces entités disposaient déjà de règles internes cohérentes avec les exigences du RGPD, elles peuvent continuer à les appliquer, sous réserve qu’elles soient compatibles avec le règlement. Le contrôle du respect de ces règles peut être confié à une autorité de contrôle spécifique, distincte de l’autorité nationale habituelle (comme la CNIL en France). 

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1.Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d’entrée en vigueur du présent règlement, un ensemble complet de règles relatives à la protection des personnes physiques à l’égard du traitement, elles peuvent continuer d’appliquer lesdites règles à condition de les mettre en conformité avec le présent règlement.

2. Les églises et les associations religieuses qui appliquent un ensemble complet de règles conformément au paragraphe 1 sont soumises au contrôle d’une autorité de contrôle indépendante qui peut être spécifique, pour autant qu’elle remplisse les conditions fixées au chapitre VI du présent règlement.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Pas de disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté).

Article 8

Modifié par la loi n°2018-493 du 20 juin 2018

I- Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

II- Dans la mesure où la finalité du traitement l’exige pour certaines catégories de données, ne sont pas soumis à l’interdiction prévue au I :

3° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :

– pour les seules données mentionnées au I correspondant à l’objet de ladite association ou dudit organisme ;

– sous réserve qu’ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;

– et qu’ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n’y consentent expressément ;

Analyse des 3 textes qui précèdent

L’article 91 du RGPD introduit une mesure de continuité réglementaire pour les églises, associations et communautés religieuses qui, à la date d’entrée en vigueur du règlement, appliquaient déjà un cadre complet de protection des données. Il leur permet de maintenir leurs règles internes existantes, sous réserve qu’elles soient mises en conformité avec le RGPD. De plus, ces entités peuvent être soumises à une autorité de contrôle indépendante qui peut être spécifique, tant qu’elle respecte les exigences d’indépendance et de compétence prévues par le RGPDarticle 91.​

Cette disposition est une nouveauté par rapport à la directive 95/46/CE, laquelle ne prévoyait pas de règles similaires pour les organisations religieuses.

La loi Informatique et Libertés de 1978 ne comportait pas d’équivalent précis non plus, même si elle protégeait certaines données sensibles concernant notamment les convictions religieuses, sous conditions strictes.​

Ainsi, l’article 91 marque une progression importante en reconnaissant la spécificité des règles internes des églises et associations religieuses, tout en assurant leur alignement avec le cadre général européen de protection des données. Cela permet d’équilibrer le respect des pratiques confessionnelles avec la garantie du respect des droits fondamentaux des personnes physiques.

Jurisprudences 

À ce jour, il n’existe aucune jurisprudence concernant cette disposition. 

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD). 

Dans ce type d’organisation, le recours à un DPO permet de s’assurer que les pratiques internes restent conformes aux exigences du RGPD tout en respectant les règles propres à l’institution. Trouvez votre DPO externe.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.