📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 10 du RGPD : Traitement des données à caractère personnel relatives aux condamnations pénales et infractions

Sommaire

Introduction

L’article 10 du Règlement Général sur la Protection des Données (RGPD) établit un régime de protection spécifique pour une catégorie de données particulièrement sensibles : celles relatives aux condamnations pénales et aux infractions. Contrairement à l’article 9 qui pose une interdiction de principe avec exceptions, l’article 10 autorise ces traitements mais il le rend possible uniquement sous des conditions très strictes. 

Schéma article 10 du RGPD Traitement des données à caractère personnel relatives aux condamnations pénales et infractions

Explication de l’article

L’article 10 du RGPD régit le traitement des données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté connexes (Ce sont des mesures qui peuvent être prises avant, pendant ou après une peine, souvent pour prévenir un risque de récidive ou limiter un danger social). Ces données, bien que distinctes des catégories particulières de l’article 9, méritent une protection renforcée car elles touchent à la réputation, à la réinsertion sociale et aux droits fondamentaux des personnes concernées. L’article établit un équilibre entre les besoins légitimes des autorités publiques et la protection des individus.

Les exigences principales de l’article 10

  • Contrôle par l’autorité publique
    Seules les autorités comme la police, la justice ou l’administration publique peuvent manipuler ces données sensibles. Cela permet de s’assurer qu’elles ne soient pas utilisées par n’importe qui.
  • Autorisation légale avec garanties
    Dans certains cas, la loi peut permettre à des acteurs privés de traiter ces données, mais uniquement si des règles précises existent pour protéger les droits des personnes concernées.
  • Toujours une base légale (article 6 RGPD)
    En plus des conditions posées par l’article 10, il faut aussi une base juridique valable (par exemple, une mission d’intérêt public ou un intérêt légitime).
  • Registres complets réservés à l’État
    Seule l’autorité publique peut détenir la totalité des informations sur le casier judiciaire ou les condamnations. Les entreprises n’ont pas le droit de créer ce type de bases de données exhaustives.
  • Principe de proportionnalité et minimisation
    On ne collecte et ne garde que les données strictement nécessaires. Rien de superflu n’est autorisé, car cela toucherait trop fortement la vie privée.
  • Durée de conservation limitée
    Les informations ne doivent pas être gardées indéfiniment. Les délais sont fixés par la loi nationale pour respecter le droit à l’oubli et favoriser la réinsertion après une condamnation.
  • Respect strict de la finalité
    Les données ne doivent être utilisées que pour la raison exacte qui justifie leur collecte : enquête judiciaire, sécurité publique, prévention des infractions, ou accompagnement à la réinsertion.
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

“Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.”

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 8 

Point 5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l’État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 46

Les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que par :

  • Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;
  • Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
  • Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;
  • Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits ;
  • Les réutilisateurs des informations publiques figurant dans les décisions mentionnées à l’article L. 10 du code de justice administrative et à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Analyse des 3 textes qui précèdent

La Directive 95/46/CE, adoptée en 1995, posait un principe assez simple : seules les autorités publiques pouvaient contrôler les données pénales. Mais elle ne précisait pas clairement si ce contrôle devait être direct ou pouvait se faire par simple autorisation légale. Elle ne disait rien non plus sur l’exclusivité des bases de données complètes détenues par l’État, ce qui laissait une marge d’interprétation pour les États membres. En résumé, la directive contenait le principe mais manquait de détails pour encadrer précisément les traitements.

L’article 10 du RGPD (règlement européen de 2016, en vigueur depuis 2018)

Le RGPD est venu clarifier et renforcer la protection de ces données sensibles en :

  • Distinguant clairement deux conditions de licéité : soit un contrôle direct par une autorité publique, soit une autorisation légale stricte avec garanties.
  • Affirmant explicitement que seul l’État peut tenir des registres complets de condamnations, empêchant les acteurs privés de créer des bases exhaustives.
  • Confirmait le système de double condition juridique, en renvoyant à une base légale générale (article 6.1 RGPD) en plus des conditions spécifiques.

La Loi Informatique et Libertés est allée au-delà du RGPD en élargissant certains acteurs autorisés : par exemple, les personnes morales privées qui collaborent avec la justice ou les réutilisateurs d’informations publiques peuvent parfois accéder à ces données. Cette approche est plus flexible et pragmatique, adaptée à la réalité du système judiciaire français. Bien sûr, cette extension est encadrée strictement et vise à rester conforme au RGPD grâce à des garanties renforcer les droits des personnes.

En résumé

  • La directive 95/46/CE posait un cadre général avec peu de détails.
  • Le RGPD, via l’article 10, a précisé les conditions strictes de traitement, renforcé l’exclusivité publique des registres, et ajouté des exigences légales claires.
  • La loi française adapte ce cadre européen en étendant avec prudence le panel des acteurs autorisés, toujours sous contrôle strict.

Ne restez pas seul face à vos obligations RGPD. Trouvez un DPO externe de confiance avec Mon Expert RGPD.

Jurisprudences

Européennes

C-205/15 (8 mai 2018) – Ministerul Afacerilor Interne

La Cour de Justice Européenne a précisé les conditions d’accès aux bases de données pénales. Elle a jugé qu’un État membre ne peut pas refuser systématiquement l’accès aux informations du casier judiciaire pour des ressortissants d’autres États membres, mais peut exiger des garanties appropriées quant à l’usage de ces données.

C-817/19 (2 mars 2021) – Ligue des droits humains

Bien que portant sur la conservation généralisée des données de communications, cet arrêt établit des principes applicables aux données pénales : la conservation ne peut être que ciblée, proportionnée et soumise à un contrôle juridictionnel effectif.

AEPD c. Amazon Road Transport Spain S.L. (11 février 2022) 

Sanction de 2 millions d’euros d’amende : L’AEPD a sanctionné Amazon Espagne pour avoir traité illégalement des certificats d’antécédents pénaux, affirmant que tout certificat, positif ou négatif, constitue un traitement relevant de l’article 10 du RGPD, et que seul l’État peut légalement effectuer ces vérifications, empêchant ainsi toute constitution privée de registres d’antécédents.

C-740/22 (7 mars 2024) – Endemol Shine Finland
La Cour a précisé que la communication orale d’informations relatives à des condamnations pénales constitue un traitement de données personnelles soumis au RGPD. Elle a également établi que l’accès public à ces données ne peut se faire sans justification d’un intérêt spécifique.

Françaises

Conseil d’État, 6 décembre 2019, n° 395335

Le Conseil d’État a validé les conditions d’accès au fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (FIJAISV), confirmant que l’article 10 du RGPD n’interdit pas ces traitements dès lors qu’ils sont encadrés par la loi et soumis au contrôle de l’autorité judiciaire.

Conseil d’État, 21 juin 2023, n° 474251

Dans une décision relative aux mineurs revenant de zones d’action terroriste, le Conseil d’État a appliqué le principe de minimisation aux données pénales concernant les mineurs, exigeant que les données collectées soient strictement nécessaires et proportionnées à l’objectif de suivi.

CE Fr., n°375669 (11 mai 2015)

Cette décision confirme que seuls certains acteurs, comme les autorités publiques, les juridictions et quelques personnes morales spécifiques, sont habilités à traiter des données personnelles relatives aux infractions, condamnations et mesures de sûreté, conformément à l’article 9 de la loi Informatique et Libertés. Elle étend le champ de l’interdiction aux données collectées dans le but d’établir ou prévenir des infractions, incluant les traitements effectués par des tiers. En revanche, elle permet aux victimes d’infractions de traiter ces données dans le cadre de leurs droits. Cette décision renforce ainsi la limitation des autorités pouvant manipuler ces données sensibles, garantissant une protection stricte des personnes concernées.

Décision CNIL n° SAN-2023-013 du 18 septembre 2023 contre SAF LOGISTICS

Sanction de la CNIL de 200 000 euros d’amende : ​​SAF LOGISTICS a illégalement collecté et conservé des données relatives aux infractions et condamnations pénales de ses salariés, sans respecter les conditions strictes fixées par l’article 10 du RGPD, notamment en matière de contrôle par les autorités publiques et de justification légale. La CNIL a également relevé une collecte excessive de données sensibles et un défaut de coopération avec ses services.

Recommandations

CEPD

Lignes directrices 01/2022 sur le droit d’accès

Ces lignes directrices précisent les conditions d’exercice du droit d’accès pour les données pénales, en tenant compte des restrictions légitimes liées aux enquêtes en cours et à la sécurité publique.

Position sur l’échange d’informations entre autorités répressives (2021)

Le CEPD recommande des protocoles stricts pour l’échange transfrontalier de données pénales, incluant la vérification des finalités, la limitation des accès et la traçabilité des consultations.

CNIL

Référentiel relatif à la protection de l’enfance (2021)

La CNIL établit des règles spécifiques pour les données pénales concernant les mineurs, exigeant une approche différenciée tenant compte de l’évolution de la personnalité et du droit à l’oubli renforcé.

Recommandations sur la réutilisation des décisions de justice (2024)

La CNIL encadre strictement la réutilisation des données pénales issues des décisions de justice publiques, imposant l’anonymisation par défaut et des restrictions d’usage pour les données nominatives.

Doctrine sur les fichiers de police et de gendarmerie

La CNIL développe une doctrine extensive sur les conditions de collecte, conservation et effacement des données dans les fichiers de police, appliquant rigoureusement les principes de finalité et de proportionnalité.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.