📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 23 du RGPD : Limitations

Sommaire

Introduction 

L’article 23 du Règlement Général sur la Protection des Données (RGPD) encadre les limitations possibles aux droits des personnes concernées prévues par le RGPD. Il reconnaît que ces droits, bien que fondamentaux, ne sont pas absolus. 

Explication de l’article 

Cet article encadre la possibilité pour les législateurs d’imposer des restrictions aux droits garantis aux personnes concernées par le RGPD (droit d’accès, de rectification, d’effacement, etc.) dans des cas spécifiques. Les motifs autorisant ces limitations comprennent notamment la sécurité nationale, la défense, la prévention des infractions pénales, la protection de la justice, ou des intérêts économiques et sociaux importants. Pour être valides, ces limitations doivent répondre à plusieurs conditions : être prévues par un texte juridique clair et précis, respecter l’essence des droits fondamentaux, être nécessaires et proportionnées au regard de l’objectif poursuivi. Enfin, même sous ces restrictions, le principe de responsabilité (accountability) du responsable du traitement reste applicable. 

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.
Échanger avec un expert RGPD

Texte original du RGPD

1.Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a) la sécurité nationale;

b) la défense nationale;

c) la sécurité publique;

d) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

f) la protection de l’indépendance de la justice et des procédures judiciaires;

g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

h) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a), b), c), d), e) et g);

i) la protection de la personne concernée ou des droits et libertés d’autrui;

j) l’exécution des demandes de droit civil.

2.En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

a) aux finalités du traitement ou des catégories de traitement;

b) aux catégories de données à caractère personnel;

c) à l’étendue des limitations introduites;

d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;

e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;

f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

g) aux risques pour les droits et libertés des personnes concernées; et

h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 13

1.Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder:

a) la sûreté de l’État;

b) la défense;

c) la sécurité publique;

d) la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;

e) un intérêt économique ou financier important d’un État membre ou de l’Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal;

f) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e);

g) la protection de la personne concernée ou des droits et libertés d’autrui.

2.Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n’existe manifestement aucun risque d’atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l’article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n’excédant pas celle nécessaire à la seule finalité d’établissement de statistiques.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 33- Version en vigueur depuis le 01 juin 2019

Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 1

I.-Les demandes d’avis adressées à la Commission nationale de l’informatique et des libertés en vertu de la présente loi précisent :

1° L’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre Etat membre de l’Union européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;

2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 31 et 32, la description générale de ses fonctions ;

3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements ;

4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

5° La durée de conservation des informations traitées ;

6° Le ou les services chargés de mettre en œuvre le traitement ainsi que, pour les traitements relevant des articles 31 et 32, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

8° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu aux articles 49,105 et 119, ainsi que les mesures relatives à l’exercice de ce droit ;

9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l’indication du recours à un sous-traitant ;

10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne, sous quelque forme que ce soit.

Les demandes d’avis portant sur les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d’information énumérés ci-dessus. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d’avis portant sur ces traitements doivent comporter au minimum.

II.-Le responsable d’un traitement déjà autorisé et susceptible de faire l’objet d’une mise à jour rendue publique dans les conditions prévues à l’article 36 informe sans délai la commission :

1° De tout changement affectant les informations mentionnées au I ;

2° De toute suppression du traitement.

Article 52

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, les droit d’accès, de rectification et d’effacement s’exercent dans les conditions prévues à l’article 118, si de telles restrictions ont été prévues par l’acte instaurant le traitement.

Il est fait application des mêmes dispositions lorsque le traitement intéresse la sécurité publique, sous réserve de l’application des dispositions du titre III.

Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles prévues par le code des juridictions financières, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d’une procédure juridictionnelle, le droit d’accès peut être limité dans les conditions prévues aux e et h du 1 de l’article 23 du règlement (UE) 2016/679 du 27 avril 2016.

Article 56

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le droit d’opposition s’exerce dans les conditions prévues à l’article 21 du règlement (UE) 2016/679 du 27 avril 2016.

Ce droit ne s’applique pas lorsque le traitement répond à une obligation légale ou, dans les conditions prévues à l’article 23 du même règlement, lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte instaurant le traitement.

Article 116

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I- La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable de traitement ou son représentant :

1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu’elle tient des dispositions des articles 117 à 120 ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne ;

8° De la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

II-Lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable de traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent ne s’appliquent pas lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.

III. – Les dispositions du I ne s’appliquent pas aux données recueillies dans les conditions prévues au II dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

Article 117

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.

Analyse des 3 textes qui précèdent 

L’article 23 du RGPD élargit le champ des restrictions possibles en fixant deux garde-fous :

  • Les limitations doivent respecter l’essence des droits fondamentaux.
  • Elles doivent être nécessaires et proportionnées dans une société démocratique.

Il autorise les États à limiter :

  • Les droits des articles 12 à 22 (accès, rectification, opposition, suppression, portabilité, etc.).
  • L’article 34 (information de la personne concernée en cas de violation).
  • Certains principes de l’article 5 (notamment transparence ou limitation de la finalité).

Les motifs de limitation sont plus larges que dans la Directive 95/46 CE :

  • Sécurité publique et prévention de menaces.
  • Intérêts publics généraux (y compris économiques, budgétaires, fiscaux).
  • Santé publique, sécurité sociale.
  • Indépendance de la justice, procédures civiles et pénales.

Le RGPD insiste aussi sur la forme : toute loi nationale instituant une restriction doit préciser les finalités, catégories de données, portée des limitations, garanties prévues, risques pour les droits des personnes et les modalités d’information des individus.

La Directive 95/46 CE prévoyait déjà des restrictions ciblées mais dans un cadre plus restreint :

  • Droits concernés : qualité des données (art. 6), information (art. 10-11), droit d’opposition (art. 12), publicité des traitements (art. 21).
  • Motifs de limitation : sûreté de l’État, défense, sécurité publique, prévention/détection/poursuite d’infractions pénales ou disciplinaires.

Ainsi, le champ était limité aux domaines classiques de la sécurité et de la justice, sans extension aux intérêts économiques ou sanitaires. De plus, l’approche était moins détaillée sur les garanties procédurales que le RGPD impose désormais.

La Loi Informatique et Libertés a intégré ces exceptions dès la transposition de la Directive, avec des nuances :

  • Article 32, V : dispense d’information des personnes si le traitement est mis en œuvre pour le compte de l’État et lié à la sûreté, défense, sécurité publique ou exécution de condamnations pénales, sous réserve de proportionnalité.
  • Article 33, V : restrictions identiques pour la prévention, la recherche, la constatation ou la poursuite d’infractions pénales.

La logique française reflète donc les exceptions permises par la Directive, mais en les cadrant par rapport à des finalités précises (sécurité nationale, pénal, anonymisation certifiée).

Jurisprudences 

Européennes 

C-307/22 (26 octobre 2023) – FT contre DW

Il s’agit d’une affaire récente portant sur des restrictions aux droits des personnes dans le contexte de la liberté d’information et de la presse. La CJUE a analysé comment les obligations d’information peuvent être limitées au nom de la protection d’intérêts légitimes, conformément à l’article 23.

Affaire ADSL HOUSE, S.L. du 24 octobre 2022

Sanction de 8,000 euros d’amende : Dans l’affaire ADSL HOUSE, S.L. du 24 octobre 2022, qui mentionne explicitement l’article 23 du RGPD, il s’agit donc d’un manquement lié à la gestion de ces restrictions légales, probablement au niveau du respect ou de la justification des limitations imposées aux droits des personnes (comme l’accès, la rectification ou l’opposition).

Françaises 

Cass. Fr., n°22-15.070 (11 octobre 2023)

Décision confirmant que certaines obligations d’information peuvent être limitées lorsque cela est justifié par des objectifs de prévention et de détection d’infractions pénales, application directe de l’article 23.

Cass. Fr., n°21-20.979 (24 avril 2024)

La licéité du traitement de documents personnels ordonné par un juge dans une procédure judiciaire (allégation de discrimination) est validée dès lors que les limitations légales de l’article 23 sont respectées.

Recommandations 

CEPD 

Déclaration sur le traitement des données à caractère personnel dans le contexte de l’épidémie de COVID-19 (19 mars 2020)

Déclaration relative aux limitations imposées aux droits des personnes concernées dans le cadre de l’état d’urgence1 dans les États membres (2 juin 2020)

Lignes directrices 10/2020 concernant les limitations au titre de l’article 23 du RGPD

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.
Échanger avec un expert RGPD
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.