LES RECOMMANDATIONS DU CEPD SUR LES RESTRICTIONS A L’EXERCICE DES DROITS DES PERSONNES
(Guidelines 10/2020 on restrictions under Article 23 GDPR - Version 2.0 –
Adopted on 13 October 2021)
Le Comité Européen à la protection des données (CEPD) a adopté, le 13 octobre dernier la version définitive de ses recommandations sur les restrictions à l’exercice de leurs droits par les personnes concernées (droits d’accès, de rectification, de limitation, d’opposition, etc…).
En effet, le RGPD consacre un certain nombre de droits au bénéfice des personnes dont les données sont traitées (articles 12 à 22 et 34), dans certains cas, l’exercice de ces droits est soumis à certaines conditions ou peut même être limité dans les cas strictement énoncés par le RGPD.
L’article 23 du RGPD prévoit ainsi que les Etats-membres peuvent également adopter des lois limitant les droits des personnes dans les cas suivants strictement limités :
a) la sécurité nationale;
b) la défense;
c) la sécurité publique;
d) la prévention, la recherche, la détection ou la poursuite d’infractions pénales ou l’exécution de sanctions pénales,
e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, en particulier un intérêt économique ou financier important de l’Union ou d’un État membre, y compris les questions monétaires, budgétaires et fiscales, la santé publique et la sécurité sociale;
f) la protection de l’indépendance judiciaire et des procédures judiciaires;
g) la prévention, la recherche, la détection et la poursuite des manquements à la déontologie des professions réglementées;
h) une fonction de contrôle, d’inspection ou de régulation liée, même occasionnellement, à l’exercice de l’autorité publique dans les cas visés aux points a) à e) et g);
i) la protection de la personne concernée ou les droits et libertés d’autrui ;
j) l’exécution des contentieux de droit civil.
Ces recommandations sont destinées aux Etats-Membres de l’UE mais elles permettent également aux responsables de traitement et sous-traitants de mieux appréhender l’esprit du RGPD et constater à quel point le législateur européen considère que les droits des personnes constituent un élément crucial du RGPD.
Ainsi, les recommandations rappellent que : tous ces droits et obligations sont au cœur du droit fondamental à la protection des données et leur application devrait être la règle générale. En particulier, toute limitation du droit fondamental à la protection des données doit respecter l’article 52 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).
Car en effet, les limitations aux droits des personnes prévues par le RGPD et par la loi nationale devront être appliquées – le cas échéant - par le responsable de traitement lorsqu’il répondra aux demandes des personnes concernées. C’est donc le responsable de traitement qui risque de faire l’objet de plaintes et de sanctions s’il utilise ces limitations aux droits des personnes trop à la légère et/ou en violation des textes.
Dans ses recommandations, le Comité Européen indique clairement que les questions des droits des personnes et de leurs limitations doivent être documentées dans le cadre du principe d’accountability (article 5.2).
Ainsi les recommandations indiquent : qu’en tant que telles, les restrictions devraient être interprétées de manière étroite, ne devraient être appliquées que dans des circonstances spécifiquement prévues et uniquement lorsque certaines conditions sont remplies.
Le comité indique également que la restriction de la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34 peut prendre des formes différentes, mais ne peut jamais aboutir à une suspension générale de tous les droits.
Le comité considère en effet que le droit interne doit être suffisamment clair dans ses termes pour donner aux particuliers une indication adéquate des circonstances et des conditions dans lesquelles les responsables du traitement sont habilités à recourir à de telles restrictions. Conformément au RGPD et à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et de la Cour européenne des droits de l’homme (CEDH), il est en effet essentiel que des mesures législatives visant à restreindre la portée des droits des personnes concernées ou des obligations du responsable du traitement soient prévisibles pour les personnes concernées.
La lecture de ces recommandations permet de voir à quel point l’exercice concret des droits des personnes concernées change avec le RGPD par rapport aux textes antérieurs. La limitation des droits devra être exceptionnelle, limitée, documentée et transparente pour les personnes concernées. Le responsable de traitement qui souhaite refuser de faire droit à une demande aura intérêt à faire une réponse particulièrement précise et documentée.
Hélène Lebon
Avocat
