Article 46 RGPD. Transferts moyennant des garanties appropriées

Article 47 RGPD. Règles d'entreprise contraignantes

Article 49 RGPD. Dérogations pour des situations particulières

1. En l’absence de décision d’adéquation en vertu de l’article 45, paragraphe 3, ou de garanties appropriées en vertu de l’article 46, y compris des règles d’entreprise contraignantes, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes:

[…]

Lorsqu’un transfert ne peut pas être fondé sur une disposition de l’article 45 ou 46, y compris les dispositions relatives aux règles d’entreprise contraignantes, et qu’aucune des dérogations pour des situations particulières visées au premier alinéa du présent paragraphe n’est applicable, un transfert vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel. Le responsable du traitement informe l’autorité de contrôle du transfert. Outre qu’il fournit les informations visées aux articles 13 et 14, le responsable du traitement informe la personne concernée du transfert et des intérêts légitimes impérieux qu’il poursuit.

[…]

Article 6 RGPD. Licéité du traitement

1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

[…]

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

[…]

Article 6 RGPD. Licéité du traitement

1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

[…]

Article 9 RGPD. Traitement portant sur des catégories particulières de données à caractère personnel

1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

[…]

2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie:

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

[…]

Article 22 RGPD. Décision individuelle automatisée, y compris le profilage

1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

Article 4 RGPD. Définitions

Aux fins du présent règlement, on entend par:

[…]

4) «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

[…]

Article 89 RGPD. Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

1. Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

[…]

Groupe de travail «Article 29» Lignes directrices sur la transparence au sens du règlement (UE) 2016/679

«Se révèle impossible»

La situation dans laquelle la fourniture d’informations «se révèle impossible» en vertu de l’article 14, paragraphe 5, point b), est absolue et ne permet pas de demi-mesure, car la fourniture est simplement possible ou impossible; il n’existe pas de degrés d’impossibilité. Par conséquent, si un responsable du traitement souhaite faire jouer cette dérogation, il doit démontrer quels facteurs l’empêchent effectivement de communiquer les informations en question à la personne concernée. Si, après une certaine période, les facteurs ayant généré l’«impossibilité» cessent d’exister et qu’il devient donc possible de communiquer les informations à la personne concernée, le responsable du traitement devrait les communiquer immédiatement. Dans la pratique, rares sont les situations où un responsable du traitement peut démontrer qu’il est effectivement impossible de communiquer les informations à la personne concernée. L’exemple suivant en est l’illustration.

Groupe de travail «Article 29» Lignes directrices sur la transparence au sens du règlement (UE) 2016/679

«Efforts disproportionnés»

Pour déterminer ce qui peut constituer une impossibilité ou des efforts disproportionnés au titre de l’article 14, paragraphe 5, point b), il apparaît pertinent qu’aucune dérogation comparable n’existe au titre de l’article 13 (lorsque les données à caractère personnel sont collectées auprès d’une personne concernée). La seule différence entre une situation au titre de l’article 13 et une situation au titre de l’article 14 est que, s’agissant de cette dernière, les données à caractère personnel ne sont pas collectées auprès de la personne concernée. Dès lors, il s’ensuit que l’impossibilité ou les efforts disproportionnés découlent généralement de circonstances qui ne s’appliquent pas si les données à caractère personnel sont collectées auprès de la personne concernée. En d’autres termes, l’impossibilité ou les efforts disproportionnés doivent être directement liés au fait que les données à caractère personnel ont été collectées autrement qu’auprès de la personne concernée.

Groupe de travail «Article 29» Lignes directrices sur la transparence au sens du règlement (UE) 2016/679

Les facteurs susmentionnés correspondant au considérant 62 (le nombre de personnes concernées, l’ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées) peuvent être à l’origine de situations obligeant un responsable du traitement à mettre en œuvre des efforts disproportionnés pour informer une personne concernée des informations pertinentes au titre de l’article 14.

L’article 14, paragraphe 5, point c), autorise une levée des obligations d’information prévues à l’article 14, paragraphes 1, 2 et 4, dans la mesure où l’obligation ou la communication des données à caractère personnel «sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis». Cette dérogation dépend de la prévision par le droit en question de «mesures appropriées visant à protéger les intérêts légitimes de la personne concernée». Un tel droit doit concerner directement le responsable du traitement et l’obtention ou la communication en question devraient être obligatoires pour ce dernier. De même, le responsable du traitement doit être en mesure de démontrer que le droit en question lui est applicable et lui impose d’obtenir ou de communiquer lesdites données à caractère personnel. Bien qu’il revienne au droit de l’Union ou au droit de l’État membre d’élaborer la loi de sorte qu’elle prévoie des «mesures appropriées visant à protéger les intérêts légitimes de la personne concernée», le responsable du traitement devrait garantir (et être en mesure de démontrer) que l’obtention ou la communication de données à caractère personnel par ses soins respectent ces mesures. En outre, le responsable du traitement devrait signaler clairement aux personnes concernées qu’il obtient ou communique les données à caractère personnel en accord avec le droit en question, sauf en cas d’interdiction légale l’empêchant de le faire. Cette disposition est conforme au considérant 41 du RGPD, qui dispose qu’une base juridique ou une mesure législative devrait être claire et précise et que son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme. Toutefois, l’article 14, paragraphe 5, point c), ne s’applique pas lorsque le responsable du traitement est tenu de collecter les données directement auprès de la personne concernée, auquel cas l’article 13 s’applique. Dans cette situation, la seule dérogation au titre du RGPD exemptant le responsable du traitement de l’obligation de fournir à la personne concernée les informations sur le traitement est celle prévue par l’article 13, paragraphe 4 (c’est-à-dire lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations). Cependant, comme indiqué au point 68 ci- dessous, les États membres peuvent également légiférer, à l’échelon national et en accord avec l’article 23, sur d’autres limitations spécifiques au droit de transparence visé à l’article 12 et aux informations prévues aux articles 13 et 14.