Droit à la limitation du traitement
Home » RGPD » Droits des personnes concernées » Droit à la limitation du traitement

L’article 18 du RGPD permet aux personnes concernées de limiter temporairement le traitement de leurs données personnelles par un responsable du traitement. Ce droit consacre une conciliation des intérêts entre l’intérêt des personnes concernées à une rectification ou un effacement de leurs informations et l’intérêt du responsable du traitement à poursuivre le traitement des données[1] . Le RGPDne définit pas la manière dont la demande doit être faite : il est néanmoins de bonne pratique qu’elle soit faite de manière suffisamment claire.

Conformément à l’article 18.1 du RGPD, la demande de la personne concernée peut être faite, lorsque :

  • La précision des données personnelles est contestée (voir section 6.3) ;
  • Le traitement est illégal, et la personne concernée opte pour la limitation du traitement, plutôt que pour l’effacement des données personnelles ;
  • Les données doivent être conservées pour l’exercice ou la défense de droits légaux ;
  • Une décision est en attente sur les intérêts légitimes du responsable du traitement des données qui prévalent sur les intérêts de la personne concernée.

Comme le prévoit le considérant 67 du RGPD, les méthodes par lesquelles le responsable du traitement peut limiter le traitement des données à caractère personnel peuvent inclure, par exemple, le déplacement temporaire des données sélectionnées vers un autre système de traitement, le fait de rendre les données indisponibles pour les utilisateurs ou la suppression des données à caractère personnel sur une base temporaire. Globalement, l’objectif est d’empêcher le traitement des données, à l’exception de leur stockage (article 18.2 du RGPD).

Pendant que la limitation est en cours, les données à caractère personnel peuvent encore être traitées :

  • sur la base du consentement de la personne concernée ;
  • pour l’établissement, l’exercice ou la défense de droits légaux ;
  • pour la protection des droits d’une autre personne physique ou morale ;
  • pour des raisons d’intérêt public important de l’UE/un État membre de l’UE.

En vertu de l’article 19 du RGPD, le responsable du traitement doit communiquer la limitation du traitement à chaque destinataire auquel les données à caractère personnel ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés. L’effort disproportionné dépend des circonstances spécifiques et pourrait impliquer, par exemple, le grand nombre de destinataires et de notifications suivantes, ou la difficulté d’identifier le destinataire.

Enfin, le responsable du traitement doit notifier la personne concernée avant que la limitation du traitement ne soit levée. En effet, la limitation peut être temporaire, notamment lorsque les personnes concernées exercent leurs droits de rectification et d’opposition.

S’agissant maintenant du traitement des données à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, l’article 89 du RGPD et le considérant 156 du RGPD permettent aux États membres de prévoir, dans des conditions spécifiques et sous réserve de garanties appropriées pour les personnes concernées, des spécifications et des dérogations en ce qui concerne le droit […] d’opposition. À cet égard, le Contrôleur européen de la protection des données (2020) reconnaît que l’objection d’un grand nombre de personnes à tout ou partie du projet pourrait avoir une incidence négative sur la représentativité et la fiabilité des données de recherche. Selon l’autorité européenne, le champ d’application de cette dérogation devrait donc rester limité aux cas où l’intégrité de la recherche serait compromise par l’exercice des droits des personnes concernées.[2]

Liste de contrôle pour le traitement d’une demande de limitation de traitement

L’exercice du droit à la limitation du traitement est-il conforme au RGPD ?

☐ Avez-vous reçu une demande de limitation du traitement des données de la part d’une entité juridique ? Si oui, veuillez indiquer que la demande n’a pas été introduite par une personne physique ;

☐ Les personnes se sont-elles correctement identifiées ? Si ce n’est pas le cas, veuillez demander des informations supplémentaires pour confirmer l’identité ;

☐ La demande relève-t-elle de l’un des scénarios prévus à l’article 18.1 du RGPD ? Si ce n’est pas le cas, veuillez informer la personne concernée que la demande sera refusée ;

☐ La demande peut-elle être satisfaite dans un délai d’un mois ? Si ce n’est pas le cas, veuillez indiquer pourquoi et combien de temps il faudra pour traiter la demande ?

☐ La demande doit être satisfaite.

Comment se conformer davantage à toutes les obligations découlant du RGPD :

☐ N’oubliez pas que la limitation n’englobe pas le stockage des données ;

☐ Lorsque la limitation est en cours, les données à caractère personnel peuvent encore être traitées dans les circonstances prévues à l’article 18.2 du RGPD ;

☐ Communiquer la limitation du traitement à chaque destinataire auquel les données à caractère personnel ont été divulguées conformément à l’article 19 du RGPD, sauf si cela s’avère impossible ou implique des efforts disproportionnés.

  1. Ibid. , p. 164
  2. CEPD, “Un avis préliminaire sur la protection des données et la recherche scientifique”, janvier 2020, p. 21-22.
Aller au contenu principal