- Conformément à l’article 23 du RGPD, les États membres peuvent prévoir des exceptions aux droits des personnes concernées, à condition que le droit national soit conforme aux exigences de l’article 23.
- Les responsables doivent documenter l’application des exceptions, y compris les raisons, le moment, le contrôle de la nécessité et de la proportionnalité ; informer le DPD.
- Si le motif d’exception disparaît, la restriction doit être levée et les droits des personnes concernées rattrapés ; autres plaintes possibles auprès de l’autorité de contrôle.
Le RGPD lui-même ne contient guère Exceptions aux droits des personnes concernées comme le droit à l’information, le droit d’accès ou le droit d’être informé des violations de la sécurité des données, à l’exception de l’article 12, paragraphe 5. RGPD (demandes manifestement infondées ou excessives). Les États membres peuvent toutefois prévoir des exceptions et des restrictions sur la base de l’article 23 du RGPD, pour autant que leur droit soit conforme aux prescriptions de l’article 23. L’Allemagne, par exemple, en a fait usage dans §§ 32 et suivants. BDSG La Commission a fait usage de cette possibilité et a prévu une exception à l’obligation d’information et de renseignement pour les responsables privés, par exemple lorsque l’exécution de ces obligations entraverait la constatation, l’exercice ou la défense de droits légaux et que les intérêts du responsable du traitement prévalent sur ceux de la personne concernée.
Le Comité européen de la protection des données (CEPD) a maintenant publié un projet de lignes directrices sur l’article 23 du RGPD (Guidelines 10/2020 on restrictions under Article 23 GDPR, version 1.0, 15 décembre 2020). Les commentaires seront acceptés jusqu’au 12 février 2021. Les lignes directrices se prononcent en premier lieu sur les exigences relatives au droit national correspondant de l’article 23 du RGPD.
Les indications suivantes de l’EDSA sont importantes sur le plan pratique :
Les responsables doivent documenterLes personnes concernées sont tenues de rendre des comptes lorsqu’elles invoquent une exception (principe de responsabilité, article 5, paragraphe 2, du RGPD) :
66. à la lumière du principe de responsabilité (article 5, paragraphe 2, du GDPR), le contrôleur devrait documenter l’application des restrictions sur des cas concrets en conservant un enregistrement de leur application. Cet enregistrement devrait inclure les raisons applicables pour les restrictions, quels motifs parmi ceux énumérés à l’article 23, paragraphe 1, du GDPR s’appliquent (lorsque la mesure législative permet des restrictions sur différents motifs), leur calendrier et le résultat du test de nécessité et de proportionnalité. Les enregistrements devraient être mis à la disposition de l’autorité de contrôle de la protection des données (AS) sur demande.
Si le contrôleur dispose d’un responsable de la protection des données (DPO), ce dernier doit être informé sans retard injustifié lorsque les droits du sujet des données sont restreints conformément à la mesure législative. L’OPH devrait avoir accès aux dossiers associés et à tout document concernant le contexte factuel ou juridique dans lequel s’inscrit la restriction. L’implication de l’OPH dans l’application des restrictions devrait également être documentée.
De plus, les responsables doivent Répondre aux droits des personnes concernéesSi le motif d’exception n’est plus rempli, l’État membre concerné peut demander à l’État membre d’accueil d’en informer la Commission :
Pendant l’application d’une restriction, les sujets de données peuvent être autorisés à exercer certains droits, si tous leurs droits ne doivent pas être limités. Afin d’évaluer quand la restriction peut être levée partiellement ou intégralement, un test de nécessité et de proportionnalité peut être effectué à plusieurs reprises pendant l’application d’une restriction.
75. lorsque la restriction est levée – ce qui devrait être documenté dans l’enregistrement mentionné au point 5 -, les sujets de données peuvent exercer tous leurs droits.
76) Si le contrôleur ne permet pas aux personnes concernées d’exercer leurs droits après la levée de la restriction, la personne concernée peut déposer une plainte auprès de la SA contre le contrôleur, conformément à l’article 57(1)(f) du GDPR.