Droit d’opposition : les conditions de dérogation en vertu de l’article 23 du RGPD
Le RGPD garantit aux personnes concernées des droits sur leurs données personnelles afin qu’elles en conservent la maîtrise. Cependant, certains traitements qui poursuivent des objectifs d’intérêt public importants peuvent justifier de limiter la portée de ces droits et, notamment, exclure le droit d’opposition.
Pour permettre la satisfaction d’objectifs importants d’intérêt public, l’article 23 du RGPD autorise l’Union et les États membres à limiter, par des « mesures législatives », la portée des droits qu’il prévoit (art. 12 à 22), en particulier du droit d’opposition des personnes concernées au traitement de leurs données.
De telles limitations, qui ont vocation à garantir notamment la sécurité ou la défense nationale, la sécurité publique, la prévention et la détection d'infractions pénales, ou encore la protection de la personne concernée ou des droits et libertés d'autrui, doivent :
- respecter l’essence des libertés et des droits fondamentaux ;
- constituer une mesure nécessaire et proportionnée ;
- être prévues par un texte juridique qui, tout à la fois :
- soit d’un niveau normatif approprié ;
- soit clair, précis et comprenant des dispositions spécifiques ;
- et fasse l’objet d’une publicité suffisante pour garantir la prévisibilité de ses effets.
Le respect de l'essence des libertés et droits fondamentaux
La limitation d’un droit – c’est-à-dire toute restriction, totale ou partielle, de sa portée (exercice retardé dans le temps, circonscrit à certaines catégories de données, ou encore exercé indirectement par l'intermédiaire d'une autorité de contrôle indépendante) – doit respecter, en particulier, l’essence du droit à la protection des données personnelles tel que consacré par la charte des droits fondamentaux de l’Union européenne.
Les limitations prévues par le droit doivent donc être proportionnées et ne pas aboutir à remettre en cause de façon générale les droits garantis par le RGPD. À cet égard, devraient ainsi être proscrites :
- l’exclusion, pour un même traitement, de l’ensemble des droits prévus par le RGPD ;
- tout comme l’exclusion générale du droit d’opposition pour tous les traitements mis en œuvre par une collectivité publique.
La nécessité et la proportionnalité de la limitation
La limitation envisagée doit être strictement nécessaire et proportionnée au regard de l’objectif poursuivi. Il appartient ainsi à l’autorité souhaitant déroger au droit d’opposition de procéder aux actions suivantes.
- Identifier précisément l’objectif important d’intérêt public visé à l’article 23.1 qui justifie la dérogation par un texte national ou européen, et évaluer les risques pour les droits et libertés des personnes concernées qui en résultent.
- Effectuer le test de nécessité : il ne doit pas y avoir de mesures existantes ou moins intrusives permettant d’atteindre l’objectif poursuivi. Cette condition doit être analysée au cas par cas, au regard du contexte spécifique dans lequel s’inscrit le projet de traitement et de restriction des droits.
- Effectuer le test de proportionnalité : le test est satisfait si la dérogation qui vise à garantir l’objectif poursuivi est la plus limitée possible dans sa portée et ne crée pas un déséquilibre manifeste entre les différents intérêts en présence. Par exemple, le fait d’écarter le droit d’opposition pour une partie seulement des données peut permettre de garantir son caractère non excessif.
- Documenter l’analyse : la « mesure législative » ou les documents qui la complètent (ex : analyse d’impact relative à la protection des données ou AIPD) devraient étayer les éléments précédemment évoqués, conformément au principe de responsabilité. Le cas échéant, le délégué à la protection des données (DPO) devrait être associé aux réflexions ayant précédé l’adoption du texte juridique et de l’AIPD lorsqu’elle est nécessaire.
Le niveau normatif du texte juridique
La « mesure législative » mentionnée par l’article 23 du RGPD ne doit pas nécessairement être un acte adopté par un parlement (considérant 41 du RGPD) : le niveau de norme requis est à déterminer au cas par cas et conformément aux règles d’attribution des compétences prévues par le droit national applicable.
En France, il peut en particulier s’agir d’un acte réglementaire, c’est-à-dire d’une règlementation administrative à portée générale et impersonnelle, telle qu’un décret pris par le Premier ministre, un arrêté ministériel, un arrêté pris par un maire ou un président de conseil départemental, une délibération d’un conseil régional, une décision du conseil d’administration d’un établissement public, etc.
En effet, une collectivité publique (État, collectivités territoriales, établissements publics de coopération intercommunale, établissements publics locaux et nationaux, etc.), qui dispose d’un pouvoir réglementaire pour l’exercice de ses missions, peut adopter la « mesure législative » limitant ou excluant le droit d’opposition.
Toutefois, l’exercice de cette faculté par une autorité administrative est soumis à une double limite.
- L’autorité doit agir dans l'exécution de ses compétences matérielles, telles qu’attribuées par la loi.
Par exemple, dans la délibération qui organise la gestion du stationnement payant sur la voirie, les communes peuvent prévoir la mise en œuvre d’un traitement de données personnelles requérant l’utilisation du numéro d’immatriculation des véhicules et écarter le droit d’opposition des usagers à la collecte de ce numéro.
De même, l’Office français de la biodiversité – établissement public ayant pour mission d’organiser l’examen du permis de chasser – peut, par une décision de son directeur général, exclure le droit d’opposition au traitement des données personnelles nécessaires à l’inscription à l’examen et à la délivrance du permis (délibération de la CNIL n° 2023-015 du 16 février 2023).
- L’autorité ne doit pas empiéter sur un domaine réservé au législateur, en application de l’article 34 de la Constitution.
Par exemple, l’utilisation par des autorités communales de caméras « augmentées » dans l’espace public à des fins de protection de l’ordre public par les forces de l’ordre est subordonnée à une autorisation législative, comme la CNIL l’a récemment souligné dans sa position publique relative aux conditions d’utilisation de telles caméras.
Les exigences de prévisibilité et de publicité
Le texte juridique limitant le droit d’opposition doit être clair et précis et son application, prévisible pour les personnes concernées (considérant 41 du RGPD).
L’acte législatif ou réglementaire devra contenir l’ensemble des dispositions spécifiques prévues à l’article 23.2 du RGPD, telles que l’étendue des limitations prévues, les garanties destinées à prévenir les abus et les risques que cette limitation engendre pour les droits et libertés des personnes concernées.
De plus, la publicité de l’acte doit être suffisante pour garantir l’accessibilité de celui-ci et, par conséquent, le caractère prévisible de ses effets pour les personnes concernées (par exemple publication du décret au Journal officiel).
Pour approfondir
Les textes officiels
- Article 23 du RGPD
- Considérant 41 du RGPD
- CEPD, lignes directrices 10/2020 du 13 octobre 2021 sur les limitations prévues par l’article 23 du RGPD [anglais] (PDF, 148 ko) - CEPD
- Délibération n° 2023-015 du 16 février 2023 portant avis sur un projet de décision relatif à la création d’un fichier central des titres permanents du permis de chasser - Légifrance